Security

Biometrie auf dem Prüfstand! Ein Whitepaper des BHE Bundesverband Sicherheitstechnik

23.04.2021 - Die Einsatzmöglichkeiten biometrischer Systeme ist Gegenstand einer Publikation, deren Neuauflage der BHE vor kurzem vorgestellt hat.

GIT SICHERHEIT sprach mit Dipl.-Ing. Werner Störmer, Sicherheitsexperte und Delegierter von PCS im BHE, stellvertretender Vorsitzender des Fachausschusses „Zutritt“ des BHE Bundesverband Sicherheitstechnik.

                                         windays

GIT SICHERHEIT: Herr Störmer, vom Fingerabdruckscanner bis hin zur anspruchsvollen Venenerkennung – biometrische Anwendungen sind schon sehr lange auf dem Markt. Mangelnde Akzeptanz ist offenbar trotzdem immer noch ein Thema. War das der Anlass für die Erarbeitung dieses Papiers?

Werner Störmer: Die Diskussionen um das Für und Wider beim Einsatz biometrischer Erkennungsverfahren werden leidenschaftlich und teils auch kontrovers geführt. Oft gibt es bei den Nutzern Vorbehalte aufgrund fehlender, missverständlicher oder falscher Informationen. Dabei wird oft nur über die Biometrie allgemein diskutiert. Erhebliche Unterschiede bei den Verfahren zeigen sich u.a. in der Merkmalsdarstellung, der Datensicherheit und dem Datenschutz. Außerdem müssen bei der Systemauswahl die Umgebungsbedingungen, der Risikograd, die Nutzeranzahl und viele weitere Einflussfaktoren beachtet werden. Dies alles erfordert Aufklärung und ausreichende Informationen, die wir sowohl im BHE-Whitepaper als auch im BHE-Praxisratgeber „Zutrittssteuerung“ aufgeführt haben.

Dann lassen Sie uns erst einmal die Perspektive des Anwenders einnehmen: Was sind für ihn überhaupt die wichtigsten Vorteile des Einsatzes biometrischer Systeme?

Werner Störmer: Vorteilhaft ist, dass je nach Sicherheits-Philosophie auf PINs, Passwörter und Mitarbeiterausweis verzichtet werden kann. In Hochsicherheitsanwendungen gehört der Einsatz biometrischer Systeme heutzutage zum Standard, da sie auch die Schwachstellen anderer Identifikationsmethoden eliminieren können: Beispielsweise können PINs vergessen oder aufgedeckt werden, Ausweise und Schlüssel können abhandenkommen und vom Finder oder Dieb missbraucht werden. Hinzu kommt, dass kaum jemand noch einen Überblick über die unzähligen PINs und Passwörter hat.

Biometrische Merkmale sind einmalig, personengebunden und können nur vom echten Besitzer bereitgestellt werden. Dagegen handelt es sich bei PINs, Passwörtern oder Ausweisen um „sekundäre Erkennungsmerkmale“ die lediglich personenbezogen sind. Sie bewirken ein Erkennen desjenigen, der sie kennt oder besitzt und vorweist. Die biometrische Personenidentifikation erhöht die Sicherheit, da Manipulation z. B. durch die unerlaubte Weitergabe eines Firmenausweises an eine nicht berechtigte Person oder die unrechtmäßige Benutzung einer verlorenen Karte durch den Finder entfällt.

Für kritische Infrastrukturen und Hochsicherheitsanwendungen ist der Einsatz verschiedener Techniken, darunter die Biometrie, unverzichtbar. Durch die Kombination mehrerer Technologien lassen sich die Schwächen der einzelnen Faktoren reduzieren und das Sicherheitsniveau deutlich steigern.

...aber generell kann man sagen, dass Biometrie eher ergänzend sinnvoll ist, wenn es um viele Teilnehmer geht. Ausschließlich sich auf sie zu verlassen, geht eher bei wenigen Teilnehmern...?

Werner Störmer: Eine sinnvolle Nutzeranzahl ist abhängig davon, ob die umfangreichen Referenzdaten in einer zentralen Datenbank oder auf einem RFID-Ausweis (Template on Card) zur Verifikation gespeichert werden. Letzteres verkürzt die Suchzeiten und ermöglicht die Kombination der Online- und Offline-Zutrittssteuerung (mechatronische Systeme) mit der Zeiterfassung. Bei einer sehr hohen Nutzerzahl (z. B. bei Konzernen) können sehr große Referenzdatenmengen anfallen, die entsprechenden Speicherplatz benötigen. Ist ein Datenbankzugriff auf einem übergeordneten Zutrittsserver notwendig, kann dies ggf. zu relativ langen Suchzeiten führen. Hier spielt die Erkennungszeit eine entscheidende Rolle, da sie meist höher ist als die Buchungszeit bei Nutzung eines Ausweises. Generell ist der verringerte Durchsatz pro Zutrittspunkt zu beachten. In jedem Fall darf die Erkennungszeit die Geduld der Buchenden nicht überstrapazieren, denn Schlangestehen vor dem Lesegerät, morgens oder gar zum Dienstende wird die Belegschaft kaum erfreuen. Eine Testinstallation kann hier empfehlenswert sein.

Je nach gewähltem System, gibt es sicher auch Nachteile. Wie lassen sich zum Beispiel Zielkonflikte zwischen Sicherheit (Zutritt Unberechtigter, Zutrittsverweigerung Berechtigter) und Geschwindigkeit vermeiden?

Werner Störmer: Um einen Zielkonflikt zu vermeiden, sollte eine Klassifizierung der Einsatzfälle erfolgen. Dabei gibt die Norm EN 60839-11-1 vor, wie die Sicherheitsanforderungen an das Zutrittssystem, je nach Risikograd (von niedrig = 1 z. B. für Privatgebäude, Hotel bis hoch = 4 für Hochsicherheitsbereiche / militärische Einrichtungen), erfüllt sein müssen. Empfehlenswert ist ein Systemvergleich, bei dem die objektiven Messkriterien für die Genauigkeit der Merkmalerkennung berücksichtigt werden. Ideal ist hier, wenn für die „Zulassung Unberechtigter“ (FAR – False Acceptance Rate) und „Abweisung Berechtigter“ (FRR – False Rejection Rate) eine Fehlergleichheit (EER – equal error rate) besteht.

Bedeutsam für die Systemauswahl ist die Abwägung zwischen hoher Sicherheit und Erkennungsgeschwindigkeit. Beispielsweise erfordert der Zutritt zu einem Rechenzentrum mit sensiblen Daten höchste Sicherheit. Bei einer meist geringen Zahl Zutrittsberechtigter sollte hier die Erkennungsgeschwindigkeit keine große Rolle spielen. Dagegen kann es bei der Identifikation sehr vieler Teilnehmer (ab ca. 500 Personen) zu verlängerten Reaktionszeiten kommen, abhängig von der Speichermenge und dem Speicherort. Werden die Referenzdaten auf übergeordneten Servern gespeichert ist zu berücksichtigen, dass das dazwischen geschaltete Netzwerk bei sehr hoher Nutzerzahl die Erkennungsgeschwindigkeit wesentlich bremsen kann und bei einem LAN-Ausfall keine Zutrittssteuerung mehr erfolgen kann. Somit ist die Identifikation zeitintensiver, mit einer erhöhten Fehlerrate. Bei Speicherung der Referenzdaten auf einer Chipkarte können diese Probleme erheblich reduziert werden.

Nachteile biometrischer Systeme liegen ansonsten etwa im Aufwand für die Beschaffung und Einrichtung – sie ist im Vergleich zu klassischen Identifikationssystemen (z. B.: Ausweisleser) relativ hoch. Nutzer haben teils hygienische Bedenken gegenüber berührungssensitiven Systemen. Außerdem ruft der Persönlichkeitsschutz vielerorts Gegner und Kritiker dieser Systeme auf den Plan. Und in der Praxis können Probleme auftreten, wenn der biometrische Sensor oder die entsprechenden persönlichen Merkmale beeinträchtigt sind (z. B. Verschmutzung, Feuchtigkeit, Narben an der Fingerkuppe).

Was die mangelnde Akzeptanz betrifft: Sie bemängeln zum Beispiel Vorurteile, die auf veralteten Grundlagen beruhen. Diese bestehen vermutlich vor allem beim Endkunden?

Werner Störmer: Das stimmt! Die Gründe für die Ablehnung sind oft die fehlenden oder missverständlichen Informationen zur Biometrie, die nicht benutzerfreundliche Ergonomie oder gesundheitliche Bedenken.

Je einfacher und sicherer eine biometrische Identifikation ist, desto größer ist die Chance, ein Projekt erfolgreich durchzuführen. Viele Verfahren hatten zunächst mit Akzeptanzproblemen zu kämpfen, da sie aus psychologischen (gedankliche Nähe zur Kriminalistik beim Fingerabdruck), hygienischen (Handgeometrie) oder gesundheitlichen Gründen (Retina-/Iriserkennung) abgelehnt wurden. Oft verbindet der Anwender mit dem Einsatz einer Fingerabdruck- und/oder Gesichtserkennung eine kriminaltechnische Identifikation einer Person und damit als Schlussfolgerung die polizeiliche Ermittlung.

Bei der Augenhintergrund- oder der Iriserkennung erfolgt oft eine emotionale Ablehnung, weil viele Menschen überzeugt sind, ihr Auge werde von – gefährlichen – Laserstrahlen abgescannt, obwohl es sich quasi nur um eine Art von Fotoaufnahme handelt. Bei der Handvenenerkennung gehen Anwender oftmals fälschlicherweise davon aus, dass eine Berührung des Sensors nötig ist, dabei erkennt sie die Merkmale kontaktlos. Auch die erforderliche Finger- oder Kopfpositionierung (Augen/Gesicht) zum Erkennungssystem reduziert die Akzeptanz biometrischer Verfahren.

Zumindest bei Systemen, die man berühren muss, sind – gerade in pandemischen Zeiten – hygienische Bedenken ja nicht ganz unberechtigt...?

Werner Störmer: Hier spielt wiederum die Nutzeranzahl eine Rolle, denn bei der Zutrittssteuerung zu Sicherheitsbereichen handelt es sich meist um viele Anwender. Bei Systemen wie Handgeometrie oder Fingerprint muss der Sensor berührt werden, Verletzungen an einem Finger oder Verschmutzungen können die Personenerkennung stark be- oder sogar verhindern. Durch das Einlernen mehrerer Finger können solche Beeinträchtigungen umgangen werden. Unter hygienischen Gesichtspunkten sollten beim Einsatz berührungsbasierter Biometrie die Sensoren unbedingt regelmäßig gereinigt werden. Außerdem sollten Nutzer vor der Anwendung die Hände desinfizieren.

Alternativ gibt es auch berührungslose, sogenannte 3D-Fingerprint-Terminals, die den Fingerabdruck rundum von Nagel zu Nagel einscannen. Die Nutzer legen den Finger in eine Öffnung vorne am Lesegerät. Die Bilderfassung, Bildauswertung und der Abgleich mit der biometrischen Vorlage erfolgen ohne physischen Kontakt mit dem Gerät. Allerdings ist der Platzbedarf des Gerätes zu berücksichtigen. Außerdem kann das Template aufgrund des Speicherbedarfs nicht auf allen Chipkartentypen für eine Verifikation gespeichert werden.

Bei der Hygiene ist zu berücksichtigen, dass auch Tastaturen mit den Fingerkuppen wechselnder Nutzer in Kontakt kommen und ein PIN-Pad Träger von Keimen sein kann. Nicht ohne Grund haben viele Zahlungsinstitute das Limit für die Kartenzahlung ohne PIN-Eingabe im Handel von 25 auf 50 Euro pro Nutzung verdoppelt.

Eine verbreitete kontaktlose biometrische Lösung ist die Gesichtserkennung. Sie funktioniert aber beispielsweise nicht, wenn Gesichtsbereiche z. B. durch einen Mund-Nasen-Schutz verdeckt sind. Die Handvenenerkennung ist die derzeit zuverlässigste Form der kontaktlosen Authentifizierung, mit dem Vorteil einer benutzerfreundlichen Ergonomie.

Bedeutender dürften Bedenken sein, die man grob unter den Bereich Datenschutz zusammenfassen könnte. Biometrische Daten sind ja naturgemäß etwas sehr Persönliches – entsprechend kommen die DSGVO ins Spiel, aber auch die erforderliche Zustimmung des Betriebsrats...?

Werner Störmer: Diese Zustimmung ist nicht nur für biometrische Systeme erforderlich sondern für alle IT-Anlagen, die personenbezogene Daten erfassen und verarbeiten, wie die Zeit-, Betriebs- und Kantinendatenerfassung. Der Einsatz solcher Systeme muss konform mit dem geltenden Datenschutzrecht sein. Dessen Anforderungen haben sich mit der seit Mai 2018 geltenden EU-Datenschutz-Grundverordnung (DS-GVO) verschärft. Die DS-GVO nennt „biometrische Daten“ ausdrücklich und definiert sie als „mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen einer natürlichen Person, die die eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen, wie Gesichtsbilder oder daktyloskopische Daten“.

Will ein Unternehmen also biometrische Verfahren für die Zugangs- oder Zutrittssteuerung einsetzen, muss es zuerst die datenschutzrechtlichen Voraussetzungen klären, wie sie Art. 9 DS-GVO aufführt. Außerdem sollte die Erforderlichkeit nachgewiesen werden und ein Datenschutzbeauftragter (der auch ein externer Dienstleister sein kann) ab 20 Nutzer bestellt werden. Die Erforderlichkeit der Verarbeitung biometrischer Daten ergibt sich immer dann, wenn alternative Systeme (z. B. mit Ausweis und PIN) nicht die erforderliche Sicherheit hinsichtlich der Verhinderung eines unbefugten Zutritts erzielen. Beispielsweise wäre dies die Zutrittssteuerung zu einem Rechenzentrum mit besonders sensiblen (personenbezogenen) Daten.

Wie können Datenschutzprobleme minimiert werden?

Werner Störmer: Datenschutzprobleme entfallen weitgehend, wenn auf eine zentrale Speicherung der Templates, also der Referenzdaten, verzichtet wird und die Anwender den Ausweis als Speichermedium der biometrischen Merkmale selbst verwalten. Denn die zentrale Speicherung birgt ein Missbrauchs- und Schadenspotential, z. B. durch Hacking. Der Vorteil von „Template on Card“ liegt darin, dass solche – meist vorhandene und für andere personenbezogene und kartengesteuerte Anwendungen genutzte – Ausweise sich im Besitz der Mitarbeiter befinden. Somit können die auf der Karte befindlichen personenbezogenen Daten nicht von Dritten missbraucht werden. Durch diese Kombination wird nicht nur die Sicherheit, sondern auch die Akzeptanz erhöht.

Welche Aspekte sind für Anwender außerdem wichtig?

Werner Störmer: Leider ist die Identifikation mit nur einem Merkmal angreifbar und bei fast allen biometrischen Verfahren (mit unterschiedlichem Aufwand) überwindbar. Beispielsweise könnten Fingerabdrücke nachgebildet werden (Scanner-Bild, Wachsabdruck, etc.). Bei der Gesichtserkennung könnte, abhängig vom eingesetzten Verfahren (2D oder 3D, mit/ohne Lebenderkennung) eine Überlistung durch ein Passbild erfolgen.

Uneingeschränkte Sicherheit wird es vermutlich nicht geben, aber der Überwindungsaufwand kann erhöht werden, um es Tätern so schwer wie möglich zu machen. Eine Zwei-Faktor- oder Multifaktor-Authentifizierung kann die Sicherheit bei der Zutritts- und Zugangskontrolle erheblich steigern, denn der Anwender muss sich mit mehreren Identifikationsmitteln anmelden, entweder mit seinem Wissen (PIN/Passwort), seinem Besitz (Transponder, Ausweis, etc.) oder einem (ggf. weiteren) biometrischen Merkmal. Darüber hinaus gibt es bei der Zutrittssteuerung erweiterte Anforderungen, bei denen sowohl der Ort als auch die Zeit als vierter und fünfter Faktor hinzugefügt werden.  

Biometriedaten sind sicherer als wissens- oder besitzbasierende, personenbezogene Daten. Die Zwei-Faktor-Authentifizierung bietet eine zusätzliche Sicherheitsebene, vor allem angesichts der zunehmenden Verbreitung von IT-Geräten.

Gesichtserkennung hat sich ja zum Beispiel bei den Mobiltelefonen sehr stark durchgesetzt – es ist bequem und sicher. Müsste das nicht zum allgemeinen Abbau der Berührungsängste führen?

Werner Störmer: Es ist richtig, dass hier die Berührungsängste zurückgegangen sind, wobei die klassischen Vorbehalte nach wie vor vorhanden und wichtig sind: was passiert mit den Daten, wo werden diese gespeichert, etc. Diese Gedanken machen sich allerdings die wenigsten Smartphone-Besitzer denn sie sind die alleinigen Nutzer und Sicherheitsverantwortlichen für ihr Mobiltelefon. Dagegen hat die Zutrittssteuerung wesentlich höhere Anforderungen, denn sie muss die Zutrittsberechtigungen für unterschiedliche Personenkreise und Sicherheitsbereiche überwachen. Außerdem muss die Akzeptanz und Zustimmung (Betriebsvereinbarung) für den Einsatz von allen Anwendern vorliegen.

Gesichtserkennung ist zwar sehr weit entwickelt (z. B. mit Lebenderkennung durch Augenbewegung), stößt aber auch an ihre Grenzen, z. B. wenn sich das Aussehen der jeweiligen Person gravierend verändert hat, insbesondere in Corona-Zeiten durch das Tragen einer Maske.

Trotzdem bleibt festzuhalten: Die Gesichtserkennung bietet einen schnellen, hygienischen und sicheren Zutritt für Mitarbeiter oder Besucher und kann in bestehende Sicherheitskonzepte integriert werden. Soweit die Rahmenbedingungen, wie Einsatz im Innenbereich und gute Beleuchtung (wenig Sonneneinstrahlung oder Gegenlicht) beachtet werden, bieten die meisten Systeme mittlerweile ein akzeptables Sicherheitsniveau. Es gibt auch Anbieter die damit werben, dass ihre Gesichtserkennung mit Maske funktioniert, das sollte allerdings durch eine Testinstallation abgesichert werden.

Wenn Sie ein Fazit ziehen sollten: Biometrie gehört aus Ihrer Sicht die Zukunft...?

Werner Störmer: Biometrie hat angesichts der bisher gewonnenen Erkenntnisse Zukunft und ist ein Wachstumsmarkt, der eine ständige Weiterentwicklung erfährt. Sie erhöht nicht nur deutlich die Sicherheit bei der Personenidentifizierung, sondern bietet dem Nutzer auch eine Erhöhung des Komforts im Vergleich zur Erfassung von PIN, Passwort oder Ausweis. Demgegenüber stehen aber immer noch die mangelnde Aufklärung und Kenntnis über Biometrie, die oft fehlende Akzeptanz für einige Verfahren sowie das Risiko des Missbrauchs biometrischer Daten.

Mit den zu erwartenden technischen Verbesserungen und vor allen Dingen den nachfolgenden Kostensenkungen sind biometrische Lösungen künftig auch für Anwendungen in alltäglichen Sicherungsbereichen möglich. Auch innerhalb von administrativen Applikationen wie der Zeiterfassung ist eine steigende Bedeutung der Biometrie zu erwarten. Durch das EuGH-Urteil zur Erfassung der Arbeitszeit unterstützt, werden für moderne Arbeitsmodelle wie „Shared Desk“ und Homeoffice mobile IT-Geräte, wie Smartphone oder Tablet eingesetzt. Hier kann die Zugangskontrolle zum mobilen Gerät z. B. mittels Fingerprint oder Gesichtserkennung erfolgen.

Aber auch die Biometrie kann nicht zu hundert Prozent sicher sein – ein Restrisiko durch Missbrauch bleibt auch bei dieser Technologie bestehen. Die richtig ausgewählte biometrische Lösung kann in Kombination mit weiteren Schutzfaktoren ein Höchstmaß an Sicherheit bieten.

Das vollständige BHE-Whitepaper „Biometrie – Was ist das?“ finden Sie hier: https://www.bhe.de/_Resources/Persistent/3/9/f/2/39f2dc3bc21e7ca46b36cdac88eb3b8f6535a09d/2020_08_Biometrie_Was_ist_das.pdf

Kontakt

BHE Bundesverband Sicherheitstechnik e.V.

Feldstr. 28
66904 Brücken
Deutschland

+49 6386 9214 11
+49 6386 9214 99