Sicherungsverfahren

Biometrische Sicherung: Bequem ja, sicher nur vielleicht

Pins und Passwörter waren gestern. Handy- und Laptophersteller setzen zunehmend auf Fingerabdruck, Iris-Scan und Co. und versprechen dabei Komfort und Sicherheit. Vor allem bei Letzterem fordern Hacker die Industrie immer wieder heraus.
Von dpa /

Biometrische Sicherungsverfahren sind nicht immer sicher Biometrische Sicherungsverfahren sind nicht immer sicher
Bild: dpa
Für viele Computer- und Handy­nutzer ist es längst Routine: Kurz mit dem Finger über die Fläche fahren oder den Daumen auf das runde Feld drücken, schon ist der Bild­schirm entsperrt. Besitzer neuerer Geräte können zur Frei­schal­tung auch in eine 3D-Kamera gucken, in der ein Sensor das Auge oder das ganze Gesicht erfasst. Finger­ab­druck-Scan oder Gesichts­er­ken­nung - solche biome­tri­schen Authen­ti­fi­zie­rungs-Systeme sind prak­tisch. Sie sorgen unter anderem dafür, dass Verbrau­cher sich keine hundert Pins und Pass­wörter mehr merken müssen, die noch dazu oft leicht zu umgehen sind.

Und sie werden immer sicherer. Der Münchner Chip­her­steller Infi­neon etwa verbaut Sensoren mit der Time-of-Flight-Tech­no­logie (ToF) in Handys des Herstel­lers LG. Der Chip erfasst Infra­rot­licht, das vom gescannten Objekt reflek­tiert wird. Auf diese Weise wird ein 3D-Bild des Gesichts erstellt. Mit einem schlichten 2D-Foto des Besit­zers lässt sich das Handy damit nicht mehr knacken. Zuvor hatte Apple bereits eine noch etwas aufwän­di­gere Vari­ante der Gesichts­er­ken­nung ("FaceID") für das iPhone entwi­ckelt.

"Einfache Systeme wie 2D-Kameras oder Finger­ab­druck­sen­soren konnten über­listet werden", sagt Peter Laack­mann, Sicher­heits­stra­tege des Bereichs digi­tale Sicher­heits­lö­sungen beim Münchner Chip­her­steller Infi­neon. "Neuere Verfahren wie die drei­di­men­sio­nale Gesichts­er­ken­nung bieten weitaus höhere Sicher­heit." Doch hundert­pro­zentig lässt sich diese mit keinem System garan­tieren.

Bargeld­lose Bezah­lungen per Finger­ab­druck favo­ri­siert

Biometrische Sicherungsverfahren sind nicht immer sicher Biometrische Sicherungsverfahren sind nicht immer sicher
Bild: dpa
Erst Ende vergan­genen Jahres tricksten Hacker des Chaos Computer Clubs (CCC) einen Sensor aus, der die Venen­struktur unter der Hand erkennt und zuordnen kann, auch wenn es sich aus Sicht von Experten um ein veral­tetes Gerät gehan­delt hatte, das nicht auf dem neuesten Stand der Technik war.

Dennoch finden biome­tri­sche Authen­ti­fi­zie­rungs­ver­fahren auch in Deutsch­land immer mehr Anklang, denn sie verspre­chen Komfort und Sicher­heit. Fast 90 Prozent der Bundes­bürger würden etwa bargeld­lose Bezah­lungen per Finger­ab­druck auto­ri­sieren, hat der Digi­tal­ver­band Bitkom vor einigen Tagen in einer Umfrage ermit­telt. "Im Vorjahr waren es erst 80 Prozent", teilte der Verband mit. Und diese Verfahren sind auch in der Wirk­lich­keit ange­kommen. Bezahl­ver­fahren wie Apple Pay, Google Pay oder in Banken-Apps setzen längst auf eine biome­tri­sche Frei­gabe der Trans­ak­tionen.

Für die Indus­trie ist es zudem ein wich­tiges Wachs­tums­feld. Die glei­chen Sensoren, die Unter­nehmen wie Osram und Infi­neon unter anderem für das auto­nome Fahren entwi­ckeln, werden zuneh­mend auch für biome­tri­sche Verfahren in Handys oder Laptops verbaut. Das darauf spezia­li­sierte Markt­for­schungs­un­ter­nehmen Acuity Market Intel­li­gence geht davon aus, dass sich die welt­weiten Umsätze mit biome­tri­schen mobilen Anwen­dungen von derzeit rund 26 Milli­arden US-Dollar bis 2022 nahezu verdop­peln werden. Darin sind Umsätze mit Hard­ware sowie Soft­ware enthalten.

Und die Sensoren können mehr messen als Finger­ab­drücke, Gesichter und Augen. Längst können sie auch Menschen anhand ihres Gangs oder ihrer Bewe­gungen iden­ti­fi­zieren. Besagte Venen­scanner wiederum erkennen mitt­ler­weile auch, ob Blut durch diese Venen fließt, oder ob ihnen jemand eine leblose Hand­at­trappe hinhält. "Man hat alle körper­li­chen Merk­male erforscht und zumin­dest versuchs­weise auch erfasst", sagt Florian Kirch­buchner, Leiter der Abtei­lung Smart Living & Biometric Tech­no­lo­gies beim Fraun­hofer-Institut für Grafi­sche Daten­ver­ar­bei­tung (IGD) in Darm­stadt.

Mehr Sicher­heit: Verschie­dene Verfahren kombi­niert

Auf diese Weise lassen sich Menschen im Ideal­fall eindeutig iden­ti­fi­zieren. Mitar­beiter einer Firma etwa, die, einmal am Gang erkannt, Zugang zu ihrem Arbeits­platz erhalten. Die fort­schrei­tende tech­ni­sche Sicher­heit lässt sich noch erhöhen, indem verschie­dene Verfahren mitein­ander kombi­niert werden.

Doch die dabei anfal­lenden Daten sind sensibel. "Mit den so gewon­nenen Bewe­gungs­mus­tern lassen sich auch Rück­schlüsse auf unser Verhalten, unsere Vorlieben, oder sogar unsere Emotionen ziehen", sagt Kirch­buchner. Vor allem dann, wenn solche Tech­niken im Heim­be­reich instal­liert werden - sei es zum Schutz vor Einbre­chern, oder zu medi­zi­ni­schen Zwecken, etwa zur Über­wa­chung von pfle­ge­be­dürf­tigen Bewoh­nern.

Der Schutz dieser Daten müsse gewähr­leistet sein, sagt Kirch­buchner. Eine wich­tige Maßnahme sei etwa, keine Rohdaten zu spei­chern, also keine Fotos oder Audio­auf­nahmen der Stimme. Apple etwa spei­chert bei seinen "TouchID"-System keine Bilder der Finger­ab­drücke, sondern ledig­lich mathe­ma­ti­sche Darstel­lungen davon. Ein tatsäch­li­cher Finger­ab­druck kann aus diesen Daten nicht herge­leitet werden. Selbst wenn die Daten gehackt würden, wäre damit eine Iden­ti­fi­zie­rung des Nutzers nicht möglich.

Mit diesen Maßnahmen dürfte die Akzep­tanz biome­tri­scher Verfahren weiter zunehmen. Die Hard­ware liegt vor. Bei der Entwick­lung der Soft­ware hingegen, sagt Kirch­buchner, stünden Forschung und Indus­trie noch vor großen Heraus­for­de­rungen. Erken­nungs-Algo­rithmen und natür­lich die Sicher­heit müssten ständig weiter entwi­ckelt werden. Gute Nach­richten für die Branche.

Ein sicheres und nicht zu erra­tendes Pass­wort ist heut­zu­tage uner­läss­lich. Doch wie sicher ist Ihres - und wurde es viel­leicht schon mal irgendwo geklaut, veröf­fent­licht und miss­braucht? Diverse Portale geben darüber Auskunft.

Mehr zum Thema Biometrie