Die Grenzen von Kamera und Fingerabdruck
Neue Wege der Biometrie
Die Terrorismusabwehr hat den biometrischen Verfahren Fingerabdruck-, Iris- und Gesichtserkennung viel Aufmerksamkeit verschafft. Scheinbar exotischere Techniken wie Handvenen-Scan und Stimmanalyse haben aber in mancherlei Hinsicht die Nase vorn.
Fingerabdruck-Scanner und Kameras mit Gesichtserkennung finden derzeit wachsendes Interesse bei
Anwendern aus der Wirtschaft. Da die Systeme in der Terrorismusbekämpfung vermehrt eingesetzt
werden, scheinen sie die nötige Praxisreife erlangt zu haben. Die Anwender laufen dabei Gefahr,
angesichts des Hypes um diese Methoden der Personenerkennung andere Ansätze aus dem Blickfeld zu
verlieren, die teils flexibler arbeiten, teils sicherer sind und in einigen Fällen auf mehr
Akzeptanz bei den Benutzern stoßen.
Fingerabdruckscanner etwa scheinen besonders ausgereift, verlieren aber nie ihre prinzipiellen
Nachteile: Die Sensoren verschmutzen und verschmieren gut sichtbar, sodass sie die potenziellen
Anwender abstoßen und ein Hygieneproblem aufwerfen. Nach wissenschaftlichen Untersuchungen verfügen
außerdem etwa fünf bis zehn Prozent aller Menschen gar nicht über Abdrücke, die für die technische
Erkennung genügen. Allein bei einer bundesweiten Einführung der Fingerabdruckerkennung als
Passabsicherung müssten für 2,5 Millionen Bürger deshalb Ersatzverfahren festgelegt werden (16.
Datenschutzbericht der Landesbeauftragten für den Datenschutz Nordrhein-Westfalen, Bettina Sokol,
2001-2002, www.lfd.nrw.de). Verletzungen, Feuchtigkeit und andere Störungen sonst lesbarer Abdrücke
senken die Verwertbarkeitsrate weiter, und die Akzeptanz leidet unter der assoziativen Verknüpfung
mit der Erfassung von Kriminellen (siehe hierzu etwa: Biometrics at the Frontiers: Assessing the
Impact on Society. For the European Parliament Committee on Citizens‘ Freedoms and Rights, European
Commission 2005-09-13, www.jrc.es, S. 57 ff).
Gesichtserkennung wird überschätzt
Den Traum, dass Gesichtserkennung per Kamera schnell der Königsweg biometrischer
Sicherheitssysteme werden könne, machte auf der Sicherheitstagung des Bayerischen Verbands für
Sicherheit in der Wirtschaft am 13. Juli 2005 in München ausgerechnet Katharina Geutebrück
zunichte, Geschäftsführerin des Video-Sicherheitsanbieters Geutebrück: Um eine Person selbst aus
einer kleineren und vergleichsweise ruhigen Menschenmenge wie etwa in einem Vortragssaal
herauszupicken, verfügen die marktgängigen Kameras heute noch nicht über die nötige Auflösung, und
die viel gelobte Verhaltensanalyse per Videobild schafft mit hinreichender Verlässlichkeit derzeit
gerade einmal die Erkennung von Falschfahrern, Fußgängern und Pannenfahrzeugen auf einer
Autobahnspur. Der häufig diskutierte Anwendungsfall "Autodieb im Parkhaus" wirft bereits Probleme
auf, da sich ein Sicherheitsmann, ein Prospektverteiler und ein desorientierter, aber legitimer
Parker kaum anders verhalten als ein potenzieller Dieb. Hier kann die Technik allerdings die
Menschen an den Bildschirmen entlasten: Werden Monitore erst bei deutlichen Anomalien aktiviert
oder blendet die Automatik Warnungen ein, ermüdet die Person am Bildschirm weniger schnell. Damit
löst die Vorfilterung ein ernstes Problem, denn auch Überwachungsprofis können am Monitor nur
relativ kurze Zeit wirklich aufmerksam die abgebildeten Räume betrachten.
Soll Gesichtserkennung zuverlässig funktionieren, ist es zurzeit also notwendig, Personen
einzeln nah an die Kameras heranzuführen. Für Türsicherungen etwa kommen die Systeme also durchaus
in Frage, spielen die erhofften Vorteile unter diesen Umständen aber nicht vollständig aus. Die
Iriserkennung schließlich leidet nach wie vor unter ihrem eigenen Akzeptanzproblem, weil Menschen
ihre Augen instinktiv schützen und sie ungern in direkte Nähe zur Kamera bringen.
Wärmesensor fürs Blut
Zwei Techniken, die möglicherweise nicht weniger, sondern mehr Aufmerksamkeit verdienen, als sie
derzeit genießen, sind die Handvenen- und die Stimmerkennung. Die berührungsfreie "
Palm-Vein-Methode" mit einem Sensor, der per Infrarotmessung aus fünf bis zehn Zentimetern
Entfernung die Blutfarbstoffe in der Handfläche von unten scannt, hat jüngst Fujitsu ins Spiel
gebracht. Thomas Bengs, Produktmanager bei Fujitsu Deutschland, bezeichnet sie als deutlich
fälschungssicherer als etwa Iriserkennung und Fingerscan, die je nach Sensor auch mit
Kontaktlinsen, Fotos, Dias oder Gummimodellen getäuscht werden können. "Der Venensensor reagiert
nur auf den Temperaturunterschied des fließendes Blutes zur Umgebung, sodass ein Angreifer auch mit
einer Verstümmelung eines berechtigten Anwenders nichts erreicht", betont er. Der
Temperaturbereich, in dem das System funktioniert, soll groß genug für Innen- und Außenräume sein.
Das Scannen von unten vermeidet Probleme, die bei anders angeordneten Sensoren durch Behaarung oder
Hautfarbe entstehen. Die Venenmuster der Hand sind nach gegenwärtigen Erkenntnissen im Gegensatz zu
denen der Finger bei jedem Menschen unterschiedlich, und das daraus gewonnene Template gerät mit
etwa 3 KByte klein genug, um datenschutzgerecht auf Smartcards oder gesplittet auf Token und Server
zu passen.
Darüber hinaus gibt es einen Vorteil, der in der Konstruktion des Sensors und seiner Handhabung
begründet liegt: Die Bewegung, die man zur Authentifizierung machen muss, ähnelt der in westlichen
Kulturen verbreiteten Praxis, sich zur Begrüßung die Hand entgegenzustrecken. Diese Geste ist also
zumindest nicht mit negativen Assoziationen belegt.
In einigen Bankprojekten wird die Palm-Vein-Technik bereits erprobt, und im Lauf des Jahres soll
nach Angaben des Herstellers ein distributionsfähiges Produkt entstehen.
Stimme entlastet den Support
Manchmal ist es nicht die Brillanz der Technik, die ein Biometriekonzept auszeichnet, sondern
die Integration und die passgenaue Anwendung. Der Anbieter Voicetrust setzt seine
Stimmverifizierung, die über die Common-Criteria-Zertifizierung EAL 2 verfügt, zusammen mit den
Partnern Microsoft, CGI und 24 Voice für das Passwort-Management ein: Enduser in einem Netz können
damit ohne Mithilfe eines Administrators ein vergessenes oder kompromittiertes Kennwort
zurücksetzen. In Deutschland setzen bereits die VW-Bank, die Karlsruher Lebensversicherung und die
Allianz Group das System ein.
Hauptzweck ist hier die Kosten sparende Entlastung des Anwender-Supports von seiner häufigsten
und zugleich lästigsten Aufgabe. Die Bindung ans Telefon reduziert Fehlerquellen, und sollte ein
Vorgang dennoch misslingen, bleibt die Möglichkeit, den Administrator zu kontaktieren, immer noch
bestehen. "Die Rate fälschlicher Zurückweisungen liegt aber nur bei zwei bis vier Prozent",
versichert Bettina Stearn, Technical Consultant bei Voicetrust. Auch hier stützt Alltagserfahrung
dieAkzeptanz, denn Menschen sind es gewohnt, sich mündlich vorzustellen. In diesem Fall ist es
allerdings vor allem die Tatsache, dass das System nicht in jedem Fall unbedingt 100-prozentig
funktionieren muss, die die Anwendbarkeit sichert. Das Unternehmen betrachtet seine Lösung auch als
möglichen TAN-Ersatz für Banken.
Info: Geutebrück Tel.: 02645/1370 Web: www.geutebrueck.de
Info: Cognitec Tel.: 0351/862920 Web: www.cognitec-systems.de
Info: Fujitsu Deutschland Tel.: 089/323780 Web: www.fujitsu.com
Info: Voicetrust Tel.: 089/127160 Web: www.voice-trust.de
Lesen Sie mehr zum Thema
