slider

Biometrie - Prof. Dr. Norbert Pohlmann

Biometrie

Biometrie - Glossar Cyber-Sicherheit - Prof. Norbert Pohlmann

Was ist Biometrie?


Biometrie ist die Identifikation und Authentifizierung mittels biologischer Merkmale. Biometrische Authentisierung verwendet physiologische oder verhaltenstypische, also personengebundene Charakteristika. Der prinzipielle Vorteil von biometrischen Verfahren für die Identifikation und Authentifizierung liegt darin, dass biometrische Merkmale nicht unmittelbar gestohlen und im Allgemeinen nur schwer kopiert werden können.
Biometrische Merkmale können auf viele Arten gemessen werden. Die unterschiedlichen Verfahren messen die Gesichtserkennung, den Fingerabdruck, das Tippverhalten an einer Tastatur, die Fingergeometrie, das Fingerlängenverhältnis oder die Handgeometrie. Weitere Möglichkeiten sind die Stimmanalyse, die Erfassung der Unterschriftendynamik, des Netzhautmusters, des Irismusters oder des genetischen Codes (DNA-Analyse). Diese Verfahren können auch in unterschiedlichen Kombinationen zum Einsatz kommen.


Eigenschaften des verwendeten biometrischen Merkmals
In der Praxis werden biometrische Merkmale in passive und aktive Merkmale aufgeteilt.
Es werden auch Kombinationen von aktiven und passiven Merkmalen verwendet, zum Beispiel die Erfassung des Gesichts und der Gesichtsdynamik beim Sprechen kombiniert mit der Stimmerkennung.


Notwendige Eigenschaften und Nutzbarkeit eines biometrischen Verfahrens
Damit ein Merkmal für ein biometrisches Verfahren verwendet werden kann, muss es die folgenden Eigenschaften besitzen:

1. Universalität
Jede Person muss dieses biometrische Merkmal besitzen.

2. Einzigartigkeit/Einmaligkeit
Das biometrische Merkmal muss einzigartig in dem Sinne sein, dass es bei verschiedenen Menschen hinreichend verschieden ist. Es dürfen keine zwei oder mehr Personen mit gleichem Merkmal existieren (Herausforderung: Zwillinge).

3. Konstanz
Das Merkmal sollte sich im Laufe der Zeit möglichst wenig ändern. Kleinere Veränderungen können durch adaptive biometrische Verfahren ausgeglichen werden.

4. Merkmalsverbreitung
Ein Merkmal sollte, um für biometrische Verfahren geeignet zu sein, bei möglichst vielen der potenziellen Nutzer vorhanden sein. Bestimmte Bevölkerungsgruppen, die meist auf einen kleinen Personenkreis beschränkt sind, weisen jedoch gewisse Merkmale nicht auf, von daher sind für sie einige Verfahren nicht geeignet. So besitzt zum Beispiel ein geringer Bevölkerungsanteil keine ausgeprägten Fingerabdruckstrukturen. In diesem Fall muss ein alternatives Verfahren zur Verfügung gestellt werden. Besteht die Gefahr des Verlustes oder der Nichtverwendbarkeit eines biometrischen Merkmals, sollte ebenfalls ein Ersatzsystem vorgesehen werden.

5. Erfassbarkeit
Das verwendete biometrische Merkmal muss quantitativ messbar sein.

6. Möglichkeit zur willentlichen Beeinflussung durch den Nutzer
Einige biometrische Merkmale bieten die Möglichkeit, neben dem Hauptmerkmal eine zusätzliche Information zu übermitteln. So besteht beim Fingerabdruckverfahren die Möglichkeit, mehrere Finger zu registrieren und je nach Wahl des entsprechenden Fingers dem System eine Zusatzinformation zu geben. Bei der Stimmerkennung, die typischerweise mit einem festen, frei wählbaren Schlüsselwort verbunden ist, besteht diese Möglichkeit durch Anlernen und Speichern verschiedener Schlüsselwörter ebenfalls. Diese Eigenschaft gewinnt besondere Bedeutung in Anwendungsszenarien, in denen mit einer Erpressung des Merkmalsträgers gerechnet werden muss. Der Erpresste kann auf diese Weise einen stillen Alarm auslösen, ohne dass der Erpresser dies erkennt.

Falschakzeptanz und Falschrückweisung

Die wichtigsten Fehler bei biometrischen Verfahren sind die Falschakzeptanz und die Falschrückweisung.

1. Falschakzeptanzrate (FAR – engl. False Acceptance Rate) bezeichnet den Fall, dass eine nicht berechtigte Person aufgrund ähnlicher biometrischer Charakteristika akzeptiert wird. Die Falschakzeptanz stellt somit ein Komfortmerkmal der biometrischen Verfahren dar, da eher einer unberechtigten Person der Zutritt gestattet, als einer berechtigten der Zutritt verweigert wird.

2. Falschrückweisungsrate (FRR – engl. False Rejection Rate) bedeutet entsprechend, dass einer berechtigten Person der Zugang verweigert wird, weil die Übereinstimmungserfordernisse biometrischer Charakteristika sehr rigide gehandhabt werden. Die Falschrückweisung stellt somit ein Sicherheitsmerkmal der biometrischen Verfahren dar, da eher einer berechtigten Person der Zutritt verweigert, als einer unberechtigten der Zutritt gestattet wird.
FRR = fälschlich zurückgewiesene Zugriffe/berechtigte Zugriffsversuche


Die Übereinstimmungserfordernisse bei biometrischen Merkmalen müssen immer einen gewissen Spielraum offenhalten. Der Fingerabdruck zum Beispiel kann durch äußere oder physiologische Temperaturschwankungen oder unterschiedliche Stimmungen der Person (Nervosität, Aufregung) geringfügige Abweichungen aufweisen, die toleriert werden sollten. Ebenso müssen Rückstände von Staub, Schmutz oder Fett auf der Haut berücksichtigt werden. Die Wahrscheinlichkeit der Falschakzeptanz und der Falschrückweisung müssen in eine akzeptable Relation zum Sicherheitslevel gebracht werden. Aufgrund dessen kann aus biometrischen Merkmalen kein kryptografischer Schlüssel abgeleitet werden. Ein solcher beruht persistent auf einer genauen mathematischen Berechnung, die keine Schwankungen zulässt.


Diskussion der Akzeptanzraten
Bei der Diskussion der unterschiedlichen Akzeptanzraten können die praktischen Herausforderungen von biometrischen Verfahren dargestellt werden.
Die Betrachtung der Werte der Falschakzeptanzrate (FAR) in der Abbildung beginnt ganz rechts unten (100 %). In diesem Zustand wird vom biometrischen Verfahren jeder Nutzer akzeptiert. Da kein autorisierter Nutzer abgewiesen wird, liegt die Falschrückweisungsrate (FRR) bei 0 %. Da jeder unautorisierte Zugriff akzeptiert wird, liegt die FAR bei 100 %.

Falschakzeptanz- und Falschrückweisungsrate - Glossar Cyber-Sicherheit - Prof. Norbert Pohlmann

Je weiter der Toleranzwert verkleinert wird, desto seltener werden unautorisierte Zugriffsversuche akzeptiert – die FAR sinkt – und desto häufiger kann es vorkommen, dass autorisierte Nutzer abgewiesen werden – die FRR steigt.
Bei einem Toleranzwert von 0 % geht die FRR gegen 100 % und die FAR gegen 0 %.
Wie hoch die Toleranz eines biometrischen Verfahrens eingestellt wird und welche der Fehlerraten somit minimiert wird, hängt von der Anwendung ab, für die das biometrischen Verfahren eingesetzt werden soll.
Je kritischer die Sicherheit für ein IT-System ist – zum Beispiel in einem Hochsicherheitsbereich –, desto eher kann von einem Nutzer Verständnis dafür erwartet werden, dass er fälschliche Abweisungen hinnehmen muss.
Dagegen ist bei IT-Systemen, die als Massenanwendung eingesetzt werden sollen, die Nutzerakzeptanz, die bei häufiger fälsch fälschlicher Rückweisung sinkt, von größerer Bedeutung, da hier der Komfort oberste Priorität hat.


Weitere Informationen zum Begriff “Biometrie”:

Artikel:
“Biometrie: Netzwerk, öffne dich”


“Biometrie – Bessere Identifikation, sichere Authentisierung”

“Einführung der Biometrie in die IT-Infrastruktur, Teil 1: Identität und Authentizität”

“Einführung der Biometrie in die IT-Infrastruktur, Teil 2: Identität und Authentizität”

Informationen über das Lehrbuch: „Cyber-Sicherheit“

Glossar Cyber-Sicherheit: Bundesamt für Sicherheit in der Informationstechnik (BSI)

Zurück zur Übersicht
Biometrie - Glossar Cyber-Sicherheit - Prof. Norbert Pohlmann
Biometrie Prof. Dr. Norbert Pohlmann - Cyber-Sicherheitsexperten