So (un)sicher ist Biometrie

Immer mehr Unternehmen beginnen biometrische Systeme einzusetzen, um sensible Bereiche und Informationen vor Wettbewerbern und Cyberkriminellen zu schützen. Und auch in private Bereiche dringt Biometrie immer weiter vor. Doch wie sicher sind Fingerabdrücke, Augen und andere einzigartige Körpermerkmale überhaupt?

Klare Sache: Passwörter nerven. Zumindest, wenn man nicht stets 123456 einsetzt und sich an die Sicherheitsspielregeln hält, möglichst komplizierte Passwörter mit vielen Stellen sowie Sonderzeichen einzusetzen und bitte schön für jeden Dienst ein anderes. Die Idee, sich mit Körpermerkmalen anzumelden, bietet dagegen auf jeden Fall Vorteile.

Alle biometrischen Messverfahren basieren dabei auf dem demselben Grundprinzip: Vor der biometrischen Autorisation lernt das System den Benutzer kennen, indem es seine Merkmale analysiert und anschließend ein biometrisches Muster davon erzeugt. Scanner und Computer vermessen dazu Gesicht, Iris, Stimme, Finger oder die ganze Hand. Das System speichert dabei nicht komplette Bilder, sondern lediglich auf das Wesentliche reduzierte, ausgewählte Merkmale. Diese werden als so genannte Templates auf einem Server oder einer Smartcard gespeichert und diesen fortan als Vergleichsmuster, wann immer sich ein Mensch identifizieren muss.  Genau an diesem Punkt zeigen sich aber mitunter Schwächen.

Die Schwächen der Biometrie

Trotz der fortgeschrittenen Technologie ist kein biometrisches Verfahren zu 100 Prozent sicher. Zwar sind die Fehlerquoten gering (siehe oben), die Systeme müssen aber zwangsweise mit Messtoleranzen arbeiten. Denn bei verschiedenen Messungen liefern Finger, Auge oder Unterschrift niemals exakt die gleichen Daten, zum Beispiel weil Auge oder Finger in einem anderen Winkel stehen. Die Übereinstimmung lässt sich nur ungefähr feststellen. Darüber hinaus unterliegen biometrisch erfassbare Merkmale einem Veränderungsprozess. Sie verändern sich durch das Altern, Krankheiten, Verletzungen oder bestimmte Lebensumstände. Immerhin haben gute biometrische Verfahren eine hohe Wiedererkennungsrate, vor allem wenn das System das Referenzmodell nach jeder Erkennung dynamisch anpasst.

Das Kopie-Problem

Was passiert aber, wenn jemand eine Kopie der Merkmale erhält? Das ist zwar schwierig, aber nicht unmöglich. Jan Krissler, auch unter seinem Hackernamen Starbug bekannt, hat zum Beispiel inzwischen nahezu jedes biometrische Verfahren überlistet. Seinen spektakulärsten Coup landete er 2014, als er einen Fingerabdruck von Verteidigungsministerin von der Leyen erstellte, basierend auf einem hochauflösenden Pressefoto der Ministerin. Auch den Fingerabdruck-Sensor eines iPhones trickste er mit einer Abdruck-Attrappe aus Holzleim aus und überwand selbst als besonders sicher geltende Zugangssperren auf Basis von Venenscannern mit einer Attrappe aus Bienenwachs. Schaffen es Kriminelle, eine Kopie anzufertigen, fällt einer der Vorteile traditioneller, digitaler Sicherheitsmaßnahmen schon einmal flach: Einfach jederzeit und von jedem Ort aus das Passwort zu ändern. Denn PIN und Passwort lassen sich an andere Personen weitergeben, biologische Eigenschaften dagegen nicht. Änderungen müsse persönlich erfolgen – bis dahin kann ein hoher Schaden entstehen.

Überdies ist Biometrie auf Datenbanken angewiesen – und diese sind anfällig für Attacken. So wurde etwa in den USA 2015 eine Datenbank von Regierungsmitarbeitern gehackt und mehr als fünf Millionen Fingerabdrücke entwendet. Kein Einzelfall. Im Gegensatz zu Passwort-Hacks ist es im Prinzip ein Leben lang möglich, die erbeuteten biometrischen Daten zu missbrauchen. Sollten sie in die Hände Unbefugter gelangen, ist ihr Missbrauch prinzipiell ein Leben lang möglich. Hier kommt erneut das Problem zum Tragen, dass sich nicht einfach ändern lassen, wenn Hacker sie stehlen und sie durch ein Datenbank-Leck im Internet landen.

Fazit

Biometrische Verfahren bieten im Vergleich zu anderen Systemen wie Kennwörtern ein Mehr an Sicherheit und bieten weitere Vorteile. Hundertprozentige Sicherheit können aber auch sie nicht garantieren. Vor allem im Unternehmensbereich sollte sie daher nicht als alleinige Lösung zum Einsatz kommen, sondern idealer Weise bestehende System ergänzen.

Dieser Artikel ist auch verfügbar in: Englisch

Die mobile Version verlassen