Die Biometrie ist im Allgemeinen eine wissenschaftliche Disziplin zur Messungen und Analyse von Lebewesen. In der Cyber-Sicherheit finden Zunehmens mittels biologischer Merkmale eine Identifikation und Authentifizierung statt. Biometrische Authentisierung verwendet physiologische oder verhaltenstypische, also personengebundene Charakteristika. Der prinzipielle Vorteil von biometrischen Verfahren für die Identifikation und Authentifizierung liegt darin, dass biometrische Merkmale nicht unmittelbar gestohlen und im Allgemeinen nur schwer kopiert werden können. Biometrische Merkmale können auf viele Arten gemessen werden. Die unterschiedlichen Verfahren messen die Gesichtserkennung, den Fingerabdruck, das Tippverhalten an einer Tastatur, die Fingergeometrie, das Fingerlängenverhältnis oder die Handgeometrie. Weitere Möglichkeiten sind die Stimmanalyse, die Erfassung der Unterschriftendynamik, des Netzhautmusters, des Irismusters oder des genetischen Codes (DNA-Analyse). Diese Verfahren können auch in unterschiedlichen Kombinationen zum Einsatz kommen.
Biometrische Verfahren können unterschiedlich verwendet werden.
1. Personenidentifikation: Feststellung der Identität
Eine Art der Nutzung ist die Feststellung der Identität. Bei der Personenidentifikation wird festgelegt, um welche Person es sich handelt. Dazu werden bei der Identifikation die aktuellen biometrischen Daten einer Person erfasst und mit den im Vorfeld erfassten biometrischen Referenzdaten einer Vielzahl von Individuen verglichen (1:n-Vergleich). Diese Referenzdaten sind beispielsweise in einer zentralen Datenbank gespeichert. Es findet somit eine Vielzahl von Vergleichen statt. Die Person wird als dasjenige Individuum identifiziert, dessen biometrischer Referenzdatensatz mit dem aktuellen biometrischen Datensatz der Person innerhalb der gewählten Toleranzgrenzen übereinstimmt.
2. Personenverifikation: Bestätigung der Identität
Personenverifikation bedeutet „Bestätigung der Identität“. Die Personenverifikation entscheidet die Frage, ob es sich bei einer Person um diejenige handelt, für die sie sich ausgibt.
Dazu werden bei der Verifikation die aktuellen biometrischen Daten einer Person erfasst und mit den im Vorfeld erfassten biometrischen Referenzdaten desjenigen Individuums verglichen, als das sich die Person ausgibt (1:1-Vergleich). Es findet ein Vergleich zweier Datensätze statt. Stimmen die beiden Datensätze innerhalb der gewählten Toleranzgrenzen miteinander überein, so wird bestätigt, dass es sich bei der Person um diejenige handelt, die sie vorgibt zu sein. Die Referenzdaten sind in der Regel lokal, zum Beispiel in einer Smartcard, sicher gespeichert.
Beide Anwendungsklassen beginnen mit einem Enrollment. Der Enrollment-Prozess dient der Registrierung der Nutzer im System, bei der die biometrischen Referenzdaten mit Metadaten der Person, wie Vorname, Name, Geburtsdatum und Geburtsort verknüpft werden. Dazu werden zunächst die biometrischen Daten einer Person mit geeigneten Sensoren erfasst. Aus den Bilddaten werden Informationen extrahiert, die eine Vermessung der biometrischen Merkmale ermöglichen. Diese können zu einer einzigartigen Kombination der Informationen in einem Template zusammengefasst und einer Identität zugeordnet werden. Mit dem Speichern dieser Zuordnung werden die Nutzer im System registriert. Da diese Daten als Vergleichsgrundlage herangezogen werden, müssen diese sorgfältig aufgenommen werden, da es sonst beim Authentisierungsprozess zu einer schlechten oder sogar zu keiner Übereinstimmung führen würde. Insbesondere muss die Sicherheit der erfassten Daten gewährleistet werden, da ein Entwenden der Daten zu großen Sicherheitsrisiken führen würde.
Beim Authentisierungsprozess werden dieselben biometrischen Merkmale des Nutzers erneut erfasst und analysiert. Da die Bedingungen beim Erfassen der Daten im Enrollment und der aktuellen Präsentation sehr unterschiedlich sein können, ist eine absolute Übereinstimmung der Daten nicht möglich. So können kleine Verletzungen an der Fingerkuppe zu einem leicht veränderten Fingerabdruck führen, die nicht den Referenzdaten aus dem Enrollment-Prozess gleichen. Der Vergleich erfolgt daher über eine hinreichende Übereinstimmung der Daten, die in einem Score ausgedrückt wird. Ein vorher festgelegter Akzeptanzschwellwert bestimmt, ob der Score ausreichend ist, um die Identifikation oder Verifikation anhand der Daten zu bestätigen.
Eigenschaften des verwendeten biometrischen Merkmals
In der Praxis werden biometrische Merkmale in passive und aktive Merkmale aufgeteilt.
Aktive biometrische Merkmale (Beipiele)
Unterschriftdynamik
Schreibverhalten
Tippverhalten an der Tastatur
Stimmerkennung
Lippenbewegung beim Sprechen
Gestik/Mimik beim Sprechen
Bewegung (Gangartzyklus und weitere Tätigkeiten)
Passive biometrische Merkmale (Beipiele)
Fingerabdruck (Daktylogramm)
Irismuster
Retinamuster
Form des Ohrs
Handgeometrie
Venenmuster auf dem Handrücken
Geruch
Thermogramm
DNA
Es werden auch Kombinationen von aktiven und passiven Merkmalen verwendet, zum Beispiel die Erfassung des Gesichts und der Gesichtsdynamik beim Sprechen kombiniert mit der Stimmerkennung.
Notwendige Eigenschaften und Nutzbarkeit eines biometrischen Verfahrens
Damit ein Merkmal für ein biometrisches Verfahren verwendet werden kann, muss es die folgenden Eigenschaften besitzen:
1. Universalität Jede Person muss dieses biometrische Merkmal besitzen.
2. Einzigartigkeit/Einmaligkeit Das biometrische Merkmal muss einzigartig in dem Sinne sein, dass es bei verschiedenen Menschen hinreichend verschieden ist. Es dürfen keine zwei oder mehr Personen mit gleichem Merkmal existieren (Herausforderung: Zwillinge).
3. Konstanz Das Merkmal sollte sich im Laufe der Zeit möglichst wenig ändern. Kleinere Veränderungen können durch adaptive biometrische Verfahren ausgeglichen werden.
4. Merkmalsverbreitung Ein Merkmal sollte, um für biometrische Verfahren geeignet zu sein, bei möglichst vielen der potenziellen Nutzer vorhanden sein. Bestimmte Bevölkerungsgruppen, die meist auf einen kleinen Personenkreis beschränkt sind, weisen jedoch gewisse Merkmale nicht auf, von daher sind für sie einige Verfahren nicht geeignet. So besitzt zum Beispiel ein geringer Bevölkerungsanteil keine ausgeprägten Fingerabdruckstrukturen. In diesem Fall muss ein alternatives Verfahren zur Verfügung gestellt werden. Besteht die Gefahr des Verlustes oder der Nichtverwendbarkeit eines biometrischen Merkmals, sollte ebenfalls ein Ersatzsystem vorgesehen werden.
5. Erfassbarkeit Das verwendete biometrische Merkmal muss quantitativ messbar sein.
6. Möglichkeit zur willentlichen Beeinflussung durch den Nutzer Einige biometrische Merkmale bieten die Möglichkeit, neben dem Hauptmerkmal eine zusätzliche Information zu übermitteln. So besteht beim Fingerabdruckverfahren die Möglichkeit, mehrere Finger zu registrieren und je nach Wahl des entsprechenden Fingers dem System eine Zusatzinformation zu geben. Bei der Stimmerkennung, die typischerweise mit einem festen, frei wählbaren Schlüsselwort verbunden ist, besteht diese Möglichkeit durch Anlernen und Speichern verschiedener Schlüsselwörter ebenfalls. Diese Eigenschaft gewinnt besondere Bedeutung in Anwendungsszenarien, in denen mit einer Erpressung des Merkmalsträgers gerechnet werden muss. Der Erpresste kann auf diese Weise einen stillen Alarm auslösen, ohne dass der Erpresser dies erkennt.
Falschakzeptanz und Falschrückweisung biometrischer Verfahren
Die wichtigsten Fehler bei biometrischen Verfahren sind die Falschakzeptanz und die Falschrückweisung.
1. Falschakzeptanzrate (FAR – engl. False Acceptance Rate) bezeichnet den Fall, dass eine nicht berechtigte Person aufgrund ähnlicher biometrischer Charakteristika akzeptiert wird. Die Falschakzeptanz stellt somit ein Komfortmerkmal der biometrischen Verfahren dar, da eher einer unberechtigten Person der Zutritt gestattet, als einer berechtigten der Zutritt verweigert wird.
2. Falschrückweisungsrate (FRR – engl. False Rejection Rate) bedeutet entsprechend, dass einer berechtigten Person der Zugang verweigert wird, weil die Übereinstimmungserfordernisse biometrischer Charakteristika sehr rigide gehandhabt werden. Die Falschrückweisung stellt somit ein Sicherheitsmerkmal der biometrischen Verfahren dar, da eher einer berechtigten Person der Zutritt verweigert, als einer unberechtigten der Zutritt gestattet wird. FRR = fälschlich zurückgewiesene Zugriffe/berechtigte Zugriffsversuche
Die Übereinstimmungserfordernisse bei biometrischen Merkmalen müssen immer einen gewissen Spielraum offenhalten. Der Fingerabdruck zum Beispiel kann durch äußere oder physiologische Temperaturschwankungen oder unterschiedliche Stimmungen der Person (Nervosität, Aufregung) geringfügige Abweichungen aufweisen, die toleriert werden sollten. Ebenso müssen Rückstände von Staub, Schmutz oder Fett auf der Haut berücksichtigt werden. Die Wahrscheinlichkeit der Falschakzeptanz und der Falschrückweisung müssen in eine akzeptable Relation zum Sicherheitslevel gebracht werden. Aufgrund dessen kann aus biometrischen Merkmalen kein kryptografischer Schlüssel abgeleitet werden. Ein solcher beruht persistent auf einer genauen mathematischen Berechnung, die keine Schwankungen zulässt.
Diskussion der Akzeptanzraten von biometrischen Verfahren Bei der Diskussion der unterschiedlichen Akzeptanzraten können die praktischen Herausforderungen von biometrischen Verfahren dargestellt werden. Die Betrachtung der Werte der Falschakzeptanzrate (FAR) in der Abbildung beginnt ganz rechts unten (100 %). In diesem Zustand wird vom biometrischen Verfahren jeder Nutzer akzeptiert. Da kein autorisierter Nutzer abgewiesen wird, liegt die Falschrückweisungsrate (FRR) bei 0 %. Da jeder unautorisierte Zugriff akzeptiert wird, liegt die FAR bei 100 %.
Je weiter der Toleranzwert verkleinert wird, desto seltener werden unautorisierte Zugriffsversuche akzeptiert – die FAR sinkt – und desto häufiger kann es vorkommen, dass autorisierte Nutzer abgewiesen werden – die FRR steigt. Bei einem Toleranzwert von 0 % geht die FRR gegen 100 % und die FAR gegen 0 %. Wie hoch die Toleranz eines biometrischen Verfahrens eingestellt wird und welche der Fehlerraten somit minimiert wird, hängt von der Anwendung ab, für die das biometrischen Verfahren eingesetzt werden soll. Je kritischer die Sicherheit für ein IT-System ist – zum Beispiel in einem Hochsicherheitsbereich –, desto eher kann von einem Nutzer Verständnis dafür erwartet werden, dass er fälschliche Abweisungen hinnehmen muss. Dagegen ist bei IT-Systemen, die als Massenanwendung eingesetzt werden sollen, die Nutzerakzeptanz, die bei häufiger fälsch fälschlicher Rückweisung sinkt, von größerer Bedeutung, da hier der Komfort oberste Priorität hat.
Vor- und Nachteile biometrischer Systeme
Die Vorteile gegenüber Authentisierungsverfahren, die auf Wissen oder Besitz funktionieren, liegen auf der Hand. Im Gegensatz zu Passwörtern oder Chipkarten können biometrische Merkmale nicht vergessen oder übertragen werden. Zudem können Passwörter mithilfe sehr unterschiedlicher Angriffsmethoden leicht kompromittiert werden.
Die Nachteile biometrischer Systeme zeigen sich beim Verlust eines Merkmals. Der Verlust eines Fingers oder Auges kann die bisherigen Referenzdaten unbrauchbar machen. Das System muss für diese Fälle Ausweichmöglichkeiten vorsehen, damit es für diesen Personenkreis dennoch nutzbar ist. Das Entwenden der Referenzdaten biometrischer Merkmale kann ebenfalls weitreichende Folgen haben. Dabei ist nicht nur das System betroffen, von dem die Daten entwendet wurden, sondern alle biometrischen Systeme, die dasselbe Merkmal zur Authentisierung nutzen. Wurden die Daten einmal entwendet, können sie nicht wie Passwörter oder Smartcards neu erstellt werden.
Die Biometrie ist im Allgemeinen eine wissenschaftliche Disziplin zur Messungen und Analyse von Lebewesen. In der Cyber-Sicherheit finden Zunehmens mittels biologischer Merkmale eine Identifikation und Authentifizierung statt.
Author
Prof. Norbert Pohlmann
Publisher Name
Institut für Internet-Sicherheit – if(is)
Publisher Logo
Biometrie Prof. Dr. Norbert Pohlmann - Cyber-Sicherheitsexperten
