Wie sicher ist die biometrische Authentifizierung?

11.03.2019
Pins und Passwörter waren gestern. Handy- und Laptophersteller setzen zunehmend auf Fingerabdruck, Iris-Scan und Co. und versprechen dabei Komfort und Sicherheit. Vor allem bei Letzterem fordern Hacker die Industrie immer wieder heraus.
Viele Handynutzer entsperren ihr Gerät mit ihrem Fingerabdruck. Doch einfache Fingerabdrucksensoren konnten überlistet werden. Mehr Sicherheit verspricht die dreidimensionale Gesichtserkennung. Foto: Kay Nietfeld
Viele Handynutzer entsperren ihr Gerät mit ihrem Fingerabdruck. Doch einfache Fingerabdrucksensoren konnten überlistet werden. Mehr Sicherheit verspricht die dreidimensionale Gesichtserkennung. Foto: Kay Nietfeld

München (dpa) - Für viele Computer- und Handynutzer ist es längst Routine: Kurz mit dem Finger über die Fläche fahren oder den Daumen auf das runde Feld drücken, schon ist der Bildschirm entsperrt.

Besitzer neuerer Geräte können zur Freischaltung auch in eine 3D-Kamera gucken, in der ein Sensor das Auge oder das ganze Gesicht erfasst. Fingerabdruck-Scan oder Gesichtserkennung - solche biometrischen Authentifizierungs-Systeme sind praktisch. Sie sorgen unter anderem dafür, dass Verbraucher sich keine hundert Pins und Passwörter mehr merken müssen, die noch dazu oft leicht zu umgehen sind.

Mehr Sicherheit durch 3D-Bilder

Und sie werden immer sicherer. Der Münchner Chiphersteller Infineon etwa verbaut Sensoren mit der sogenannten Time-of-Flight-Technologie (ToF) in Handys des Herstellers LG. Der Chip erfasst Infrarotlicht, das vom gescannten Objekt reflektiert wird. Auf diese Weise wird ein 3D-Bild des Gesichts erstellt. Mit einem schlichten 2D-Foto des Besitzers lässt sich das Handy damit nicht mehr knacken. Zovor hatte Apple bereits eine noch etwas aufwändigere Variante der Gesichtserkennung («FaceID») für das iPhone entwickelt.

«Einfache Systeme wie 2D-Kameras oder Fingerabdrucksensoren konnten überlistet werden», sagt Peter Laackmann, Sicherheitsstratege des Bereichs digitale Sicherheitslösungen beim Münchner Chiphersteller Infineon. «Neuere Verfahren wie die dreidimensionale Gesichtserkennung bieten weitaus höhere Sicherheit.» Doch hundertprozentig lässt sich diese mit keinem System garantieren.

Erst Ende vergangenen Jahres tricksten Hacker des Chaos Computer Clubs (CCC) einen Sensor aus, der die Venenstruktur unter der Hand erkennt und zuordnen kann, auch wenn es sich aus Sicht von Experten um ein veraltetes Gerät gehandelt hatte, das nicht auf dem neuesten Stand der Technik war.

Authentifizierung beim Bezahlen

Dennoch finden biometrische Authentifizierungsverfahren auch in Deutschland immer mehr Anklang, denn sie versprechen Komfort und Sicherheit. Fast 90 Prozent der Bundesbürger würden etwa bargeldlose Bezahlungen per Fingerabdruck autorisieren, hat der Digitalverband Bitkom vor einigen Tagen in einer Umfrage ermittelt. «Im Vorjahr waren es erst 80 Prozent», teilte der Verband mit. Und diese Verfahren sind auch in der Wirklichkeit angekommen. Bezahlverfahren wie Apple Pay, Google Pay oder in Banken-Apps setzen längst auf eine biometrische Freigabe der Transaktionen.

Für die Industrie ist es zudem ein wichtiges Wachstumsfeld. Die gleichen Sensoren, die Unternehmen wie Osram und Infineon unter anderem für das autonome Fahren entwickeln, werden zunehmend auch für biometrische Verfahren in Handys oder Laptops verbaut. Das darauf spezialisierte Marktforschungsunternehmen Acuity Market Intelligencegeht davon aus, dass sich die weltweiten Umsätze mit biometrischen mobilen Anwendungen von derzeit rund 26 Milliarden US-Dollar bis 2022 nahezu verdoppeln werden. Darin sind Umsätze mit Hardware sowie Software enthalten.

Und die Sensoren können mehr messen als Fingerabdrücke, Gesichter und Augen. Längst können sie auch Menschen anhand ihres Gangs oder ihrer Bewegungen identifizieren. Besagte Venenscanner wiederum erkennen mittlerweile auch, ob Blut durch diese Venen fließt, oder ob ihnen jemand eine leblose Handattrappe hinhält. «Man hat alle körperlichen Merkmale erforscht und zumindest versuchsweise auch erfasst», sagt Florian Kirchbuchner, Leiter der Abteilung Smart Living & Biometric Technologies beim Fraunhofer-Institut für Grafische Datenverarbeitung (IGD) in Darmstadt.

Auf diese Weise lassen sich Menschen im Idealfall eindeutig identifizieren. Mitarbeiter einer Firma etwa, die, einmal am Gang erkannt, Zugang zu ihrem Arbeitsplatz erhalten. Die fortschreitende technische Sicherheit lässt sich noch erhöhen, indem verschiedene Verfahren miteinander kombiniert werden.

Schutz sensibler Daten

Doch die dabei anfallenden Daten sind sensibel. «Mit den so gewonnenen Bewegungsmustern lassen sich auch Rückschlüsse auf unser Verhalten, unsere Vorlieben, oder sogar unsere Emotionen ziehen», sagt Kirchbuchner. Vor allem dann, wenn solche Techniken im Heimbereich installiert werden - sei es zum Schutz vor Einbrechern, oder zu medizinischen Zwecken, etwa zur Überwachung von pflegebedürftigen Bewohnern.

Der Schutz dieser Daten müsse gewährleistet sein, sagt Kirchbuchner. Eine wichtige Maßnahme sei etwa, keine Rohdaten zu speichern, also keine Fotos oder Audioaufnahmen der Stimme. Apple etwa speichert bei seinen «TouchID»-System keine Bilder der Fingerabdrücke, sondern lediglich mathematische Darstellungen davon. Ein tatsächlicher Fingerabdruck kann aus diesen Daten nicht hergeleitet werden. Selbst wenn die Daten gehackt würden, wäre damit eine Identifizierung des Nutzers nicht möglich.

Mit diesen Maßnahmen dürfte die Akzeptanz biometrischer Verfahren weiter zunehmen. Die Hardware liegt vor. Bei der Entwicklung der Software hingegen, sagt Kirchbuchner, stünden Forschung und Industrie noch vor großen Herausforderungen. Erkennungs-Algorithmen und natürlich die Sicherheit müssten ständig weiter entwickelt werden. Gute Nachrichten für die Branche.

Bitkom-Umfrage

Marktschätzung Acuity Market Intelligence

Apple zu FaceID


Verfasser: dpa-infocom GmbH

KEYWORDS

TEILEN

Passende Anbieter

Das könnte Sie auch interessieren
Beim SmartTAN-Verfahren braucht man zusätzlich zum Passwort für den Online-Banking-Zugang noch die Bankkarte und den TAN-Generator. Anhand einer Abfolge von Lichtsignalen auf dem Bildschirm ermittelt das Gerät dann eine gültige Transaktionnummer (TAN). Diese Methode gilt als sehr sicher. Foto: Andrea Warnecke Ein Passwort reicht nicht: Zweifaktor-Authentifizierung Nur durch Passwörter geschützte Onlinekonten sind im schlimmsten Fall schnell gehackt. Mit Zweifaktorauthentifizierung ist man sicherer unterwegs, und die Daten sind geschützt. Aber was ist das eigentlich? Und welche Möglichkeiten gibt es?
Beim SmartTAN-Verfahren braucht man zusätzlich zum Passwort für den Online-Banking-Zugang noch die Bankkarte und den TAN-Generator. Diese Methode gilt als sehr sicher. Foto: Andrea Warnecke Zwei-Faktor-Authentifizierung: Was es ist und wie es geht Cyber-Attacken nehmen rasant zu. Einen besseren Schutz gegen Angreifer verspricht die Zwei-Faktor-Authentifizierung. Sie packt auf das altgediente Passwort noch einen drauf.
Google erleichtert Nutzern die Anmeldung für seine Dienste. Die Eingabe eines mehrstelligen Sicherheitscodes ist nicht mehr notwendig. Foto: Lukas Schulze Fingertipp statt Code: Google vereinfacht Anmeldung Wer sich mit seinem Smartphone bei einem Google-Dienst anmeldet, kann dabei jetzt einen Schritt weglassen. Um den schnelleren Weg nutzen zu können, müssen zuvor die Einstellungen beim Google-Konto geändert werden.
Schau mir tief in die Augen: Beim Iris-Scan wird das Muster der Netzhaut als Identifikationsmerkmal genutzt. Windows 10 unterstützt diese Sicherungsfunktion mit Hilfe spezieller Kameras. Foto: Henrik Josef Boerger Daumen drauf, Augen auf: Biometrie-Sicherung im Alltag Fingerabdruck und Iris-Scan - was früher nur im Krimi auftauchte, zieht in unseren Alltag ein. Immer mehr Smartphone- und Computer-Hersteller setzen auf Biometrie als Feature und appellieren dabei an unsere Bequemlichkeit. Aber ist das auch sicher?