Pictet AM: Chancen und Gefahren der Biometrie

Die Idee, jemand anhand seines physischen Erscheinungsbildes oder Verhaltens zu authentifizieren, war einst der Science-Fiction vorbehalten. Digitale Zahlungen per Fingerabdruck machten 1989 in dem Film „Zurück in die Zukunft II“ von sich reden. Und Captain Kirk verschaffte sich 1982 in Star Trek II über einen Retina-Scan Zugang zu Hochsicherheitsdateien. Heute ist die biometrische Erkennung – von der Gesichtsgeometrie bis hin zur Gangdynamik – in unserem Alltag angekommen, weil sich die Genauigkeit und die Bezahlbarkeit der Technologie rasch verbessert haben und der Passwort-Frust zunimmt.

„Besitzbasierte Biometrie verhindert skalierbare Remote-Angriffe“, sagt Andrew Shikiar, Executive Director der FIDO Alliance, einem in den USA ansässigen Zusammenschluss von Unternehmen und staatlichen Organisationen, der es sich zum Ziel gesetzt hat, die Abhängigkeit von Passwörtern zu reduzieren. Er meint damit die Authentifizierung auf der Grundlage von etwas, das jemand „hat“, wie sein Gesicht oder seine Stimme, und nicht etwas, das er kennt, wie ein Passwort. Dahinter steckt die Idee, dass die Folgen von Hackerangriffen, mit denen Passwörter entwendet werden sollen, selbst bei grossen Unternehmen abgemildert werden können, wenn die Apps und Dienste, für die die gestohlenen Passwörter benötigt werden, auch eine biometrische Zugriffsebene haben.

Hinzu kommt, dass die meisten Menschen ein Smartphone besitzen und somit einen mit dem Internet verbundenen Sprachscanner. Kein Wunder also, dass die Biometrie eine derart schnelle Ausbreitung erfährt.

Daten von Statista deuten darauf hin, dass der globale Biometrie-Markt von 36,6 Mrd. US-Dollar im Jahr 2020 auf 68,6 Mrd. US-Dollar bis 2025 wachsen wird, und Goode Intelligence prognostiziert, dass jede fünfte Zahlungskarte bis 2026 mit biometrischer Technologie ausgestattet sein wird.

Der Finanzsektor gehörte zu den ersten Branchen, die die biometrische Erkennung nutzten, mit integrierter Fingerabdruckerkennung in Payment-Lösungen und Apps von Online-Banken. Die Reise- und Tourismusbranche nutzt ebenfalls Biometrie, um zum Beispiel den Zugang zu Hotelzimmern zu ermöglichen, und Schulen prüfen, inwieweit sich die Gesichtserkennung für die Bezahlung des Mittagessens nutzen lässt.

Covid-19 und die dadurch bedingte Umsiedlung ins Homeoffice haben dem Wachstum ebenfalls einen Impuls gegeben. Andrea Carmignani, Chief Executive von Keyless, einem britischen Biometrie-Startup, erklärt, dass Firmenkunden auf das Unternehmen zugekommen seien, weil sie die Sicherheit der Geräte von mobilen Mitarbeitern erhöhen wollen: „Wir stellen fest, dass das Interesse an einer Implementierung unserer Lösungen in Arbeitsumgebungen immer grösser wird.“

So wird sich die Anzahl der weltweit jährlich durchgeführten digitalen Identitätsprüfungen laut Goode Intelligence von 1,1 Milliarden im Jahr 2021 auf 3,8 Milliarden bis 2026 mehr als verdreifachen. Das beschert Anbietern von Identitätsprüfungen einen Umsatz von 17,2 Milliarden US-Dollar.

Nicht ohne Risiken

Das Problem mit der blitzschnellen Verbreitung der Biometrie ist, und das haben die Hauptakteure der Branche schnell erkannt, dass wir mit unseren Qualitätskontrollen nicht hinterherkommen. Problematisch ist z. B. die Risikokonzentration bei Smartphones, die mit den verschiedenen Technologiestandards einhergeht.

„Die Sicherheit, die hinter der Kamera oder den winzig kleinen Fingerabdrucksensoren in einigen Smartphones steckt, ist alles andere als hoch, und trotzdem vertrauen wir dieser Technologie unsere Kreditkarten an“, sagt Peter Heuman, CEO von NEXT Biometrics, einem Hersteller von Standalone-Fingerabdrucksensoren.

Die Defizite von Passwörtern sind hinlänglich bekannt, daher erscheint der biometrische Zugriff sicherer, er ermöglicht den Zugang zu Transaktionen oder Prozessen ohne zusätzliche Prüfungen. Allerdings sind die meisten gängigen Biometrie-Lösungen nicht unfehlbar. Es kann vorkommen, dass die Stimmenprofile von Zwillingen als identisch erkannt werden, Fingerabdrücke können mit der Software PutTTY geklont werden und die Iris- und Netzhauterkennung kann mit hochauflösenden Bildern gefälscht werden.

Es gibt noch weitere Herausforderungen. Fingerabdruckscanner können die Ausbreitung von Krankheitserregern wie dem Covid-19-Virus begünstigen, und Gesichtserkennungssysteme funktionieren nicht optimal, wenn die Benutzer Masken tragen.

Einmal kompromittiert, lassen sich biometrische Datenlecks kaum beheben: „Wenn ich Ihr Passwort entwende, können Sie es zurücksetzen, aber Ihre biometrischen Merkmale können Sie nicht zurücksetzen“, so Carmignani.

Es gibt auch ethische Bedenken. Gesichtserkennungsdaten können beispielsweise ohne Zustimmung des Benutzers erhoben werden, das wirft datenschutzrechtliche Fragen auf. Bei diesen Systemen ist ausserdem die Wahrscheinlichkeit höher, dass sie bei dunkler Haut nicht so gut funktionieren wie bei heller: Die Fehlerquote bei handelsüblicher Software für Gesichtsanalysen liegt bei 0,8% bei hellhäutigen Männern, bei dunkelhäutigen Frauen sind es 34,7%.¹

Facebook hat vor kurzem angekündigt, man werde als Reaktion auf diese Probleme die Gesichtserkennung nicht mehr verwenden und die Daten löschen, wohingegen andere sie noch stärker nutzen wollen. So hat beispielsweise die indische Regierung die Einführung von Gesichtserkennungskameras in grossen Pendlerregionen beschleunigt.

Und zu guter Letzt gibt es auch Probleme mit der Benutzerfreundlichkeit. Die Stimmerkennung funktioniert in lauten Umgebungen nicht gut. Fingerabdrucksensoren fallen bei Regen aus oder funktionieren nicht richtig bei Personen, die viel mit den Händen arbeiten. Das war z. B. bei dem indischen biometrischen Ausweisprogramm Aadhar der Fall.

Das mag vielleicht nicht problematisch sein, wenn es um den Zugang zu einer einzelnen App geht, aber in Ländern wie Indien oder Estland regelt die biometrische Verifizierung zunehmend den Zugang zu grundlegenden öffentlichen Leistungen – und hier kann es katastrophale Folgen haben, wenn etwas schiefgeht. In Indien zum Beispiel sind Bürger gestorben, nachdem ihnen der Zugang zu staatlich subventionierten Lebensmitteln verwehrt blieb, weil Fingerabdruckscanner in abgelegenen Städten nicht richtig funktionierten.

"Wenn ich Ihr Passwort entwende, können Sie es zurücksetzen, aber Ihre biometrischen Merkmale können Sie nicht zurücksetzen."

Institutionelle Best-Practices

Langsam bilden sich Best-Practices heraus, mit denen sichergestellt werden soll, dass den biometrischen Überprüfungen adäquate Sicherheitsstandards zugrunde liegen. Eine wichtige Praxis ist das Layering, bei dem für den Zugang eine einfache biometrische Überprüfung nicht ausreicht, sondern eine Multifaktor-Authentifizierung nötig ist.

Darüber hinaus werden neue Technologien entwickelt, die nicht auf einer einmaligen „statischen“ Fingerabdruck- oder Gesichtskontrolle beruhen, sondern das menschliche Verhalten dynamisch beobachten, um die Identität eines Benutzers laufend zu verifizieren.

Dass kann bedeuten, dass Daten von Beschleunigungs- und Gyroskopsensoren verwendet werden, um zu verstehen, wie die Benutzer ihr Smartphone halten, wie sie es bei sich tragen oder wie sie gehen. Das Tippen auf einem Smartphone kann ebenfalls beobachtet werden, um plötzliche Veränderungen zu erkennen, die darauf hindeuten könnten, dass ein Smartphone per Fernzugriff gekapert wurde.

Keyless von Carmignani speichert keine biometrischen Daten, sondern verschlüsselt sie und verteilt sie auf unterschiedliche Server im Keyless-Netzwerk, um dadurch das Risiko einer Kompromittierung von Daten bei einem Hackerangriff zu begrenzen. Andere Unternehmen arbeiten daran, die Biometrie über die Authentifizierung hinaus auf das Onboarding und auch auf die Kontowiederherstellung auszuweiten, damit Benutzer nicht von Apps ausgesperrt werden, sollten diese kompromittiert werden.

Der Grossteil dieser Arbeit wird in Unternehmen oder Branchenverbänden wie der FIDO Alliance auf freiwilliger Basis geleistet. Das hat dazu geführt, dass in der Geschäftswelt der Ruf nach staatlichen Richtlinien lauter geworden ist.

Die Biometrie ist im Hinblick auf die Sicherheit ein Riesenfortschritt im Vergleich zu Passwörtern. Gäbe es mehr Einigkeit über ihren Einsatz, würde sich ihr Potenzial viel besser erschliessen lassen.

^{Pictet Asset Management 2022 Alle Rechte vorbehalten. Bitte lesen Sie die Geschäftsbedingungen, bevor Sie die Website konsultieren. Einige der auf dieser Website veröffentlichten Fotos wurden von Stéphane Couturier, Magnus Arrevad, Lundi 13, Phovea, 13Photo, Magnum Photos, Club Photo Pictet aufgenommen.}