Ü. Günes, N. Pohlmann:
„Präsentationsangriffe auf biometrische Systeme – Identitätsklau der physischen Art“,
IT-Sicherheit – Mittelstandsmagazin für Informationssicherheit und Datenschutz, DATAKONTEXT-Fachverlag,
5/2021
Biometrische Systeme
Als Identifikations- und Authentisierungsverfahren gewinnen biometrische Systeme immer mehr an Bedeutung. Waren sie bisher eher nur aus Filmen bekannt, wo sie für einen kleinen Mitarbeiterkreis als Zugangskontrolle zu wichtigen Räumen oder Tresoren mit kostbaren Inhalten dienten, finden biometrische Systeme immer mehr Einzug in unseren Alltag. Im elektronischem Pass ist die Speicherung biometrischer Daten bereits Pflicht. Im öffentlichen und kommerziellen Bereich werden biometrische Systeme immer mehr als zusätzliche Option angeboten, um den Zugriff auf Daten, Dienste und den Zutritt zu Räumen zu kontrollieren. Mit der Entsperrung des Smartphones sind biometrische Systeme auch im privaten Bereich angekommen. Erschwingliche Sensoren machen es sogar möglich, privat biometrische Systeme zu entwickeln.
Bei biometrischen Identifikations- und Authentifikationsverfahren muss die Person selbst gegenwärtig sein, weil die Merkmale nicht weitergeben werden können. Außerdem sind die meisten Systeme besonders komfortabel, wie beim Fingerabdruck oder Grenzübergang.
Biometrische Systeme können in zwei Anwendungsklassen unterteilt werden: Personenidentifikation und Personenverifikation Personenidentifikation
Eine Nutzungsmöglichkeit ist die Feststellung der Identität. Bei der Personenidentifikation wird festgelegt, um welche Person es sich handelt. Dazu werden bei der Identifikation die aktuellen biometrischen Daten einer Person erfasst und mit den im Vorfeld erfassten biometrischen Referenzdaten einer Vielzahl von Individuen zentral verglichen (1:n-Vergleich).
Personenverifikation
Eine weitere Art der Nutzung ist die Bestätigung der Identität. Die Personenverifikation beantwortet die Frage, ob es sich bei einer Person um diejenige handelt, für die sie sich ausgibt. Dazu werden bei der Verifikation die aktuellen biometrischen Daten einer Person erfasst und mit den im Vorfeld erfassten biometrischen Referenzdaten desjenigen Individuums verglichen, als das sich diese Person ausgibt (1:1-Vergleich) [1]. Die Referenzdaten sind in der Regel lokal sicher gespeichert.
Beide Anwendungsklassen beginnen mit einem Enrolment. Der Enrolment-Prozess dient der Registrierung der Nutzer im System, bei der die biometrischen Referenzdaten mit Metadaten der Person, wie Name und Geburtsdatum, verknüpft werden. Dazu werden zunächst die biometrischen Daten einer Person mit geeigneten Sensoren erfasst. Aus den Bilddaten werden Informationen extrahiert, die eine Vermessung der biometrischen Merkmale ermöglichen. Diese können zu einer einzigartigen Kombination der Informationen in einem Template zusammengefasst und einer Identität zugeordnet werden. Mit dem Speichern dieser Zuordnung werden die Nutzer im System registriert. Da diese Daten als Vergleichsgrundlage herangezogen werden, müssen diese sorgfältig aufgenommen werden, da es sonst beim Authentisierungsprozess zu einer schlechten oder sogar zu keiner Übereinstimmung führen würde. Insbesondere muss die Sicherheit der erfassten Daten gewährleistet werden, da ein Entwenden der Daten zu großen Sicherheitsrisiken führen würde. Beim Authentisierungsprozess werden dieselben biometrischen Merkmale des Nutzers erneut erfasst und analysiert. Da die Bedingungen beim Erfassen der Daten im Enrolment und der aktuellen Präsentation sehr unterschiedlich sein können, ist eine absolute Übereinstimmung der Daten nicht möglich. So können kleine Verletzungen an der Fingerkuppe zu einem leicht veränderten Fingerabdruck führen, die nicht den Referenzdaten aus dem Enrollment-Prozess gleichen. Der Vergleich erfolgt daher über eine hinreichende Übereinstimmung der Daten, die in einem Score ausgedrückt wird. Ein vorher festgelegter Akzeptanzschwellwert bestimmt, ob der Score ausreichend ist, um die Identifikation oder Verifikation anhand der Daten zu bestätigen [2]. Der Mensch besitzt etwa 6000 Eigenschaften, die sich als biometrische Merkmale zur Unterscheidung von Personen eignen. Die meisten können nur über eine Haar-, Blut oder Gewebeentnahme bestimmt werden. Als invasive und zeitaufwendige Methode zur Bestimmung der Merkmale kommt sie daher für biometrische Systeme nicht in Frage. Mit dem Verhalten und physiologischen Strukturen stehen zwei weitere Möglichkeiten zur Verfügung biometrische Merkmale von Menschen zu erfassen, die von außen beobachtet werden können.
…
Weitere Informationen zum Thema “Präsentationsangriffe auf biometrische Systeme – Identitätsklau der physischen Art”:Vorlesungen: „Lehrbuches Cyber-Sicherheit“ Artikel: “Aktivierung von Smartcards durch Biometrie“ Cyber-Sicherheit – Das Lehrbuch für Konzepte, Mechanismen, Architekturen und Eigenschaften von Cyber-Sicherheitssystemen in der Digitalisierung Bücher zum kostenlosen Download - Sicher im Internet: Tipps und Tricks für das digitale Leben
- Der IT-Sicherheitsleitfaden
- Firewall-Systeme – Sicherheit für Internet und Intranet, E-Mail-Security, Virtual Private Network, Intrusion-Detection-System, Personal Firewalls
Glossar Cyber-Sicherheit: Bundesamt für Sicherheit in der Informationstechnik (BSI)
kostenlos downloaden | 
