IT-Beratung für den Mitelstand: EFIT , das B2B Magazin von comTeam

Es gibt unzählige Artikel darüber, wie man ein möglichst sicheres Passwort generieren kann – und es dann auch noch im Kopf behält. Solche Tipps sind sicherlich zu begrüßen, denn noch immer meinen selbst gestandene Manager, dass zu Absicherung hochbrisanter Firmeninterna „1,2,3,4“ vollkommen ausreicht. Wer als IT-Verantwortlicher die Sache mit den Passworten jedoch ernst nimmt, der weiß: Jeder neue Web-Account und jede neue Hardware sollte mit einem individuellen Passwort gesichert sein. Das überfordert viele Anwender und ist eine nahezu unerschöpfliche Fehlerquelle. 

Alternative zum Passwort

Stark im Kommen als Alternative zu den arg strapazierten traditionellen Authentifizierungsmethoden ist die Biometrie. Der Begriff Biometrie ist griechischen Ursprungs und leitet sich aus den Worten bios (= Leben) und metrein (= messen) her. Biometrische Verfahren zur Absicherung von Webaccounts, Rechnern oder auch Hauseingängen nutzen physiologische Charakteristika, meist einen Fingerabdruck, einen Handabdruck, das Gesicht oder das Muster der Iris. Manche Authentifizierungsverfahren identifizieren auch verhaltensbedingte Merkmale wie etwa das Schreibverhalten, die Lippenbewegung oder die Stimme. Bei der erstmaligen Aufnahme in ein biometrisches Verfahren – dem so genannten Enrolment – werden ausgewählte Merkmale der betroffenen Person vermessen und mittels eines Algorithmus in einen Datensatz umgewandelt. Dieses Template wird dann bei späteren Kontrollen mit den aktuell präsentierten Messwerten verglichen.

Biometrie-Markt hebt ab

Da Smartphones für immer mehr Menschen von noch größerer Bedeutung sind wie einst das Tagebuch und für Firmen das Risiko von Angriffen oder Manipulationen durch Cyberkriminelle oder gar Terroristen immer schwerwiegender wird, ist die Biometrie auf dem besten Weg, der nächste Boom-Markt zu werden. Der weltweite Markt für solche Lösungen soll von prognostizierten neun Milliarden US-Dollar (2017) auf 33,3 Milliarden Dollar im Jahr 2020 hochschnellen.

Wer damit allerdings bereits das Ende der traditionellen Authentifizierung mittels Passwort kommen sieht, ist womöglich zu voreilig. Zwar gibt es klare Pluspunkte, die für die Verifizierung mittels Biometrie sprechen. Sie funktioniert im Regelfall viel schneller und bequemer als das Passwort-Getippe. Zudem können biometrische Merkmale nicht verlegt, verloren oder vergessen werden – auch Veränderungen sind kaum möglich.

Fehleranfälligkeit gleich null

Wer allerdings glaubt, mit der Biometrie sei das Ende aller Sicherheitsprobleme gekommen, sieht sich getäuscht. Auch Fingerabdrücke oder das Aussehen der Iris lassen sich – genügend Security-Fachwissen und kriminelle Energie vorausgesetzt – fälschen und kopieren. Ein „dummer“ Iris-Scanner kann im Zweifelsfall nicht unterscheiden, ob ein Augapfel echt ist oder aus dem 3D-Drucker kommt. Es gibt auch brutale Tricks: Die organisierte Kriminalität und Terroristen schrecken bisweilen nicht davor zurück, ein Opfer seines Fingers zu berauben, um sich irgendwo illegal Zutritt zu verschaffen.

Die Technik arbeitet zudem noch nicht absolut zuverlässig. Branchenkenner sprechen derzeit von rund 98 Prozent Genauigkeit. Das hört sich im ersten Augenblick sehr vertrauenserweckend an. Werden jedoch auf einem Werkgelände mit 10.000 Mitarbeitern täglich 200 Personen nicht erkannt und wieder nach Hause geschickt, steht das Telefon des IT-Dienstleisters nicht mehr still. Wer bereits ein Smartphone mit Fingerabdruckscan sein Eigen nennt, der weiß zudem: Bei großer Kälte oder bei Nutzung mit nassen Fingern verweigert so mancher Scanner seinen Dienst. Gut, wenn man dann alternativ noch ein Passwort eingeben kann.

Auch Datenschutzbeauftrage weisen auf die Fehlerquote hin: Eine absolute Erkennungssicherheit gibt es nicht. Messfehler können beispielsweise durch altersbedingte Veränderung der körperlichen Merkmale, aber auch äußere Einflüsse wie Verletzung, Krankheiten oder Änderung der Frisur auftreten. Auch kann sich etwa der Augapfel aufgrund einer Diabeteserkrankung deutlich verändern.

Noch haben die Hersteller diese Probleme nicht hundertprozentig in Griff, ausschließlich valide Benutzer zu erkennen. Die so genannte Falschzurückweisungsrate (FRR) muss noch merklich reduziert werden. Auch das gegenteilige Problem gibt es: Unberechtigte Nutzer werden nicht erkannt, sondern irrtümlich hereingelassen. Im Fachjargon ist hier von der Falschakzeptanzrate (FAR) die Rede.

Nicht alles ist erlaubt

Wer biometrische Lösungen integrieren will, sollte auch gesetzliche Anforderungen im Blick behalten: Datenschützer weisen darauf hin, dass bei der biometrischen Messung die Datenerhebung und -verarbeitung auf das notwendige Minimum beschränkt bleiben muss. So darf ein Unternehmen beispielsweise nicht ohne erneute Einwilligung die Iris eines Besuchers für die Zugangskontrolle scannen und diese Daten nachfolgend auch zur Überwachung auf einem großen Firmengelände nutzen. Die Einführung biometrischer Verfahren am Arbeitsplatz, beispielsweise als Zutrittskontrolle oder Zugriffberechtigung zum PC, bedarf nicht nur der Einwilligung der betroffenen Mitarbeiter, sondern sie ist auch mitbestimmungspflichtig nach dem Betriebsverfassungsgesetz (BetrVG) oder dem Personalvertretungsgesetz (PersVG).

Als eines der größten Schwierigkeiten gilt derzeit die Speicherung biometrischer Daten. Ideal wäre aus Sicht der Datenschützer eine Speicherung nur auf einem verschlüsselten Medium des Besitzers. Die zentrale Speicherung birgt indes ein erhebliches Missbrauchs- und Schadenspotential, wenn etwa durch Hacking Daten in die Hände Unbefugter gelangen. Müssen Referenzdaten aus zwingenden Gründen zentral gespeichert werden, schreibt das Gesetz vor, dass die Zugriffsberechtigungen eindeutig festgelegt sein müssen. Erforderlich sind zudem verlässliche Sicherungsmechanismen nach dem aktuellen Stand der Technik wie etwa durch eine hochsichere Verschlüsselung oder Codierung.

Fazit

Planen Unternehmen die Einführung einer biometrischen Sicherheitslösung, sollten sie auch die Schwächen dieser Verfahren kennen. Dort, wo die Sicherheit absolut unternehmenskritisch ist, kann Biometrie nur ein Faktor von mehreren Maßnahmen zur Absicherung sein. Überall dort, wo es um eine effiziente und absolut zuverlässige, massenweise Abfertigung von Personen geht, scheint Biometrie zum gegenwärtigen Zeitpunkt nicht die richtige Lösung zu sein.