Sicherheit von biometrischen Systemen

Wie praktisch und bequem ist es doch, sein Smartphone mittels Fingerabdruck oder mittels Gesichtserkennung zu entsperren, anstatt sich mühsam die PIN-Nummer oder das Passwort zur Entsperrung merken zu müssen. Der technologische Fortschritt macht dies möglich.

Die Funktionalität der Entsperrung des Smartphones ist relative simpel. Man legt seinen Finger auf den Fingerabdrucksensor des Smartphones oder zieht den Finger über die Scannerfläche. Bei beiden Verfahren wird allerdings vorausgesetzt, dass der Fingerabdruck auf dem Smartphone registriert resp. gespeichert ist, damit das Gerät nach Prüfung des aufgelegten Fingers diesen mit den gespeicherten Abbildern vergleichen kann.

Die Entsperrung des Smartphones mittels Gesichtserkennung basiert auf einer ähnlichen Methode. Anstelle des Fingerabdruckes wird das Foto der berechtigten Person erzeugt und dieses ebenfalls registriert resp. gespeichert. Der Benutzer braucht dann nur noch in die Kamera zu schauen, um das Gerät anschliessend entsperren zu können.

Biometrie ist also einfach anzuwenden, komfortabel und nicht nur zur Entsperrung des Smartphones geeignet. Mittlerweile findet man biometrische Verfahren beispielsweise auch bei Zeiterfassungs- oder bei Zutrittskontrollsystemen. Anstelle eines Passwortes kann die Biometrie ebenso für die Authentifizierung für Onlinedienste genutzt werden. Es gibt also eine Vielzahl von Anwendungsmöglichkeiten.

Doch wie sieht es mit der Sicherheit aus?

Biometrische Merkmale sind Eigenschaften, die auf eine bestimmte Person bezogen sind und in der Regel permanent und nicht mehr veränderbar sind. Jedoch unterliegen auch diese Merkmale dem natürlichen Veränderungsprozess und können sich mit der Zeit ändern.

Was in Filmen wie ‘Mission Impossible’ futuristisch anmutet, haben Hacker des Chaos Computer Club längst bewiesen. So haben sie gezeigt, dass, wenn es gelingt, sich den Fingerabdruck eines Opfers anzueignen, man diesen mit einer guten Fotokamera kopieren, ausdrucken und damit den biometrischen Scanner überlisten kann.

Eine andere Methode ist, den Fingerabdrucksensor mit Holzleim zu bepinseln, dieser lässt sich sehr gut wieder abziehen, um dann den Fingerabdruck zu ziehen, weil bei der Nutzung des Fingerabdrucksensors der Fingerabdruck auf dem Sensor zurückbleiben kann.

Ebenfalls ist zu erwähnen, dass Forscher einer amerikanischen Universität eine Methode zur Täuschung des Fingerabdrucksensors entwickelt haben, indem menschliche Fingerabdrücke mithilfe der künstlichen Intelligenz synthetisch generieren werden. So ist der Hacker nicht mehr darauf angewiesen, den Fingerabdruck eines vermeintlichen Opfers zu ergattern.

Für die Entsperrung eines mit der Gesichtserkennung gesperrtes Smartphone reicht es aus, das Foto der berechtigten Person zu erzeugen und dieses vor die Kamera zu halten. Moderne Verfahren nutzen zwar die 3D-Gesichserkennung, doch haben Experten gezeigt, dass spezielle 3D-Drucker auch diese Sperre umgehen können.

Fazit

Biometrische Merkmale erlauben es, eine Person anhand bestimmter Körpermerkmale eindeutig zu identifizieren. Aus diesem Grund gilt die biometrische Identifizierung als besonders sicher. Allerdings sind neben den Vorteilen auch erhebliche Risiken für Sicherheit und Datenschutz damit verbunden, denn biometrische Daten könnten gestohlen werden. Man sollte sich also gut überlegen, wem man seine biometrischen Daten anvertraut und wie diese die anvertrauten Daten vor Missbrauch schützen.

Für sensitive Identifikationen sollte zudem nie nur ein biometrisches Merkmal alleine verwendet werden. Idealerweise verwendet man in diesen Fällen eine Kombination aus biometrischem Merkmal und Passwort oder PIN.

*Der Einsatz von Erkennungssystemen im Arbeitsbereich ist ebenfalls kritisch zu betrachten, wenn biometrische Merkmale verwenden werden, weil dadurch der Arbeitgeber die Persönlichkeitsrechte des Arbeitnehmenden verletzen könnte. Für die Bearbeitung biometrischer Merkmale von Arbeitnehmenden bedarf es eines Rechtfertigungsgrundes und der Einwilligung der betroffenen Arbeitnehmenden. Zudem gilt es, die datenschutzrechtlichen Bestimmungen einzuhalten.

*Quelle: Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB)

---

Autor: Renzo Di Bartolo

Blogpost wurde erstellt
im Rahmen vom CAS Cybersecurity & Information Risk Management.

Dozenten in diesem sehr praxisorientierten Lehrgang sind:
Martina Dalla Vecchia (FHNW, Programmleitung)
Lukas Fässler (FSDZ Rechtsanwälte & Notariat AG)
Rainer Kessler (PwC)
Cristian Manganiello (PwC)
Andreas Wisler (goSecurity GmbH)

Beim nächsten CAS live dabei sein?
Hier der Link zur Ausschreibung:
CAS Cybersecurity & Information Risk Management
Starttermin ist jeweils im Frühjahr.

Persönliche Beratung für den Lehrgang gewünscht?
Einfach Prof. Martina Dalla Vecchia ein E-Mail schreiben und einen Termin vorschlagen.