Biometrie im beruflichen Einsatz

„Da biometrische Daten, wenn sie kompromittiert wurden, nicht geändert werden können, gab und gibt es weiterhin Hemmungen, sie zur Authentifizierung im beruflichen Umfeld einzusetzen“, sagt Udo Schneider, IoT Security Evangelist Europe bei Trend Micro. Dennoch hält die Biometrie-Nutzung im dienstlichen Kontext organisch Einzug – einerseits springt die im privaten etablierte biometrische Authentifizierung bei persönlichen Geräten auch auf Geschäftshandys über und andererseits „ermöglicht es die technische Ausstattung von Geräten wie Laptops, Biometrie immer einfacher und schneller einzusetzen.“

Auch Christoph Busch, Professor für Biometrie an der Hochschule Darmstadt und (u. a.) Leiter der AG Biometrie des Bundesverbands IT-Sicherheit e.V. (TeleTrusT), betont die Auswirkungen der langjährigen Praxis vieler Menschen mit Fingerbild- und Gesichtserkennung zur Freischaltung von Smartphones oder Notebooks und resümiert: „Seit PSD2 steigt die Zahl derjenigen, die gerne und komfortabel einen biometrischen Faktor zur Authentisierung von Finanztransaktionen nutzen – international Reisende kennen zudem die automatisierte Grenzkontrolle und die dabei eingesetzte Gesichtserkennung. Die positiven Erfahrungen mit diesen Systemen haben Widerstände abgebaut.“

„Meiner eigenen Erfahrung nach wird die Biometrie von einem großen Teil der Bevölkerung angenommen. Viele glauben, dass die Biometrie die beste, ultimative Authentifizierungslösung ist. Die Biometrie war noch nie so beliebt und verfügbar wie heute“, schätzt Roger A. Grimes, Data-Driven Defense Evangelist bei KnowBe4.

Stephan Schweizer, CEO der Nevis Security, verweist auf deutliche nationale Unterschiede im Umgang mit Biometrie: „Während die Akzeptanz in UK schon seit Jahren sehr Bildgestaltung und Icons: Andreas Heller –   hoch ist, konnten wir vor allem in Deutschland Vorbehalte beobachten. Aber aktuell sehen wir auch hier eine klar steigende Akzeptanz.“ Den Wunsch nach biometrischen Verfahren belege auch das „Nevis Sicherheitsbarometer 2022“: 64 % der hierzu befragten Endanwender würden demnach gerne biometrische Authentisierungsverfahren nutzen, weil sie sich dadurch sicherer fühlten.

Eine wachsende Zahl von Regularien, die eine ordnungsgemäße Nutzung biometrischer Daten gewährleisten, sieht Benoit Jouffrey, Thales Digital Identity & Security CTO, als weitere treibende Kraft für eine erhöhte öffentliche Akzeptanz: „Glücklicherweise übernehmen Behörden inzwischen eine wichtige Rolle bei der Festlegung klarer Normen und Regeln für die Verwendung und Speicherung biometrischer Daten. Dies trägt dazu bei, das volle Potenzial und die Akzeptanz biometrischer Technologie auszuschöpfen, da wir alle verstehen müssen, wie und warum unsere sensibelsten Daten verwendet werden.“ Rechtliche Rahmenbedingungen seien unerlässlich, um Vertrauen aufzubauen und Nutzer gleichzeitig vor einer unzulässigen Verwendung ihrer biometrischen Daten zu schützen.

Die Interessensabwägung zwischen der Arbeitgeberseite und schutzwürdigen Belangen von Mitarbeiter:inne:n ist für Florian Kirchbuchner, Abteilungsleiter Smart Living and Biometric Technologies am Fraunhofer-Institut für Graphische Datenverarbeitung (IGD), weiterhin problematisch: „Hauptanwendungsfall der dienstlichen Nutzung von Biometrie ist die Zugangssicherung. Hier stellen wir fest, dass Unternehmen beispielsweise die Einrichtung biometrischer Türschließsysteme eher scheuen und Zugänge weniger mit biometrischen Verfahren absichern, sondern eher klassisch auf RFID-Chips oder Ähnliches setzen. Dabei geht es weniger um technische Hürden als um die Datenschutzthematik und das Recht auf informationelle Selbstbestimmung.“ Aufgrund der Interessensabwägung kämen biometrische Systeme daher häufiger in Hochsicherheitsbereichen zum Einsatz – allerdings sei auch eine Sprecheridentifizierung bei Banken oder Hotlines keine Seltenheit mehr.

Wolfgang Blender, Produkt Manager Markt Workforce Management bei dormakaba Deutschland, sieht Fingerprint-Verfahren bei Terminals für Zeiterfassung und Zutrittskontrolle zwar als längst etabliert an, mahnt aber: „Obwohl tausendfach im Einsatz müssen das Verfahren und die Möglichkeiten immer noch individuell erklärt werden. Nur dann gewinnen alle Beteiligten – vom Nutzer über die Datenschutzverantwortlichen bis hin zum Betreiber – Sicherheit und Vertrauen.“

Sicherheit und Technik

Auf unsere Fragen nach der Sicherheit aktueller biometrischer Systeme antwortet Robert Waniek, Security Consultant und Auditor bei HiSolutions: „Mit preisgünstiger Technik bestehen die klassischen Angriffsvektoren unverändert fort. Mit den Ergebnissen langjähriger Forschung werden Angriffsvektoren aber besser verstanden, sodass höhere Anforderungen bereits in der Planungsphase bekannt sind. Abwägungen zur Nutzbarkeit erfolgen damit auf Grundlage eines festgelegten Schutzziels als Vorgabe an die evaluierte Technologie. Wenn ein Verfahren nicht robust gegen einfache Angriffsvektoren ist, kann zum Beispiel ein oberflächlicher Fingerabdruck nicht als Sicherheitsmerkmal für wichtige Zugriffe genutzt werden.“ Den Aufwand einer umsetzungsabhängigen Risikobetrachtung könne man sich allerdings oft aufgrund öffentlich bekannter Angriffe sparen – für sicherheitsrelevante Systeme (inkl. regulärer Clients) und besonders für Kerninfrastrukturen würde daher viele Organisationen weiterhin weitgehend auf Biometrie verzichten. „Einfache biometrische Verfahren bieten im üblichen privaten Bereich einen deutlichen Mehrwert gegenüber schwachen Passwörtern oder für komplett ungeschützte Systeme“, stellt Waniek fest. Im beruflichen Umfeld trete Biometrie jedoch gegen ein  vorhandenes hohes Schutzniveau an: „Akzeptanz und Bedienkomfort dürfen nicht zulasten der Absicherung gehen. Leicht verfügbare Eingabeverfahren wie zweidimensionale Gesichtsaufnahmen und einfache Fingerabdruckscanner schützen nur ungenügend gegen einfache und öffentlich bekannte Angriffe. Teurere Verfahren wie die dreidimensionale Abtastung des Gesichts und die Berücksichtigung von Blutgefäßen im Finger erhöhen den Aufwand für Angriffe, aber können das Kernproblem von Biometrie nicht grundsätzlich beheben: Ist ein biometrisches Merkmal einmal verloren, kann man es nicht wechseln.“

„Ja, Biometrie kann überlistet werden – sei es mit gefälschten Fingerabdrücken oder Gesichtsmasken. Andererseits können auch herkömmliche Türschlösser geknackt und PIN-Codes ausgespäht werden,“ gibt Kirchbuchner (Fraunhofer IGD) zu bedenken: „Die Technik entwickelt sich stetig weiter und wird immer besser. Richtig gute biometrische Systeme sind wirklich nur sehr schwer zu überlisten. Die Frage, ob Biometrie sicherer ist als ein Schlüssel oder ein Chip, lässt sich nicht pauschal beantworten. Aus meiner Sicht bieten biometrische Verfahren mehr Komfort bei gleichwertiger Sicherheit.“

Jouffrey (Thales) betont, dass das Sicherheitsniveau von verschiedenen Faktoren abhängt: den verwendeten biometrischen Daten (z. B. Fingerabdruck, Gesichtserkennung oder Irismuster), dem Zweck (z. B. Kontrolle von Reisepass-Daten mit zus. menschlicher Supervision) sowie der Anwendung (z. B. eigenständige Verwendung, Kombination mit anderen Authentifizierungsmodellen oder Kombination mehrerer Modalitäten). „Für die Biometrie gilt dasselbe wie für andere Authentifizierungsverfahren: Es handelt sich um einen ständigen Wettlauf, bei dem regelmäßig neue Angriffe entdeckt werden (z. B. im Bereich der Präsentationsangriffe), während die Sicherheit der Produkte und Lösungen ständig verbessert wird, um diese potenziellen Schwachstellen zu beseitigen“, konstatiert Jouffrey. Um ein ausreichendes Sicherheitsniveau zu gewährleisten, setzt er auf Regularien und Zertifizierungsmodelle von Behörden, Normungsgremien oder Branchenverbänden. „Präsentationsangriffe auf Fingerbild- und Gesichtserkennung sind durch verbesserte Detektionsverfahren eingrenzbar, wenn geeignete Sensoren eingesetzt werden können“, sagt Busch (TeleTrusT), warnt aber gleichzeitig vor der Erwartung, dass überwindungssichere Sensoren ohne Zusatzkosten zu haben sind. Außerdem: „Mit Morphingangriffen auf die Gesichtserkennung sind neue Herausforderungen hinzugekommen, die wir von 10 Jahren noch nicht erkannt hatten.“

Einflüsse künstlicher Intelligenz

„Die physische Technik, die Sensoren haben sich bedeutend weiterentwickelt – vor allem aber gab es Sprünge in der Software, mithin der Erkennung (KI)“, berichtet Fuhr (intcube): „Gegen viele Bedrohungsszenarien können zeitgemäße biometrische Verfahren heute einen sehr guten Schutz bieten. Allerdings profitiert auch die Angreiferseite von der künstlichen Intelligenz. Es dürfte auf ein Katz- und Mausspiel zwischen Biometrie und Deepfakes hinauslaufen.“

Georg Hasse, Head of International Sales in der Division Homeland Security bei secunet, führt aus: „Die Entwicklung von Systemen zur Erkennung und dem Vergleich von Gesichtern beziehungsweise Gesichtsbildern zeigt, dass der Einsatz neuronaler Netze die Leistung dieser Systeme massiv erhöht hat. Des Weiteren sind hochwertige Kamerasysteme in nahezu allen mobilen Endgeräten verbaut und die Corona-Pandemie hat den Einsatz von Webcams an Arbeitsplätzen im Büro und im Homeoffice alltäglich werden lassen.“ Auch er sieht jedoch gleichzeitig eine neue Qualität möglicher Attacken: „Andererseits haben sich mit Deepfakes und qualitativ hochwertigen Morphs auch die Angriffe auf biometrische Systeme verändert und intensiviert. Daher investieren Forschungseinrichtungen und Unternehmen seit einiger Zeit verstärkt in Lösungen zur Presentation-Attack-Detection (PAD) sowie zur Morphing-AttackDetection (MAD). Erfolge dieser Bemühungen sind klar erkennbar, aber ähnlich wie bei einem Virenscanner ist eine regelmäßige Aktualisierung erforderlich.“ Der Einsatz passender biometrischer Verfahren für den jeweiligen Anwendungsfall unterstütze zweifelsohne die Umsetzung hoher Sicherheitsanforderungen, aber natürlich sei auch Biometrie kein Allheilmittel: „Die Erstellung
und Umsetzung eines umfassenden Sicherheitskonzepts ist nach wie vor erforderlich – in Zukunft wird eine
intensivere Koppelung von künstlicher Intelligenz und Biometrie stattfinden“, unterstreicht Hasse.

Schneider (Trend Micro) hat über die letzten Jahre eine klare Bedeutungszunahme biometrischer Daten für die Authentifizierung beobachtet und warnt vor einer schwer einschätzbaren Einflussgröße: „Allerdings gelangen biometrische Daten beispielsweise in Form von Bildern und Audioaufnahmen täglich in soziale Medien sowie auf Messaging-Plattformen, Nachrichtenseiten und Regierungsportale. Die hohe Qualität dieser Daten macht sie für Bedrohungsakteure interessant. Eine große Gefahr geht davon aus, dass biometrische Merkmale nicht ohne Weiteres veränderbar sind – eine Kompromittierung hat deshalb langfristige Auswirkungen auf den Benutzer. In Zukunft wird die Zwei-FaktorAuthentifizierung an Bedeutung gewinnen, um die Sicherheit bei biometrischen Verfahren zu erhöhen.“ „Von einer alleinigen Verwendung von Biometrie raten wir ab, als Komponente einer MFA erhöht sie die Sicherheit signifikant“, sagt auch Florian Oelmaier, Leiter IT-Sicherheit & Computerkriminalität, IT-Krisenmanagement bei Corporate Trust Business Risk & Crisis Management. Ein positives Beispiel sieht er im Einsatz von Windows Hello (for Business) als Vision einer passwortlosen Authentifizierung zusammen mit einem Zero-Trust-Ansatz: „Die passwortlose Idee von Microsoft basiert auf Biometrie und Besitz (TPM im PC). Kaum eine moderne Firma hat diese Technik nicht schon ausprobiert – und seit Windows 10 ist keine Zusatzsoftware mehr erforderlich, was die Einführung und Wartung im Unternehmen signifikant vereinfacht.“

Hürden und Auswege

Zu Problemen, die derzeit einem Einsatz von Biometrie im beruflichen Umfeld entgegenstehen, berichtet Oelmaier: „Die größten Hürden für die Biometrie in Unternehmen sind Überwachungsängste, Misstrauen
gegenüber der IT-Abteilung und generelle Technologiefeindlichkeit. Sowohl am Smartphone als auch bei Windows Hello werden die biometrischen Daten jedoch nur lokal verarbeitet – insofern ist hier Aufklärungsarbeit notwendig.“

In diese Richtung argumentiert auch Kirchbuchner (Fraunhofer IGD): „Das größte Hindernis ist die Akzeptanz.
Häufig werden Datenschutzbedenken ins Feld geführt. Diese sind aber meiner Ansicht nach nur teilweise gerechtfertigt: Ein biometrisches System muss keine Rohdaten, wie zum Beispiel Gesichtsbilder, speichern. Meist werden nur sogenannte Templates mit errechneten Informationen zur Identifikation oder Verifikation genutzt. Aus diesen Merkmalen kann kein ganzes Gesicht rekonstruiert werden. Für eine Verifikation müssen die Daten auch nicht in einer zentralen Datenbank vorliegen, sondern können im Hausausweis oder einem anderen persönlichen Token gespeichert werden.“ Ein Trend gehe daher dazu, eigene Mobile Devices, wie das persönliche Smartphone oder einen speziellen USB-Stick zur Authentifizierung zu nutzen. Im Übrigen sei es für neue Modelle und Algorithmen zwingend notwendig, synthetische Trainingsdaten einzusetzen, da es nicht genug reale Bilddaten zu Trainingszwecken gebe und diese meist zu einer ethnischen Verzerrung führten.

„Das größte Problem für die Einführung biometrischer Verfahren ist nicht die Technik – diese ist verfügbar und hat sich auch schon in großen Umgebungen bewährt“, sagt Schweizer (Nevis): „Das entscheidende Puzzleteil, damit die Ausbreitung biometrischer Verfahren einfach, schnell und sicher realisiert werden kann, ist die Kopplung biometrischer Verfahren mit dem standardisierten Sicherheitsprotokoll FIDO – so ist auch die Privatsphäre der Nutzer jederzeit gewährleistet.“ Hier treffe man jedoch auf ein mangelndes Verständnis der IT-Entscheider: Das Nevis Sicherheitsbarometer 2022 habe gezeigt, dass nur knapp ein Drittel der IT-Entscheider den Begriff FIDO überhaupt kenne – rund 72 % hätten sogar angegeben, ihn noch nie gehört zu haben. „Außerdem schätzen die Entscheider die Bedürfnisse ihrer Benutzer falsch ein: Nur 4 % der IT- Entscheider glauben, dass biometrische Verfahren ein Kundenbedürfnis darstellen, während fast zwei Drittel der Endanwender dies wünschen“, so Schweizer weiter.

„Sicherheit, Komfort und Benutzerakzeptanz sind drei wichtige Parameter, die berücksichtigt werden müssen“, betont Jouffrey (Thales): „Biometrie kann zur Verbesserung der Sicherheit vieler Authentifizierungslösungen eingesetzt werden – in vielen Anwendungsfällen muss dies jedoch mit einem erwarteten Maß an Bequemlichkeit einhergehen, zum Beispiel wenn die Verwendung der Gesichtserkennung Warteschlangen
erzeugt oder falsche Ablehnungen für viele den Zugang zum Unternehmen verzögern.“ Und nicht zuletzt
müsse man – besonders bei groß angelegten öffentlichen Einsatzszenarien – die Akzeptanz der Nutzer berücksichtigen und sollte auf deren Zustimmung setzen: „Biometrische Daten werden von der DSGVO als
hoch sensibel eingestuft. Daher müssen wir auch die sehr persönliche Wahrnehmung biometrischer Daten anerkennen: Menschen haben das Gefühl, dass, wenn ihre biometrischen Daten verletzt werden, ihre
eigene Identität gestohlen wurde.“ Deshalb müsse Biometrie mit einer guten Cybersicherheit zusammengeführt werden: „Das ist auch der Grund, warum wir eine biometrische Technologie fordern, die Security und Privacy by Design erfüllt.“ Die Sensibilität biometrischer Daten ergebe sich letztlich aus der Tatsache, dass es sich um Informationen handelt, die man nicht verändern kann und die tatsächlich mit einer bestimmten Person verbunden sind: „Das ist ihre eigentliche Stärke (da sie jemanden eindeutig identifizieren) und ihre Herausforderung (da diese sehr spezifischen personenbezogenen Daten gut geschützt werden müssen)“, so Jouffrey.

Unveränderlich und unersetzlich

„Trotz immer verlässlich werdender Systeme lässt sich das Grundproblem der Biometrie nicht beheben: Einmal kompromittierte Merkmale (etwa das Bild meiner Iris) kann ich niemals ändern“, unterstreicht Fuhr (intcube): „Biometrie kann und darf daher nur Übergangstechnologie sein – ähnlich wie das Erdgas heute – und sollte nicht dazu führen, dass wir die flächendeckende Einführung stärkerer kryptografiebasierter Authentifizierungsverfahren weiter hinauszögern.“

„Als Unternehmen lässt es sich kaum ermitteln, welche Merkmale welcher Benutzer bereits kompromittiert sein könnten“, warnt Schneider (Trend Micro). Das größte Problem für das berufliche Umfeld sei damit die nicht erfassbare Menge der veröffentlichten biometrischen Daten: „Fotos, Videos und Audioaufnahmen können Gesichts-, Stimm-, Iris-, Handflächen- und Fingerabdruckmuster in hoher Qualität enthalten, die Bedrohungsakteure missbrauchen können. Daher eignet sich Biometrie vor allem als Teil einer Zwei-Faktor Authentifizierung. Eine Lösung der grundsätzlichen Problematik erfordert einen umfassenden Dialog in der IT- und IT-Sicherheits-Community darüber, wie derartige Risiken vermieden werden können.“

Dass biometrische Merkmale allzu oft nicht gerade geheim sind, hält auch Grimes (KnowBe4) für ein großes Problem: „Fingerabdrücke sind überall zu finden, jeder kann ein Foto von einem Gesicht machen – und die übrigen biometrischen Merkmale können Menschen oder Datenbanken, in denen sie gespeichert sind, gestohlen werden. Dieses Thema sollte man in der heutigen Welt des Fernzugriffs und des Homeoffice nicht unterschätzen.“ Denn wie könne sich angesichts solcher Angriffe ein System, das ein biometrisches Attribut erfasst, wirklich sicher sein, dass dieses wirklich unmittelbar von dem zugehörigen Menschen präsentiert wurde? Darüber hinaus werde die von den Anbietern biometrischer Lösungen propagierte Sicherheit im Allgemeinen sehr übertrieben: „Die meisten biometrischen Verfahren sind nicht annähernd so genau wie angepriesen. Der Fingerabdruck mag beispielsweise weltweit einzigartig sein, aber das NIST kann keinen Anbieter auch nur in die Nähe seines Ziels von nur 1:100 000 Fehlern bringen“, beklagt Grimes.

Hasse (secunet) sieht nicht zuletzt noch immer organisatorische Versäumnisse als Hürde an: „Die nicht rechtzeitige Einbindung aller relevanten Stakeholder bei der Diskussion zum möglichen Einsatz von Biometrie im beruflichen Umfeld ist noch immer ein Problem. Des Weiteren herrscht nach wie vor Unsicherheit zu den rechtlichen Rahmenbedingungen – und auch das Wissen um die Leistungsfähigkeit biometrischer Systeme unter realen Umgebungsbedingungen ist bei Entscheidungsträger:inne:n oft nicht ausreichend vorhanden. Unabhängige Organisationen, wie beispielsweise die European Association for Biometrics (EAB), können hier wichtige Hilfestellung leisten. Die Zertifizierung biometrischer Systeme durch Stellen wie das BSI
ist ein weiterer Schritt in die richtige Richtung – vorausgesetzt eine erfolgte Zertifizierung wird bei Beschaffungsmaßnahmen entsprechend berücksichtigt und honoriert.“ Gerade in der Absicherung des Zugriffs auf IT-Systeme biete die Biometrie in Kombination mit einer Smartcard oder einem E-Token viel Potenzial für einen breiteren Einsatz: „Ein gehashtes und somit geschütztes biometrisches Template statt eines komplizierten Passworts erfüllt sowohl die Anforderung nach erhöhter Sicherheit als auch erhöhtem Komfort bei der Anmeldung an (kritische) IT-Systeme“, schließt Hasse.