Die passwortlose Gesellschaft birgt Risiken

Biometrische Verfahren wie Gesichtserkennung, Iris-Scans und Fingerabdrücke haben Hochkonjunktur. Hohe Sicherheit können sie aber zurzeit noch nicht garantieren. Auf den richtigen Technologie-Mix kommt es an.

Jeder braucht Passwörter, aber niemand liebt sie wirklich. Passwörter haben einen riesigen Nachteil: Sie werden geleakt, geklaut oder schlicht und einfach vergessen. Generell gilt: Je sicherer das Passwort, desto schwerer lässt es sich merken. Alibaba-Gründer Jack Ma brachte daher in China sein Bezahlsystem „Smile to Pay“ auf den Markt, und seitdem können Kunden in China ihre Rechnungen mit einem Lächeln begleichen. Das System setzt neben einer 3D-Kamera einen Algorithmus ein, durch den sich Gesichtsmerkmale identifizieren lassen, die nur von menschlichen Wesen stammen können. Dadurch soll ausgeschlossen werden, dass Cyberkriminelle mit Fotos oder Videos versuchen, das System zu knacken. Aber wie gut funktioniert das?

Sicherheitstests mahnen zur Vorsicht
Biometrische Identifikationsverfahren wie Gesichtserkennung, Iris-Scans, Stimm-Muster oder Fingerabdrücke versprechen eine Welt ohne Passwörter. Sie sind ein unverwechselbares Kennzeichen, weil sie direkt einer einzelnen Person zugeordnet werden können. Scans von Fingerabdrücken, das Muster der Papillarlinien auf der Fingerkuppe, werden unter den biometrischen Verfahren weltweit zurzeit am häufigsten eingesetzt. Mit einer in der Branche geschätzten durchschnittlichen False-Acceptance-Rate (FAR) von 0,001 Prozent und einer False-Rejection-Rate (FRR) von 0,1 Prozent liegt diese Technik sicherheitstechnisch jedoch im Mittelfeld der biometrischen Verfahren. Ein FAR-Wert von 0,001 Prozent bedeutet, dass unter 100.000 Anmeldungen ein Nutzer fälschlicherweise Zugang zum System erhält. Bei einem FRR-Wert von 0,1 Prozent wird unter 1.000 Anmeldungen ein korrekter Benutzer nicht erkannt und fälschlicherweise zurückgewiesen.

Biometrische Verfahren, so unverwechselbar die dabei verwendeten Kennzeichen auch sein mögen, sind also nicht unfehlbar. Zudem lassen sich Fingerabdrücke zum Beispiel leicht auf den Gläsern oder Kaffeetassen in der Büroküche einsammeln und dann verwenden. Gelingt es einem Cyberkriminellen, sich als Mitarbeiter auszugeben und Zugang zum Firmengebäude zu verschaffen, könnte er die Fingerabdrücke kopieren und später damit ins Firmennetzwerk eindringen. Auch von anderer Seite drohen Probleme. Wird durch eine Verletzung ein Fingerabdruck verändert oder geht ganz verloren, dann lässt sich dieses verlorengegangene biometrische Merkmal nicht so einfach verändern oder ersetzen wie ein Passwort, das lediglich ausgetauscht werden muss. Auch Nässe oder Schmutz können Messergebnisse des Fingerabdruck-Scanners verfälschen. Dann bekommt ein falscher Mitarbeiter Zugang zum System und echte Mitarbeiter werden abgewiesen.

Zu hohe Fehlerquoten
Fingerscans sind daher zum Schutz von Hochsicherheitsbereichen in Firmengebäuden und auch von sensiblen Anwendungen wie Online Banking nur bedingt geeignet. Nicht viel besser sieht es zurzeit beim Verfahren der biometrischen Gesichtserkennung aus. Die Ergebnisse mittels 3D-Gesichtserkennung lassen aufhorchen. Bei Tests der amerikanischen Normierungsbehörde NIST (National Institute of Standards and Technology) wurde eine FAR-Quote von 0,1 Prozent und ein FRR-Wert von 0,3 Prozent erreicht. Zu viel, um von einer sicheren Authentifizierung via biometrischer Gesichtserkennung sprechen zu können, die auch hohen Ansprüchen genügt.

Aus sicherheitstechnischer Perspektive liegt eine passwortlose Gesellschaft, die sich ausschließlich auf biometrische Identifikationsverfahren stützt, noch nicht in greifbarer Nähe: Die Risiken sind zurzeit noch zu hoch. Passwörter dagegen haben ihre Kinderkrankheiten hinter sich. Dass sie kompromittiert werden, liegt in der Mehrzahl der Fälle nicht an den Passwörtern selbst, sondern am zu sorglosen Umgang mit ihnen. Noch immer heften sich Mitarbeiter in Unternehmen ihre Zugangscodes in Klartext auf Zetteln an den Monitor oder verwenden zu einfache Passwörter, die ein versierter Angreifer in wenigen Sekunden geknackt hat. Die Frage ist dann nicht ob, sondern wann ein Angriff erfolgt, der ernstzunehmende Konsequenzen für das betroffene Unternehmen nach sich zieht.

Matchmaker+ Anbieter zum Thema

zu Matchmaker+

1. Die passwortlose Gesellschaft birgt Risiken
2. Awareness schaffen

Lesen Sie mehr zum Thema

Weitere Artikel zu NTT Security (Germany) GmbH

5G-Mobilfunknetz am Beispiel RWTH Aachen

„Ein Private-5G-Projekt ist immer Neuland“

Modern Workplace

„Quantentechnologien per se sind kein Allheilmittel“

Personalie

Alexandra Hiendlmeier zur Geschäftsführerin von NTT Data ernannt

NTT Global Network Report 2022

Network as a Service rückt in den Fokus

Ausbau weltweiter Kapazitäten

NTT eröffnet erstes Rechenzentrum in Spanien

Weitere Artikel zu Viren-/Malware-Schutz

94 Prozent mehr Netzwerk-Malware

Krypto-Miner, Zero-Day-Malware und Linux-Bedrohungen legen zu

Malware in raubkopierter Software  

Jamf Threat: Hintertür in raubkopierten macOS-Anwendungen

Sicherheits-Lücke bei Google

Malware-Entwickler reaktivieren abgelaufene Google-Cookies

Trend Micro: Gefahr durch Infostealer

Auf diese Daten haben es Hacker am meisten abgesehen

Banking-Malware, Stealer und Ransomware

Crimeware-Report von Kaspersky zeigt drei neue Bedrohungen

Weitere Artikel zu Sicherheit

Human Risk Management

Mimecast übernimmt Elevate Security

Adventskalender von Exclusive Networks

„All I want for christmas“-Gadgets bis Weihnachten

Spezialist für IT-Sceurity

BOLL Engineering baut Distributionsportfolio kräftig aus

Security-Lösungen für Service Provider

SonicWall übernimmt Solutions Granted

OT-Sicherheit

TXOne Networks nun VDMA-Mitglied