Systeme und ihr Umfeld

Biometrie

Weder Allheilmittel noch Placebo

Von Astrid Albrecht, Bonn

Erst hochgelobt, dann grob verurteilt – wie steht es um die "Zauberformel" Biometrie? Eine realistische Bestandsaufnahme erfordert differenzierte Sichtweisen, die neben dem Bestreben nach höchstmöglicher Sicherheit auch die Anforderungen des konkreten Einsatzszenarios nicht außer Acht lässt. Eine Bestandsaufnahme.

Die biometrische Szene hierzulande und weltweit macht zurzeit ein Wechselbad der Gefühle durch. Da hieß es vor allem nach dem 11. September 2001, jetzt endlich sei die Zeit der großflächigen Anwendungen gekommen, die Biometrie aus den Kinderschuhen der Pilotprojekte endgültig entwachsen. Biometrie als Wunderwaffe gegen den internationalen Terrorismus? Die erste Aufregung um neue Einsatzmöglichkeiten, die ohne Zweifel bestehen, legte sich schnell wieder, nachdem man sich die Zeit nahm, über den Tellerrand der "Biometrics as cure-all" im Sinne einer omnipotenten Lösung für alle nur denkbaren Sicherheitsfragen hinauszuschauen.

Die Rückkehr zur Sachlichkeit und die Abkehr von reinen Marketingveranstaltungen erfolgte spätestens, als sowohl auf (potenzieller) Betreiber- als auch auf Anbieterseite der Realitätssinn zurückkehrte und begonnen wurde, das zu tun, was sich bei der Lösung von Sicherheitsproblemen aller Art bewährt hat: Chancen und Risiken neuer Technik und ihrer Anwendungen sorgfältig abzuwägen und alle relevanten Aspekte mit einzubeziehen, um schließlich eine realistische Kosten-Nutzen-Abschätzung durchführen zu können.

Dies mündete vielerorts, nicht nur in Deutschland, in Projekte, die unter anderem die Machbarkeit eines Einsatzes der unterschiedlichen biometrischen Systeme in Bereichen wie der Grenzkontrolle und Überprüfung von Ausweisdokumenten zum Ziel haben. In Deutschland erfolgt dies vor allem auf der Grundlage der seit Anfang 2002 geltenden neuen Regelungen in Pass- und Personalausweisgesetz. Demnach dürfen diese Dokumente neben Lichtbild und Unterschrift nun auch weitere biometrische Merkmale von "Fingern oder Händen oder Gesicht" enthalten. Das Lichtbild, die Unterschrift und die weiteren biometrischen Merkmale dürfen auch in mit Sicherheitsverfahren verschlüsselter Form in den Pass eingebracht werden. Die Details sind jedoch noch offen und müssen durch ein weiteres Bundesgesetz geregelt werden. Dieses soll die Einzelheiten der biometrischen Merkmale und die Einbringung von Merkmalen und Angaben in verschlüsselter Form sowie die Art ihrer Speicherung, ihrer sonstigen Verarbeitung und ihrer Nutzung regeln.

Im März 2002 hatten die Abschlussberichte des durch TeleTrusT initiierten Projekts BioTrusT [1] nachdrücklich gezeigt, dass die Implementierung biometrischer Verfahren in Bereichen, in denen bisher andere Authentifizierungsmethoden verwendet wurden, ein durchaus komplexer Vorgang ist. Der bloße Verzicht auf die "ach-so-lästige" und in vielen Anwendungen nicht hinreichend sichere PIN und die statt dessen erfolgende Installation eines biometrischen Verfahrens, genügen eben nicht, um der bestehenden Probleme Herr zu werden.

BioTrusT hatte sich schwerpunktmäßig mit Bank-Anwendungen befasst und war in einer Studie zum Einsatz von Biometrie in Verbindung mit der EC-Karte am Geldautomaten zum Ergebnis gekommen, dass der Wechsel des Authentifizierungsmechanismus erhebliche Folgeaspekte nach sich zieht, die nicht von jetzt auf gleich zu lösen sind (vgl. S. 26). Dies beginnt bei der Ausgabe von EC-Karten und ihrer Personalisierung auf den Berechtigten, wo bislang PIN-Briefe verschickt und allenfalls die Karten im Geldinstitut persönlich abgeholt werden. Notwendige Veränderungen der Sicherungsinfrastukturen, sorgfältige Umsetzung von datenschutzrechtlichen Vorgaben sowie Beachtung auch von verbraucherschutzbezogenen Forderungen sind nur einige der entscheidenden Aspekte.

Das schlussendliche Fazit der beteiligten Sparkassen bestand darin, zunächst auf die Verwendung biometrischer Verfahren am Geldautomaten zu verzichten. Dies bedeutet jedoch nicht mehr und nicht weniger, als dass ein Wechsel von PIN zu Biometrie in so hochkomplexen Strukturen wie dem Bankenbereich, der über die technischen und organisatorischen Einzelheiten vor Ort zudem noch nationalen wie internationalen Abstimmungsvorgängen unterliegt, nicht von heute auf morgen zu realisieren ist. Die vereinzelt publizierte Aussage, für einen großflächigen Einsatz sei Biometrie noch grundsätzlich ungeeignet und eine Wirtschaftlichkeit mittelfristig zurzeit nicht darstellbar, lässt sich aus den BioTrusT-Ergebnissen nicht ableiten.

Im Frühjahr 2002 heizte sich die Diskussion um Sinn und Unsinn biometrischer Anwendungen weiter an – in den Medien wurden vereinzelt Meldungen zu Hiobsbotschaften hochstilisiert. Neutrale Informationen zur Funktionsweise biometrischer Verfahren und zu potenziellen Einsatzmöglichkeiten, die dem "Otto-Normal-Verbraucher" die Möglichkeit gegeben hätten, sich ein Bild über diese nun plötzlich in der öffentlichen Diskussion stehenden neuen Technologie zu machen, gab es nur spärlich. Die öffentliche Berichterstattung konzentrierte sich vor allem auf die Sicherheit biometrischer Systeme. Dies ist insoweit nachvollziehbar, als die Biometrie nach dem 11. September 2001 genau in diesen Fokus gerückt war – man möchte fast hinzufügen, ohne es eigentlich selbst zu wollen.

Da die potenziellen Anwendungen und damit gleichzeitig die möglichen Vertriebschancen nunmehr vorwiegend in der Erhöhung der (inneren) Sicherheit gesehen wurden, fokussierte nahezu die gesamte Diskussion auf diesen Bereich. Der Umstand, dass viele Anbieter von Biometrie ursprünglich angetreten waren, um sich im Convenience-Bereich zu etablieren, trat fast vollständig in den Hintergrund. Es bestehen jedoch erhebliche Unterschiede in den Anforderungen an die Sicherheit der Systeme, je nachdem, ob es sich um eine sicherheitskritische Anwendung wie die Grenzkontrolle oder die bloße Kindersicherung am heimischen PC handelt. Was eigentlich eine Binsenweisheit sein sollte, fand doch nicht immer ausreichend Beachtung.

Schon in der Studie BioIS, die im Jahr 2000 durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) in Zusammenarbeit mit dem Bundeskriminalamt (BKA) durch die Fraunhofer Gesellschaft (IGD) durchgeführt worden war, waren nach Abschluss der Untersuchungen Unstimmigkeiten mit den beteiligten Unternehmen daraus entstanden, dass dort realisierte Überwindungsversuche nach Ansicht einiger Beteiligter nicht klar genug vorab vereinbart worden seien.

Unwirksam?

Erste Warentests biometrischer Produkte, die in der allgemeinen, nicht nur Fachleuten vorbehaltenen Presse veröffentlicht wurden, schienen es endgültig ans Licht zu bringen: Biometrie halte nicht das, was sie verspreche [2]. Aber worin bestand denn das referierte Versprechen, und um welche Zusagen ging es? Es ist selbstredend konsequent und notwendig, biometrische Systeme an ihrer Sicherheit zu messen, wenn sie zur Erhöhung der Sicherheit eingesetzt werden sollen. Genau wie bei anderer Technik auch ist jedoch anhand der jeweiligen Anwendung zu untersuchen, welches Sicherheitsniveau erreicht werden muss. Hieran manifestiert sich die Forderung nach "angemessener Sicherheit", die im Sinne der Anwendung verhältnismäßig sein muss.

Wie die Performance definiert sich auch die Sicherheit einer biometrischen Anwendung vor allem anhand der Falschmeldungen, die ein System aufgrund des meist individuell anzupassenden Toleranzwerts liefert. Während eine PIN richtig oder falsch ist, muss die Genauigkeit eines biometrischen Systems empirisch ermittelt und die Sicherheit somit erst kalibriert werden. Bei der Einstellung biometrischer Systeme ist deren typischer Toleranzwert in Abhängigkeit falscher Zurückweisungen und fehlerhafter Akzeptanzen von besonderer Bedeutung. Es ergeben sich unweigerlich Diskrepanzen zwischen Labor-Tests und Feld-Tests, da eine rein theoretische Abschätzung der Sicherheit hier nicht möglich ist. Vielen biometrischen Systemen fehlt es aber bislang noch an den hinreichend umfassenden und breitflächigen Feldtests, um verlässliche Aussagen liefern zu können.

Bei der Beurteilung der praktischen Relevanz von Testergebnissen ist zudem zu berücksichtigen, dass die Biometrie stets Teil einer komplexen Systemumgebung ist. Da sich ein Angreifer immer auf den schwächsten Punkt in einem Gesamtsystem konzentrieren wird, ist die isolierte Betrachtung allein der Überwindungssicherheit des biometrischen Anteils nicht ausreichend. Schließlich unterscheiden sich auch die Anforderungen an den Nutzerkomfort erheblich danach, für welche Zwecke das biometrische System eingesetzt werden soll. Komfort und Sicherheit aber korrelieren bei der Biometrie in einer bei anderen Authentifizierungsmethoden nicht bekannten Weise.

Die Überwindungssicherheit ist neben der Erkennungsgüte unstreitig ein entscheidender Faktor für die Gesamtsicherheit des Systems, aber sie ist nicht einfach zu beurteilen. Der Bundestag kam in seinem kürzlich veröffentlichten Arbeitsbericht zu biometrischen Identifikationssystemen [3] zu dem Schluss, dass "die Leistungsfähigkeit verfügbarer biometrischer Systeme … auf der Basis der – oftmals äußerst widersprüchlichen – Informationen nicht seriös einzuschätzen [sei]".

Gerade das Fehlen anerkannter Evaluierungskriterien verhindert bislang eine objektive Einschätzung biometrischer Systeme. Derartige Kriterien, deren Einhaltung durch unabhängige Stellen zertifiziert werden könnten, werden in der Zukunft zur Vertrauenswürdigkeit biometrischer Systeme entscheidend beitragen. Mitglieder der TeleTrusT-Arbeitsgruppe 6 "Biometrische Identifikaitonsverfahren" (AG 6) entwickeln derzeit in Zusammenarbeit mit internationalen Arbeitsgruppen entsprechende Kriterien auf Grundlage der Common Criteria. Möglicherweise können die Arbeiten hieran bereits in diesem Jahr abgeschlossen werden. Darüber hinaus hat das BSI Kriterien erstellt, die eine Differenzierung nach Täterklassen ermöglichen. In der AG 6 wurde zudem bereits 1999 ein Arbeitspapier zu generellen Evaluierungskriterien für biometrische Verfahren entwickelt und zur Diskussion gestellt. Seit Juli 2002 liegt zudem der Kriterienkatalog zur Vergleichbarkeit biometrischer Verfahren [4] in aktualisierter und überarbeiteter Form vor.

Nicht praxisreif?

Was ist nun aber dran an den vielfältigen Berichten, die biometrische Systeme als noch nicht alltagstauglich bezeichnen (Focus)? Befindet sich wirklich "eine Branche in Erklärungsnot" (c't)? Die Gartner Group schätzt laut Handelsblatt, dass es "noch mindestens zehn Jahre dauern werde, bis die Biometrie Marktreife erlangt habe". Unterstellt man einmal, dass den Verfassern die im TeleTrusT-Kriterienkatalog definierten unterschiedlichen Anforderungen an Zuverlässigkeit, Sicherheit, Nutzerfreundlichkeit und rechtliche Vorgaben überhaupt bekannt sind, fehlt es jedenfalls teilweise an der notwendigen Differenzierung.

Nicht nur die spezifischen Besonderheiten jedes einzelnen biometrischen Verfahrens oder Systems verbieten Pauschalurteile. Vor allem machen die unterschiedlichen Anforderungen der konkreten Anwendung eine differenzierte Betrachtung unabdingbar. Wenn Biometrie auch zurzeit keine Lösung für Geldautomaten sein mag (jedenfalls in Deutschland), so kann dies für andere Einsatzgebiete mit vollständig anderen Anforderungen gänzlich anders aussehen.

Das Hauptanwendungsfeld biometrischer Technik lag im Jahre 2000 in der Zugangskontrolle – laut Biometric Industry Report (Elsevier Publ.) mit 42% Marktanteil nach Umsatz. Die Marktumsätze biometrischer Technologien betrugen im Jahr 2000 immerhin 196 Mio. US-$. Durch die Weiterentwicklung von standardisierten Schnittstellen (z. B. BioAPI , vgl. www.bioapi.org) und interoperabler Software wie CBEFF lassen sich biometrische Systeme zunehmend besser mit bestehenden Informationssicherheitssystemen kombinieren. Einzelheiten bedürfen aber noch weiterer Bemühungen, besonders die Systemintegration.

Auch die Standardisierung auf Normungsebene muss noch viele Fortschritte machen. Aus dem Kreis der AG 6 treiben Repräsentanten in den relevanten Gremien wie DIN, ISO und dem BioAPI-Konsortium die Arbeit aktiv voran. Die Zusammenarbeit auf europäischer und transatlantischer Ebene wurde in der vergangenen Zeit ebenfalls intensiviert. Die jüngsten Bemühungen um die Koordinierung der deutschen Position zu dem für Dezember 2002 vorgesehenen Auftakt der internationalen Normungsarbeit zum Thema Biometrie im DIN sind zu begrüßen. In BioTrusT erfolgte zudem weltweit erstmalig die erfolgreiche Implementierung der BioAPI-Schnittstelle in biometrische Systeme wie dynamische Unterschriften- und Fingerabdruckerkennungssysteme.

Insgesamt haben sich die Arbeiten zur Standardisierung und Interoperabilität in den vergangenen Jahren mehr auf technische Einzelheiten wie Entwicklung von Schnittstellen, Softwareformate zum Austausch biometrischer Informationen oder die Evaluierung biometrischer Anwendungen auf Chipkarten konzentriert. Obwohl diese Arbeiten gegenwärtig noch nicht abgeschlossen sind, ist es wünschenswert, das Augenmerk nunmehr verstärkt auf die Anwendungen zu legen und solche unzweifelhaft wichtigen Einzelaspekte in das "große Ganze" zu integrieren. Ziel muss es jetzt sein, biometrische Authentifizierungsmechanismen in existierende Anwendungen und Sicherheitsinfrastrukturen einzubinden und dadurch schließlich bei gleichzeitig zunehmender Marktreife ihre Marktfähigkeit zu erhöhen.

Fazit

Und die Quintessenz? Alles ist im Fluss. Die Chancen, die sich viele für den Einsatz von Biometrie erhofft hatten, bestehen weiterhin. Unter Berücksichtigung der in den bisherigen Untersuchungen ermittelten Herausforderungen einer echten Anwendung im Gegensatz zum Labortest lassen sich heute auch die Risiken besser einschätzen. Das gilt nicht zuletzt für datenschutzrechtliche Anforderungen, die bei Biometrie wegen der betroffenen Persönlichkeitsrechte von entscheidender Bedeutung sind. Allen Unkenrufen zum Trotz entwickelt sich die Qualität von Performance und Sicherheit biometrischer Systeme fort [5]. Zweifellos muss beides aber noch weiter vorangetrieben werden.

Die Systeme müssen zudem Gelegenheit erhalten, in großflächigen Anwendungen ihre Praxistauglichkeit unter Beweis zu stellen und auch in offenen Benutzergruppen mit einer Vielzahl von Nutzern die bisherigen Annahmen zu erhärten. Es kommt jetzt vor allem darauf an, realistische Anwendungsbereiche für unterschiedliche biometrische Verfahren weiter zu identifizieren und die konkreten Anforderungen an die Systeme für die definierten Einsatzbereiche umzusetzen. Dazu gehört in jeder Anwendung unzweifelhaft auch das Kriterium Sicherheit. Die Kunst wird darin bestehen, die Sicherheitsanforderungen abhängig von den jeweilig definierten Einsatzbedingungen praxistauglich zu konkretisieren.

Astrid Albrecht ist Rechtsanwältin und arbeitet im Referat Schlüsseltechnologien des Bundesamts für Sicherheit in der Informationstechnik. Zudem ist sie Leiterin der AG 6 "Biometrische Identifikationsverfahren" des TeleTrustT e. V.

Literatur

[1]
Biotrust Homepage, [externer Link] www.biotrust.de
[2]
Lisa Thalheim, Jan Krissler, Peter-Michael Ziegler, Körperkontrolle, c't 11/2002, S. 114
[3]
Thomas Petermann, Arnold Sauter, Biometrische Identifikationssysteme, Sachstandsbericht des Büros für Technikfolgen-Abschätzung beim Deutschen Bundestag, [externer Link] www.tab.fzk.de/de/projekt/zusammenfassung/Ab-76.pdf
[4]
Kriterienkatalog zur Vergleichbarkeit biometrischer Verfahren (Version 2), [externer Link] www.teletrust.de/publikat.asp?id=40600
[5]
Gunter Laßmann, Biometrie: Besser – aber gut genug?, KES 2002/1, S. 18

© SecuMedia-Verlags-GmbH, D-55205 Ingelheim,
KES 2002/5, Seite 22

Zurück zum Inhalt       Valid HTML 4.01! Valid CSS!