Schau mir in die Augen, Kleines! Kleiner Exkurs zur Biometrie
Ethan Hunt blickt in eine Kodak-Einwegkamera; sie scannt seine Iris. Plötzlich wird ihm Zugriff auf geheime Informationen an einem Bildschirm gewährt. Diese Szene aus Mission Impossible 3 veranschaulicht, wie eine Person mittels biometrischer Merkmale identifiziert werden kann. Was lange Zeit Stoff für Science-Fiction-Filme lieferte, wird zunehmend real. Biometrische Authentifizierungsverfahren beeinflussen unser Leben bereits grundlegend: Denken Sie nur an Ihren Personalausweis und die automatisierte Grenzkontrolle auf Ihrer letzten Reise.
In unserem Alltag begegnet uns ein Authentifizierungsmerkmal am laufenden Band: Passwörter. Sowohl beruflich als auch privat sind sie allgegenwärtig. Möglichst kompliziert und einzigartig sollen sie sein – kein Wunder also, dass fast jeder von uns schon einmal eines vergessen hat. Ohne Gedankenstütze oder Notiz stößt man hier schnell an seine Grenzen. Anstelle der Passworteingabe bietet die Authentifizierung mittels biometrischer Merkmale daher eine bequeme Alternative. Biometrische Merkmale – darunter fallen u.a. der Fingerabdruck, die Iris, Stimme, Handvenen, das Gesicht – haben wir ganz automatisch immer dabei.
Mehr als nur Komfort – Know Your Customer
Die Vorteile von Biometrie für die Kundenauthentifizierung bzw. -identifizierung – auch im Finanzdienstleistungssektor – liegen also auf der Hand. Ganz im Sinne von „Know Your Customer“ bietet sie mehr Sicherheit für den Dienstleistungsanbieter und mehr Komfort und Schutz für den Kunden.
Schon heute gibt es Banken, die auf Voice Recognition (Spracherkennung) zur Identifizierung eines Anrufers setzen. Dabei muss der Einsatz von Biometrie nicht zwangsläufig isoliert betrieben werden, auch die Kombination mit anderen aktuellen Trends, wie der künstlichen Intelligenz, ist möglich. Will ein Kunde also eine telefonische Beratung bei seiner Bank in Anspruch nehmen, wird er anhand seiner Stimme erkannt (Biometrie). Bereits im Vorfeld oder während des Telefonats können mit Unterstützung künstlicher Intelligenz das Anrufanliegen definiert und passgenaue Vorschläge, bzw. exakt zugeschnittene Angebote für den Kunden generiert werden.
Wie funktionieren biometrische Authentifizierungsverfahren?
Doch gehen wir einen Schritt zurück. Wie funktionieren biometrische Authentifizierungsverfahren überhaupt? Verkürzt dargestellt lassen sich drei Hauptphasen nennen:
- Enrollment: das Erfassen der biometrischen Daten, wie z.B. dem Fingerabdruck
- Verification: das Verfahren, indem bestätigt wird, dass die biometrischen Daten tatsächlich der agierenden Person gehören
- Identification: die eigentliche Identifizierung, sprich Authentifizierung
Dahinter stecken diverse komplizierte Algorithmen, Technologien und Sicherheitsmaßnahmen, die das Risiko eines Identitätsdiebstahls oder einer Manipulation minimieren. Auch die Auswahl der Hardware (bspw. der Scanner für biometrische Merkmale) spielt eine große Rolle. In einem sicheren Verfahren kann also beispielsweise ausgeschlossen werden, dass das gescannte Gesicht eine Silikonmaske oder sogar nur ein auf Papier gedrucktes Bild ist.
Regelungen für den Einsatz von Biometrie
Der Einsatz von biometrischen Merkmalen zur Identifizierung von Personen wird in neuen gesetzlichen und regulatorischen Anforderungen wie der EU-Datenschutz-Grundverordnung (EU-DSGVO) und den Regulierungsstandards (RTS unter PSD II) der European Banking Authority (EBA) geregelt. Auch internationale Standards wie die ISO definieren Best Practices für den sicheren Einsatz von Biometrie. Dazu gehören z.B. die ISO/IEC 24745:2011 „Information technology – Security techniques – Biometric information protection“.
Die Regulierungsstandards (RTS unter PSD II) schreiben die 2-Faktorenauthentifizierung als starke Kundenauthentifizierung vor. Zu den insgesamt drei Faktoren zählen:
- Wissen (z.B. Passwort oder PIN)
- Besitz (z.B. Karte oder Token)
- Inhärenz (Biometrische Merkmale z.B. Fingerabdruck, Stimm- /Gesichtserkennung)
Demgegenüber verbietet die EU-Datenschutz-Grundverordnung die Verarbeitung biometrischer Daten zur eindeutigen Identifizierung einer natürlichen Person, mit Ausnahmen wie z.B. einer ausdrücklichen Einwilligung der betroffenen Person.
Im Gegensatz zu einem Passwort oder einer Karte können biometrische Merkmale nicht neu generiert oder ersetzt werden. Daher bedarf es Verfahren, bei denen biometrische mit weiteren Merkmalen kombiniert werden, aus denen ein Code generiert wird. Dieser wird letzten Endes für die Authentifizierung verwendet und kann nach einem Identitätsdiebstahl auch neu generiert werden.
Sicherheit und Komfort – auf die Waagschale gelegt
Haben Sie schon mal den Spruch „Security ist der Killer von Usability“ gehört? Diese Aussage lässt sich auch umdrehen. Setzt man die Algorithmen im Sinne der Benutzerfreundlichkeit so ein, dass die Erkennungsrate äußert hoch ist, läuft man gleichzeitig Gefahr, dass falsche oder manipulierte Merkmale vom System als richtig erkannt und akzeptiert werden. Umgekehrt führt eine äußert strenge Prüfung von biometrischen Merkmalen zu eingeschränkter Benutzerfreundlichkeit und somit geringerer Akzeptanz.
Geringe oder gar fehlende Akzeptanz seitens der Anwender stellt durchaus ein Problem für den Einsatz biometrischer Merkmale bei Authentifizierungsverfahren dar. Hier kann es für die Unternehmen bedeuten, dass diesen Kunden alternative Verfahren mit 2-Faktorenauthentifizierung – in diesem Fall Wissen und Besitz – angeboten werden sollen. Das kann natürlich mit höherem Aufwand verbunden sein, da mehrere Authentifizierungsverfahren parallel betrieben werden müssten. Wichtig ist im Endeffekt, dass Sicherheit und Benutzerfreundlichkeit in einem ausgewogenen Maß stehen.
Ein kurzer Blick in die Glaskugel
Es lässt sich viel darüber diskutieren, ob die Biometrie tatsächlich das hohe Maß an Komfort bietet, das sie verspricht und sich langfristig durchsetzen kann. Wenn wir einen Blick zurückwerfen, erkennen wir aber, dass viele Technologien, die uns heute alltäglich erscheinen, zu Beginn vielfacher Kritik ausgesetzt waren. Auch ist die bereits beschriebene Koppelung biometrischer Verfahren mit weiteren Trendtechnologien wie der künstlichen Intelligenz, aber auch Distributed Ledger Technology (DLT) oder Internet of Things denkbar und vielversprechend.
Bei GFT verfolgen wir die Entwicklung im Bereich Biometrie seit Jahren und treiben diese selbst voran. So haben wir, gemeinsam mit einem öffentlich-rechtlichen Institut und dem zugehörigen Dachverband bereits einen Feldversuch mit biometrischen Autorisierungsverfahren am Geldautomaten durchgeführt. Darüber hinaus sind wir Mitglied in der European Association for Biometrics, einem umfassenden Experten-Netzwerk und als unabhängiger Berater tätig.