Die Authentifizierung ist eine Möglichkeit zur zweifelsfreien Überprüfung, ob eine Person auch die ist, die sie vorgibt zu sein. Bei der biometrischen Authentifizierung wird dies anhand unverkennbarer biologischer oder verhaltensbasierter Eigenschaften überprüft.
Ein Authentifizierungssystem vergleicht angegebene Daten mit validierten Benutzerinformationen aus einer Datenbank. In herkömmlichen Systemen sind diese Informationen Kennwörter. Bei der biometrischen Authentifizierung hingegen sind diese Informationen physische oder verhaltensbasierte Merkmale.
In einem Gesichtserkennungssystem werden beispielsweise verschiedene Gesichtszüge verarbeitet und in numerische Daten umgewandelt, die in einer Datenbank gespeichert werden. Wenn eine Person versucht, sich anzumelden, erfasst das System ihr Gesicht, dann zieht es daraus numerische Daten und gleicht diese mit den Daten in der Datenbank ab. Andere Arten der biometrischen Authentifizierung sind:
Bei der Verhaltensbiometrie wird die Identität durch Analyse des physischen und kognitiven Verhaltens eines Benutzers verifiziert. Mithilfe von ML-Algorithmen werden Muster im Verhalten und in den Aktivitäten von Benutzern ermittelt. Diese Muster werden dann verwendet, um zu bestimmen, ob eine Person auch die ist, die sie vorgibt zu sein.
Beispiele für Verhaltensbiometrie sind:
Der springende Punkt bei Biometrie ist, dass sie immer individuell ist. In Anbetracht dessen könnte man annehmen, dass die biometrische Authentifizierung auch nicht gehackt werden kann. Das stimmt aber nicht. Wie jedes andere System kann auch die biometrische Authentifizierung gehackt werden. Moderne KI-Algorithmen können zum Generieren von Fingerabdrücken verwendet werden, um Fingerabdruckscanner damit zu täuschen.
Außerdem wurden verschiedene Schwachstellen in den Prozessen zum Erfassen, Verarbeiten und Abgleichen der Daten sowie zur Registrierung festgestellt – auch bei den raffiniertesten biometrischen Systemen.
Ein unimodales biometrisches Authentifizierungssystem prüft nur eine bestimmte Eigenschaft, z. B. das Gesicht oder die Netzhaut. Aber wie wir gerade gesehen haben, ist ein solches System nicht manipulationssicher.
Hier kann die multimodale biometrische Authentifizierung Abhilfe schaffen. Bei diesem Ansatz werden während der Identitätsprüfung verschiedene biometrische Daten überprüft. Auf diese Weise wird einem böswilligen Akteur die Täuschung erschwert.
Womöglich kann ein Hacker ein Foto einer Person im Internet ausfindig machen und dieses zum Täuschen eines Gesichtserkennungssystems verwenden. Wenn das System aber weitere Informationen verlangt, z. B. ein Video der Person, in dem sie ihr Kennwort nennt, sinkt die Wahrscheinlichkeit, dass der Hacker erfolgreich ist.
Auch die Kombination physischer und verhaltensbasierter Biometrie kann Ihre Sicherheitsaufstellung verbessern. Selbst wenn ein böswilliger Akteur einen Fingerabdruck fälschen kann, kann das System Verhaltensänderungen erkennen und den Zugang verweigern. Das wäre beispielsweise der Fall, wenn die Interaktionsgeschwindigkeit mit dem System langsamer ist als die des echten Benutzers oder wenn Tastenkombinationen verwendet werden, die der echte Benutzer nie verwendet hat.
Biometrie ist eine deutliche Verbesserung gegenüber Kennwörtern. Kennwörter können sehr leicht gehackt werden. Manchmal benötigt ein Hacker lediglich das Geburtsdatum einer Person und den Namen ihrer Katze. Sich biometrische Daten zu beschaffen, ist hingegen weitaus schwieriger.
Die biometrischen Daten einer Person stehen immerhin nicht auf einem Klebezettel und sind auch nicht automatisch im Browser angegeben. Für Angreifer ist es also viel schwieriger, in biometrische Systeme ohne Kennwörter einzudringen – und insbesondere in solche mit multimodaler Authentifizierung.
Biometrische Authentifizierung ist unter anderem deswegen so beliebt und verbreitet, weil Benutzer sie viel praktischer finden. Sie müssen sich keine komplexen Kennwörter merken und sie auch nicht jeden Monat ändern. Sie halten einfach den Finger über eine Tastatur oder blicken in einen Augenscanner und schon sind Sie angemeldet.
Manche Systeme wie die Gesichtserkennung können die Authentifizierung sogar vornehmen, ohne dass der Benutzer bewusst etwas tun muss. Es reicht oft schon, einfach einen Raum zu betreten oder sich vor den Computer zu setzen.
Zudem greifen die biometrische Authentifizierung und Zero-Trust-Modelle nahtlos ineinander. Zum Implementieren eines echtes Zero-Trust-Modells, bei dem grundsätzlich nichts und niemandem vertraut wird, können Sie sich auf die zuverlässige Identitätsprüfung biometrischer Systeme stützen.
Biometrische Daten sind zwar in der Regel sicherer, sie sind aber auch nicht unfehlbar. Hacker können biometrische Daten unter Verwendung verschiedener Techniken fälschen, beispielsweise durch das Herunterladen und Drucken des Fotos einer Person und die Verwendung eines Silikon-Fingerabdrucks oder einer 3D-Maske. Solche Angriffe sind als Präsentationsangriffe bekannt.
Außerdem reichen bei den Fingerabdruckscannern von Smartphones oftmals auch teilweise Übereinstimmungen. Forscher haben festgestellt, dass es möglich ist, „Master-Abdrücke“ zu erstellen, die sich teilweise mit den Abdrücken vieler Personen decken und damit den Zugriff auf viele Benutzerkonten ermöglichen.
Biometrische Systeme können nicht nur gehackt werden, es kann auch vorkommen, dass sie einen gültigen Benutzer nicht erkennen. Das kann beispielsweise der Fall sein, wenn eine Person anderes Make-up oder eine neue Brille trägt oder wenn die Stimme aufgrund einer Erkältung oder direkt nach dem Aufstehen anders klingt.
Es ist also wenig überraschend, dass biometrische Lösungen guter Qualität auch mehr kosten. Tatsächlich geben 67 % der IT-Experten an, dass die Kosten der Hauptgrund dafür sind, dass sie keine biometrische Authentifizierung implementieren. Außerdem gibt es versteckte Kosten: 47 % der Umfrageteilnehmer berichten, dass ein System-Upgrade erforderlich ist, um den Wechsel zur Biometrie unterstützen zu können.
Bei vielen Arten der Biometrie gibt es ernstzunehmende ethische Bedenken. Eines davon betrifft systematische Fehler. Gesichtserkennungssysteme erkennen People of Color oder nicht cis-sexuelle Personen womöglich nicht mit der gleichen Genauigkeit.
Außerdem wurden viele biometrische Systeme hauptsächlich mit Fotos weißer Personen oder weißer Männer trainiert. Dadurch ist eine gewisse Voreingenommenheit in die Systeme integriert, was dazu führt, dass sie Schwierigkeiten haben, Frauen und People of Color zu erkennen.
Es gibt auch Bedenken bezüglich der Weitergabe biometrischer Daten. Ist es für Unternehmen zulässig, ihre biometrischen Daten anderen zur Verfügung zu stellen, beispielsweise der Strafverfolgung, Einwanderungsbehörden oder repressiven ausländischen Regierungen? Wegen dieser Datenschutzbedenken haben viele US-Staaten Datenschutzgesetze für biometrische Informationen erlassen.
Ein weiteres Problem für Unternehmen ist die Speicherung biometrischer Daten. Wo auch immer biometrische Daten gespeichert werden: Es muss ein sicherer Ort sein. Schließlich können sie anders als Kennwörter nicht einfach zurückgesetzt werden. Wenn biometrische Daten gehackt werden, gibt es keinen Weg zurück – denn eine Person kann ihren Fingerabdruck oder ihre Netzhaut nicht ändern.
Unternehmen, die sich für das Speichern der biometrischen Daten ihrer Mitarbeiter oder Kunden entscheiden, übernehmen eine große finanzielle und ethische Verantwortung. Das ist ein Grund, der für das Speichern auf dem Gerät spricht: Die biometrischen Daten werden auf dem Gerät gespeichert, das den Benutzer authentifiziert, beispielsweise auf seinem Smartphone oder Computer.
So hat der Benutzer die Kontrolle über die Daten. Außerdem werden dadurch die Orte, an denen die Daten sich befinden, auf ein lokales Gerät beschränkt. Auf diese Weise wird verhindert, dass eine einzige Sicherheitsverletzung den Zugriff auf große Mengen biometrischer Daten ermöglicht.
In Sachen Biometrie müssen zwar viele Aspekte berücksichtigt werden, doch eines ist sicher: Die Technologie wird bleiben. Die Vorteile der Biometrie überwiegen die Nachteile und Problemen – und zwar so sehr, dass Unternehmen wahrscheinlich weiter auf die Biometrie für die Authentifizierung setzen werden.