Sicherheit
Authentizität gesichert
Am Einsatz biometrischer Verfahren wird über kurz oder lang kein Weg vorbeiführen, darin ist sich das Gros der Sicherheitsexperten einig.
Das kürzliche Debakel bei Ebay ist längst kein Einzelfall mehr. Weil der Zugriff nicht hinreichend geschützt war, griffen Hacker im großen Maßstab E-Mail-Daten der Kunden ab, darunter Millionen an persönlichen Passwörtern. Alle Ebay-Kunden mussten daraufhin, um Schlimmeres zu verhindern, ihre Passwörter ändern. Für Alexander Nouak, Leiter Identifikation und Biometrie am Fraunhofer IGD und Vorsitzender der European Association for Biometrics, steht außer Frage: "Mit dem richtigen biometrischen Verfahren wäre das nicht passiert." Denn biometrische Verfahren der neuen Generation seien so gut wie nicht zu knacken. Von der Biometrie könnten Unternehmen auch angesichts der wachsenden Gefahr aus dem Cyberspace durch Geheimdienste, Industriespione und andere Kriminelle profitieren.
Drei Identifikationsverfahren kristallisieren sich heraus
Drei Verfahren kristallisieren sich für eine sichere Identifikation von berechtigten Personen im Markt heraus: Der Scan des Fingerabdrucks, von Handvenen und von Fingervenen.
Zusätzlich macht die zunehmende Mobilität der Mitarbeiter den Unternehmen Druck, auch ihre Zugriffe von unterwegs auf sensible Geschäftsdaten durch eine verlässliche, biometrische Authentisierung abzusichern. Chipkarte mit PIN, USB-Schlüssel, RFID-Karte oder One-Time-Password-Token können schnell in falsche Hände geraten. Gleiches gilt für die Zugriffe von unterwegs mittels Smartphone oder Tablet per Chipkarte mit X.509-Zertifikat oder GRID-Karte beziehungsweise GRID-Token, beide mit zufallsgeneriertem Code. Auch diese Authentisierungsmittel sind somit kein Garant dafür, dass die Person, die sie nutzt, tatsächlich die berechtigte Person ist. Anders beim Einsatz biometrischer Merkmale, die der Person anhaften. Sie sind immer dabei, gehen nie verloren, werden nicht am Bildschirm angezeigt und stellen jederzeit die Authentizität der einwählenden Personen sicher.
Zudem haben die Scanner (Sensoren) mittlerweile einen Miniaturisierungsgrad erreicht und eine Kostenschwelle unterschritten, die dieses Verfahren zu einem heißen Authentisierungsaspiranten selbst für mobile Geräte wie Smartphones und Tablets machen. Seit Apples I-Phone 5S ist der Fingerabdruck-Scanner integriert, einschließlich der passenden Evaluierungs-Software. Mit der aktuellen Version des I-OS ist der bisher nur intern von Apple verwendbare Fingerabdruck-Scanner zur Nutzung für installierte Anwendungen freigegeben.
Fujitsu setzt auf Handvenen-Scanner für eine sichere, irrtumsfreie Authentizität, Hitachi auf Fingervenen-Leser. Die Tatsache, dass mobile Geräte beim Telefonieren ohnehin meist ans Ohr geführt werden, hat Hersteller dazu veranlasst, den Scan von Ohrmuscheln entwicklungstechnisch anzugehen. Dabei wird während der Bewegung des Telefons zum Ohr mit der eingebauten Kamera ein Bild der Ohrmuschel aufgenommen und ausgewertet. Keine Ohrmuschel gleicht der anderen. Sie ist damit ein ebenso verlässlicher persönlicher Identifikator wie der Fingerabdruck, die Hand- oder Fingervene.
Die verschlüsselten, persönlichen Templates mit den Referenzdaten zum Check, ob die Person berechtigt ist zuzugreifen, können direkt auf dem Smartphone beziehungsweise Tablet oder auf einerweiteren Chipkarte gespeichert werden. Oder die Templates sind innerhalb einer zentralen Datenbank bei einem Anbieter des Vertrauens hinterlegt.
Biometrische Merkmale sind aber nicht nur eindeutige Identifikatoren und somit ein Garant dafür, dass die Person tatsächlich die Person ist, die zugreifen darf. Die Speicherform der hinterlegten persönlichen Templates mit den Referenzdaten, mit denen die gescannten biometrischen Merkmale verglichen werden, sorgt für eine doppelte Absicherung. Anders Passwörter oder PINs: Sie können auf Bildschirmen abgeschaut, auf Verbindungen abgegriffen und dort, wo sie hinterlegt sind, selbst wenn sie zuvor verschlüsselt wurden, gestohlen und entschlüsselt werden. Angesichts der Aktivitäten der Geheimdienste, allen voran der NSA, ist kaum eine Verschlüsselung mehr sicher. Anders beim Einsatz biometrischer Verfahren: Die persönlichen Templates sind keine kompletten biometrischen Muster zur betreffenden Person, sondern lediglich Extrakte, errechnet mittels Vektoren. Diese Extrakte haben nichts mit den eigentlichen Körpermerkmalen gemein. Persönliche biometrische Merkmale können somit nicht von Angreifern rekonstruiert werden, selbst wenn es ihnen gelingen würde, sich der Referenzdaten zu bemächtigen. Weil für den Personenabgleich – ist es, ist es nicht – ebenfalls nur die mittels Vektoren errechneten Extrakte übertragen werden, besteht auch auf den Verbindungen keine Abhörgefahr. Ohne Anzeige am Bildschirm entfällt natürlich auch das Risiko, dass für die Authentisierung wichtige Ingredienzien von Unberechtigten abgeschaut, dann gegebenenfalls verraten werden könnten. Das einzige Risiko, das bleibt, ist, dass Fingerabdrücke versehentlich hinterlassen werden. Diese latenten Muster könnten gestohlen werden, um sie für missbräuchliche Zugriffe zu fälschen.
- Authentizität gesichert
- SSO und Compliance nur mit gesicherter Authentizität
- Rückstände bei der Infrastruktur
- Hintergründe
Lesen Sie mehr zum Thema
