Biometrie - Der Stand der Dinge

Die Teilnehmer am Podium werden sein:

• Dipl.-Ing. Roman Mandyczewsky, ekey biometric systems, Geschäftsführer
• Univ.Prof. Dipl.-Ing.Dr. Reinhard Posch, Leiter der IKT-Stabsstelle Bundesministerium für öffentl. Leistung und Sport; Zentrum für sichere Informationstechnologie, Wissenschaftlicher Gesamtleiter
• Univ. Prof. Dr. Josef Scharinger, Johannes Kepler Universität Linz, Institut für Systemwissenschaften
• Peter Wolfram, InterBiometrics, Geschäftsführer
• Dr. Hans G. Zeger, ARGE Daten

Dipl.-Ing. Roman Mandyczewsky, ekey biometric systems, Geschäftsführer

Biometrische Verfahren sind grundsätzlich kein Allheilmittel für viele Sicherheitsproblemstellungen. Nur eingebunden in einem entsprechenden Gesamtsicherheitskonzept kann die Biometrie ein Baustein zur Erhöhung der IT-Sicherheit sein. So liefert ekey mit seiner Authentifizierungslösung ein von vielen Unternehmen längst gefordertes System zur Absicherung elektronischer Geschäftsprozesse, ohne dabei auf Komfort und Schnelligkeit verzichten zu müssen. Zusätzlich kann ekey mit seinen biometrischen Daten keinen Bezug zu Personen herstellen. Personendaten verbleiben ausschließlich bei dem, der die Authentifizierung in sein System einbindet, wie etwa eine Bank für ihre Online-Kunden. Die Bank hat im Gegenzug keinerlei Zugriff auf die entsprechenden biometrischen Daten. Erst durch diese strikte Trennung wird eine zentrale Authentifizierungsdienstleistung für vielfältigste Online-Anwendungen sinnvoll, ein Höchstmaß an Datenschutz und Datensicherheit wird so im Gesamtsystem gewährleistet.

Univ.Prof. Dipl.-Ing.Dr. Reinhard Posch, Leiter der IKT-Stabsstelle Bundesministerium für öffentl. Leistung und Sport; Zentrum für sichere Informationstechnologie, Wissenschaftlicher Gesamtleiter

Biometrische Merkmale werden in der erkennungsdienstlichen Arbeit bereits lange und erfolgreich angewendet. Elektronische "Leseeinheiten" für biometrische Merkmale kommen zur Zeit noch bei weitem nicht an diese Präzision und vor allem nicht an die Verarbeitungsqualität heran.

Zur Zeit stoßen wir vor allem an drei Punkten an die Grenzen der Technik.

• Die Auflösung und damit die Wiedererkennungssicherheit ist noch nicht zufriedenstellend.
• Ohne multifaktorielle Analyse gelingen keine brauchbaren Resultate.
• Die Langzeitstabilität bei vielen der biometrischen Merkmale ist nicht hinreichend erforscht und gesichert.

Dar Hauptvorteil ist der Komfort. Man kann ein biologisches Merkmal nicht vergessen. Man kann es allerdings auch nicht ablegen auch dann nicht, wenn damit Missbrauch erwiesen ist.

Trotz bedenkenswerter Aspekten ist Biometrie als Zusatz zu anderen Mechanismen und in geeigneter Aufsicht ein technisch günstiges Mittel. Die Akzeptanz in der breiten Öffentlichkeit scheint dabei auch kein Hinderungsgrund zu werden. In gleicher Weise kann Biometrie ein qualitätsvoller Zuordnungmechnismus werden, wenn Sprachverständigung oder Bewusstsein versagt, was etwa in Notfallsituationen seine Bedeutung hat.

Univ. Prof. Dr. Josef Scharinger, Johannes Kepler Universität Linz, Institut für Systemwissenschaften

Traditionelle Methoden zur Identifikation beruhen einerseits auf Identifikation durch Besitz (Schlüssel, Karte, etc.) sowie auf Identifikation durch Wissen (Kennwörter etc.). Aber Schlüssel können gestohlen werden und Kennwörter sind oft schwer zu merken. Deswegen gewinnen aktuell Biometrie-basierte Identifikationsmethoden als bequeme und potentiell sichere Alternative stark an Bedeutung, wobei hier nicht mehr im Mittelpunkt steht, "was man hat" oder "was man weiß", sondern "wer man ist".

Gemäß Untersuchungen der International Biometric Group umfasst der Biometrie Markt 2002 etwa 500 Mio. $, wobei jeweils ein Drittel auf Handgeometrie sowie auf Fingerabdrücke entfällt und der Rest sich auf Gesichtserkennung, Stimmerkennung sowie Augenerkennung (Iris, Retina) verteilt. Es sollte jedoch nicht vergessen werden, dass auch Techniken, die sich noch im experimentellen Stadium befinden (Thermographische Erkennung, Tastaturanschlagsdynamik, Signaturerkennung, etc.) durchaus Marktchancen besitzen.

Noch ist der Anteil biometrischer System am IT Sicherheitsbereich in Relation gering, aber die Wachstumsraten sind beeindruckend, zumal Informationssicherheit in einer vernetzten Gesellschaft untrennbar mit einer verlässlichen Identifikation der involvierten Teilnehmer verbunden ist. Missbrauch wird sich nie zu hundert Prozent verhindern lassen. Klar scheint aber, dass es leichter ist eine Kreditkarte oder die (oft ohnehin nur mangelhaft geprüfte) zugehörige Unterschrift zu fälschen als gut gewählte biometrische Merkmale (Finger, Hand, Auge) täuschend echt zu imitieren.

Peter Wolfram, InterBiometrics, Geschäftsführer

Seit dem 11. September letzten Jahres sind so genannte biometrische Systeme ins Licht der Öffentlichkeit gerückt. Sie werden zur Zeit als ‚Allheilmittel' für Sicherheitsrisiken gesehen. Dabei werden aber die vorhandenen Grenzen solcher Technologien nicht berücksichtigt.

Für eine Flughafen- oder auch Stadienüberwachung sind die Systeme noch lange nicht reif; eine Person in der Menge zu finden und dann mit einer Datenbank von Tausenden zu vergleichen - das funktioniert in der Praxis eben noch nicht zufriedenstellend.

Das soll aber nicht heißen, dass Biometrie unbrauchbar ist - ganz im Gegenteil: ‚Qualitative Auswertung' heißt das Stichwort. Biometrische Systeme sollen dort angewendet werden, wo sie Sinn machen. Überall dort, wo ein 1:1 Vergleich möglich ist, liefert Biometrie zuverlässige Ergebnisse. Man muss in der Praxis klar unterscheiden zwischen einer Stadienüberwachung von tausenden Personen und einer Türabsicherung, wo einfach Berechtigungen überprüft werden.

Mit Laborwerten lässt sich hier nicht arbeiten.

Von allen bisher verfügbaren Systemen sind berührungslose absolut von Vorteil. Allerdings wird sich in Zukunft kein bestimmtes System durchsetzen. Aber es wird Standards für Biometrie geben.

Der Datenschutz wird durch Biometrie nicht verletzt, solange die Nutzer über Vor- und Nachteile der einzelnen Systeme aufgeklärt sind und wissen, wie die Systeme zu verwenden sind.

Dr. Hans G. Zeger, ARGE Daten

Im Rahmen von Terrorismusbekämpfung, Cybercrime und e-commerce wird der Ruf nach neuen, sicheren Identifikationsmethoden laut. Biometrische Informationen, die untrennbar mit einer Person verbunden sind, scheinen dazu geeignet.

Neben der Grundrechtsproblematik, bergen die Vorschläge massive technische Unsicherheiten. Betrachtet man den Einsatz von Biometrie nicht als ideologischen Heilsauftrag, lohnt es sich die technischen Details anzusehen.

Historisch gesehen sind biometrische Authentisierungen so alt wie die Menschheitsgeschichte. Schon der Teufel ließ sich seine Verträge mit Blut unterschreiben.

Fingerabdruck, eigenhändige Unterschrift und Passfoto sind altbekannte biometrische Anwendungen. Entscheidend ist nicht das Verwenden biometrischer Merkmale, sondern die verwendeten Prüfmethoden. Heutige Biometrie-Protagonisten zielen auf neue, digitale Vergleichsmethoden ab.

Aus einem fälschbaren biologischem Merkmal, wie dem Fingerabdruck, wird ein digitaler Datensatz, der wie jede andere digitale Information, kopierbar, editierbar oder verfälschbar ist. Wird ein sehr aufwendiges und komplexes Verfahren angewandt, z.B. indem viele hundert Merkmale eines Fingerabdrucks analysiert werden, dann genügen geringfügige Änderungen, wie Schmutz, Verletzungen, um die Daten unvergleichbar zu machen. Werden nur wenige Merkmale genutzt, wie bei gängigen geschlossenen Systemen zur Zugangskontrolle, dann besteht bei vielen Millionen Menschen ein massives Doppelgängerproblem.

Hinzu kommt das Korruptionsproblem. Wenn einmal ein biometrisches Merkmal verfälscht ist, was mache ich dann mit dem Träger? Daumen abhacken wird keine geeignete Strategie sein.

Ein weiterer Nachteil ist, dass ein allfälliger Missbrauch für den Betroffenen nur schwer erkennbar ist. Das "Entwenden" eines digitalen Daumencodes erfolgt für den Betroffenen unbemerkt und kann auch lange Zeit unbemerkt bleiben. Daraus ergeben sich auch völlig ungeklärte Fragen der Beweislast und Haftung bei illegalen Handlungen.

Es gibt derzeit keine Hinweise, dass biometrische Verfahren tatsächlich erhöhte Sicherheit im Massenpersonenverkehr bieten, es gibt jedoch eine enorme Zahl von unlösbaren Problemen. Aus gutem Grund existieren daher derzeit keinerlei derartige Systeme im großflächigen Betrieb.