(eigentlich: anthropometrische Authentisierung)

Ziel: Ablösung der PIN oder des Passworts, um die bekannten Probleme zu vermeiden.

Seit 11. September 2001 politischer Druck: Personalausweise mit biometrischen Merkmalen einführen.

Schlagzeilen

(Computer-Zeitung Ende 1998 (!))

• »Der Körper selbst wird zum Ausweis.« (Schneier: »You are your key.«)
• »Fingerabdrucksysteme sind zur Zeit am weitesten gereift.«
• »Fingerabdruck weckt ungute Assoziationen.«
• »Branche gibt Kombination aus Fingerprint-Check und Chipkarte die besten Chancen.«
• »Noch zwei Jahre bis zum Durchbruch.«

Einer der vielen Durchbrüche im Gebiet der IT-Sicherheit, die bisher nicht stattgefunden haben.

Geeignete biometrische Merkmale

Erfolgs- und Fehlermaße bei biometrischer Authentisierung

Sensitivität und Spezifität (Akzeptanz- und Abweisungsrate)

... sind als Qualitätsmaße aus einer kontrollierten Studie statistisch schätzbar.

Aus einer konkreten Beobachtungsreihe entsteht eine Vierfeldertafel:

Dabei ist also

Die Sensitivität wird geschätzt durch a/(a+b), das ist die Akzeptanzrate für Berechtigte.

Die Spezifität wird geschätzt durch d/(c+d), das ist die Abweisungsrate für Unberechtigte.

Bei einem guten Verfahren sind beide Werte hoch.

Durch Festlegung des Grenzwertes (für ein Übereinstimmungsmaß) kann man Sensitivität und Spezifität gegenläufig beeinflussen:

                  Grenzwert
  niedrig             |                hoch
  --------------------|-------------------->
                      |                Übereinstimmung

Senkung des Grenzwerts erhöht die Sensitivität und senkt die Spezifität.

Erhöhung des Grenzwerts erhöht die Spezifität und senkt die Sensitivität.

(Analog werden in einem mehrdimensionalen Merkmalsraum Akzeptanz- und Abweisungsbereiche festgelegt.)

Typische Werte:

• Hersteller-Behauptung: 99.9% Sensitivität und 99.999% Spezifität (Irisscan am PC nach Panasonic) [Heise]
• Unabhängige Tests: Fehlerraten zwischen 2 und 20% [Heise]

Die Fehlalarmfalle

Die Fehlalarmrate (Abweisungsrate für Berechtigte) ist der Anteil der Berechtigten unter den Abgewiesenen: b/(b+d).

Sie kann sehr hoch sein, wenn der Anteil der Berechtigten hoch, d. h. die Anzahl der unbefugten Akzeptanzgesuche gering ist - auch bei guten Verfahren. (Das ist ein sehr praxisrelevantes Szenario!)

Ein Zahlenbeispiel mit Sensitivität 99% und Spezifität 98% und 100 unberechtigten Zugangsversuchen unter insgesamt 100000:

Die Fehlalarmrate ist 1000/1098 » 91%. D. h., 91% der Abgewiesenen wurden zu Unrecht abgewiesen.

Wer den Film »Wie klaut man eine Million« gesehen hat, weiß, was passiert, wenn Wächter durch ständige Fehlalarme genervt werden. Genau das ist in Florida passiert, wo die öffentliche Überwachung mit Gesichtserkennung wieder abgeschaltet wurde.

Folgerung

• Biometrische Verfahren sind zur Identifizierung von Unbekannten als Massenanwendung nicht geeignet,
  • ebensowenig als Zugangskontrolle.
• Sie sind bedingt zur Verifikation bei gegebenen Identifikationsdaten geeignet, also zur Authentisierung.
• Gute Eignung: Authentisierung gegenüber Chipkarte:
  • Nur der eine Besitzer muss zuverlässig erkannt werden.

Der gegenwärtige »Biometrie-Hype« basiert auf der Verwechslung von Identifikation mit Authentisierung.

Übungsaufgabe: Wie sind in diesem Zusammenhang biometrische Merkmale in Personalausweisen zu beurteilen?

Allgemeine Probleme I

• Akzeptanz? (Erkennungsdienstliche Behandlung vs. Nachvollziehbarkeit)
• Datenschutz? (Universelle Datenspuren, elektronische Überwachung? Politischer Missbrauch?)
• Infrastruktur? (Zentrale Datenbanken? Normen?)
• Kosten?
• Komplexität der zugehörigen Software?
• Fälschungssicherheit? (Auch zwischen Digitalisierung und Abgleich?)
• Störanfälligkeit?
• Adjustierung der Sicherheitsschwelle (Sensitivität/Spezifität)?
• Normierung?

Allgemeine Probleme II (Schneier)

• »Biometrische Merkmale sind eindeutige Identifikatoren, aber keine Geheimnisse.«
• Keine »Schlüsseländerung« möglich.
  • Charakteristiken eines Schlüssels: Geheimhaltung, Zufälligkeit, Änderbarkeit, Zerstörbarkeit.
• Bei »Verlust« geht nichts mehr. (Szenario: Finger ab, Auto springt nicht an.)

Biometrie ist kein Ersatz für Kryptographie.

Biometrische Merkmale sind geeignet in Situationen, wo der Weg vom Sensor zum Verifikator vertrauenswürdig ist. Damit scheidet jedes Datenbank-basierte Verfahren aus.

Beispiele:

• Lokale Authentisierung gegenüber Chipkarte.
• Irisscan am fest eingebauten, manipulationssicheren Geldautomaten; aber nur, wenn nicht zum Abgleich auf eine zentrale Datenbank zugegriffen wird.

Gegenbeispiele:

• Irisscan als Zugangskontrolle zum PC.
• Fingerabdruck-Scan an »frei stehendem« Geldautomaten.

Bedenken und Forderungen der Datenschutzbeauftragten

Quelle: Positionspapier zum Antiterrorgesetz der Bundesregierung, erhältlich online beim Unabhängigen Landeszentrum für den Datenschutz Schleswig-Holstein, www.datenschutzzentrum.de.

• Keine unbemerkte Erhebung biometrischer Daten.
• Keine Speicherung von Referenzdaten außerhalb der Verfügungsgewalt der Betroffenen.
• Nebenwirkungsfreie Verfahren.
• Beachtung der Rechtsfolgen.
• Systemsicherheit und Revisionsmöglichkeiten.
• Rückfallpositionen und Auswege aus biometrischen Verfahren.

Weiterführende Verweise

• Bruce Schneier: Biometrics: Truths and Fictions. Crypto-Gram August 15, 1998. Available from World Wide Web: http://www.schneier.com/crypto-gram-9808.html.
• Tom Rowley: More on Biometrics. Crypto-Gram September 15, 1998. Available from World Wide Web: http://www.schneier.com/crypto-gram-9809.html.
• Linksammlung über die Überlistung von Fingerabdruck-Scannern: http://www.optel.pl/top.htm.
• Jan Krißler, Christiane Rütten: Feine Linien. Wie leicht sich Fingerabdrucksensoren austricksen lassen. c't 12/2007, 102-103. Siehe auch im Heise-Newsticker: Fingerabdrucksysteme für Notebooks sind unsicher.