Buchtipp

Biometrische Verfahren

Biometrische Verfahren

Top-Thema

Top-Thema: Iriserkennung

Top-Thema: Iriserkennung

Mein Account




Risiken

Welche Missbrauchsmöglichkeiten bietet die Biometrie?

Viele Missbrauchsmöglichkeiten ergeben sich durch ungeplante Abweichungen vom normalen Gebrauch einer biometrischen Anwendung. Andere biometrische Anwendungen, besonders die erzwungenen, bieten von vornherein ein erhöhtes Missbrauchspotenzial, das verschärfte Gesetze und andere verstärkte Schutzmaßnahmen erfordert. Denkbar sind evtl. auch Anwendungen, deren Ziel der Missbrauch ist. Grundsätzlich gilt aber: ohne biometrische Anwendung kein Missbrauch. Und wie ein Missbrauch konkret aussehen kann, bestimmt damit fast ausschließlich die Anwendung. Allein das Sammeln von biometrischen Merkmalsdaten begründet noch keinen Missbrauch. Deshalb werden wir jede Missbrauchskategorie mit Beispielen untermauern, auch wenn dies mitunter nicht ganz leicht fällt. So wie sich vor einigen Jahren noch niemand vorstellen konnte, dass Phishing (->Wikipedia) eine ernstzunehmende Gefahr darstellen könnte, so wäre es vermessen, hier eine vollständige Aufzählung aller Missbrauchsmöglichkeiten liefern zu wollen. Deshalb ist es in der Regel sinnvoll, generelle Vorsicht walten zu lassen. Da "Missbrauch" ein stark relativierbarer Begriff ist, werden wir uns hier auf die sichere Seite stellen und als "worst case" für die Realisierung eines biometrischen Systems eine bewusst bürgerrechtsfreundliche Haltung einnehmen. Das kann bedeuten, dass Missbrauch nicht nur mit betrügerischen Aktivitäten verbunden sein muss, es sind auch unrechtmäßige Gesetze denkbar!

Identitätsdiebstahl

Da biometrische Merkmale in der Regel keine perfekt schützbaren Geheimnisse sind, lassen sie sich als Datensatz kopieren, physikalisch nachbilden oder verhaltensmäßig nachahmen. Der Missbrauch beginnt mit der nichtautorisierten Nutzung fremder Merkmale zum Beispiel zum Zwecke der Bereicherung auf Kosten des Merkmalsträgers. Dazu wird eine Anwendung benötigt, die nur eine schwache Kopienerkennung durchführt. Gefährlich sind in diesem Fall Anwendungen, die zu hohe Werte schützen sollen, d.h., ein durch Identitätsdiebstahl hervorgerufener Schaden steht in keinem vernünftigen Verhältnis zum Aufwand eines Identitätsdiebstahls. Zur Verhinderung des Identitätsmissbrauchs muss man wissen, dass dieser zwei Dinge voraussetzt: Der Missbraucher hat sich einen biometrischen Datensatz als Kopie (digital oder mechanisch) angeeignet.

Das biometrische Zielsystem, auf dem der Missbrauch stattfinden soll, erkennt nicht, dass es sich beim Merkmal um eine Kopie handelt.

Anmerkung: Für einen Identitätsdiebstahl per Datensatzkopie ist es relativ belanglos, ob das System mit Templates arbeitet, aus denen sich die Originaldaten zurück ermitteln lassen. Selbst verschlüsselte Daten können gefährlich sein, wenn andere Systeme mit dem gleichen Schlüssel arbeiten und der gestohlene Datensatz auf diesem System lauffähig ist. Allerdings sind die praktischen Missbrauchs-Chancen je nach System quantitativ unterschiedlich.

Auswertung vertraulicher Zusatzinformationen

Manche biometrischen Merkmale enthalten vertrauliche ->Zusatzinformationen. Bei der DNA sind es z.B. Informationen über Abstammung oder Erbkrankheiten. So können unerwünschte Vaterschaftstests den Familienfrieden stören. (Ein generelles Auswertungsverbot per Gesetz ist zwar wünschenswert aber doch irgendwo fragwürdig, wenn es um die eigenen Daten geht!) Für Erbkrankheiten interessieren sich Versicherungen und Unternehmen, mit der Folge, dass belastete Personen ohne eigenes Zutun auf einen Versicherungsschutz oder einen Arbeitsplatz verzichten müssen. Andererseits könnte das eigene Wissen um eine potenzielle Erbkrankheit zu bewusster Schädigung einer Versicherung oder eines Arbeitgebers herausfordern.

Das generelle Problem bei der Präsentation biometrischer Merkmale an fremden Systemen ist, dass der Merkmalsträger diesen Systemen vertrauen muss. So muss er dem Betreiber glauben, dass keine über die Identifikation hinausgehende unerwünschte Auswertung von Zusatzinformationen erfolgt. Am leichtesten fällt dieses Vertrauen, wenn das zur Identifikation benutzte Merkmal solche Zusatzinformationen nur sehr diffus enthält. Dies ist trotz anderslautender Meinungen zum Glück bei den meisten Merkmalen der Fall, insbesondere bei randotypisch dominierten Merkmalen (->Bio-FAQ)! (Uneinigkeit der Experten in dieser Frage kommt meist dadurch zustande, dass man nicht zwischen "eineindeutigen" Zusatzinformationen differenziert und solchen, die nur mit geringer Wahrscheinlichkeit auf eine Zusatzeigenschaft hinweisen. Z.B. sind die Maße einer Hand im Mittel bei Männern größer als bei Frauen. Trotzdem ist die Handgröße als Geschlechtsdifferenzierungsmerkmal wenig geeignet, da es Überschneidungen gibt und außerdem das Alter der Person eine nicht unwesentliche Rolle spielt. Krankheitsindikatoren sind oft ebenfalls nicht "orthogonal", d.h., sie sind ebenfalls von weiteren Faktoren beeinflusst, weshalb für eine brauchbare Diagnose mehrere unabhängige Indikatoren zum Einsatz kommen müssen.) Vertrauen ist aber wieder erforderlich, wenn es darum geht, was ein Sensor außer dem auszuwertenden Identifikationsmerkmal sonst noch alles misst. Und da reicht es nicht, wenn lediglich das Identifikationsmerkmal rein randotypisch ist!

Datenverknüpfung

Besonderes Kennzeichen biometrischer Merkmale ist ihr hohes Maß an Einmaligkeit. In diesem Sinne lässt sich Biometrie unter Umständen wie eine einmalige Personenkennziffer verwenden. Benutzt man das gleiche biometrische Merkmal als Kennung in unterschiedlichen Anwendungen und Datenbanken, lässt sich so eine Verknüpfung der unter dieser Kennung gespeicherten Daten erreichen.

Jemand, der Zugriff zu unterschiedlichen Datenbanken hat, kann auf diese Weise ein Personenprofil erstellen. Beispiel: Datenbank A ordne einem biometrischen Merkmal den Namen einer Person zu und Datenbank B enthalte anonym die Ausleihdaten einer biometrisch unterstützten Videothek. Hat nun jemand Zugriff auf beide Datenbanken, kann er (falls kein Schutz vorgesehen ist) nach Vergleich der biometrischen Merkmale dem eigentlich anonymen Videothekenausleiher einen Namen zuordnen!

Benutzungszwang

Benutzungszwang ohne Ausweichmöglichkeiten kann ein Verstoß gegen die informationelle Selbstbestimmung (->Wikipedia) sein. Unabhängig davon verhindert der Benutzungszwang ein natürliches Regulativ, das darin besteht, sich als Merkmalsträger im Falle eines Missbrauchs von einer Anwendung zurückziehen zu können, um damit dem Missbrauch zu entgehen oder den Betreiber zur Systemnachbesserung zu zwingen. In Kundenanwendungen ist das Fehlen von Ausweichlösungen (soweit technisch überhaupt sinnvoll) dann unkritischer, wenn der Kunde sich nichtbiometrischen Anbietern zuwenden kann oder das Angebot generell nicht lebensnotwendig ist.

Überwachung

Überwachung ist an sich kein Missbrauch, sondern vielfach unabdingbar, um Werte aller Art zu schützen. Von Missbrauch kann man erst sprechen, wenn die durch Überwachungsmaßnahmen gewonnenen Informationen ohne Not gegen Personen gerichtet werden, z.B. in Form einer Erpressung. Das Problem der ständig steigenden Möglichkeiten für eine legale Personenüberwachung besteht vor allem in der deutlichen Senkung der Machbarkeitsschwelle für einen Missbrauch.

Beim Überwachungsstaat (->Wikipedia) ist die Gefahr sehr groß, dass gut gemeinte Überwachungsmaßnahmen sich auch gegen unliebsame Bürger richten bzw. dass Gesetze diese zu Kriminellen definieren. Unerfreulichstes Beispiel aus der jüngeren Weltgeschichte war das zwischen 1933 und 1945 in Deutschland herrschende Regime, dessen Repressionsmechanismen zunehmend in Vergessenheit geraten.

In der fiktiven ->biometrischen Gesellschaft wäre die biometrische Identifikation ein wichtiger Bestandteil eines Überwachungsapparats und damit geeignet zur weltweiten Verfolgung "unliebsamer" Personengruppen. Dabei spielt in diesem Fall die heimliche Erfassung der Merkmale keine Rolle! Eine Folge der modernen Technik ist der hohe Anfall von speicherbaren Daten und deren Vernetzung. Es reichen relativ kleine Gesetzesänderungen und in der Folge relativ kleine Softwareänderungen, um diese Daten schrittweise für staatliche und andere Zwecke nutzbar zu machen. Und es ist wiederum nur ein kleiner Schritt zum gesetzlich legitimierten Missbrauch dieser Daten, wie die Geschichte schon häufig bewiesen hat.

Eine 100% Erkennungssicherheit bietet die Biometrie jedoch nicht. Messfehler können durch Veränderung der körperlichen Merkmale oder über äußere Einflüsse wie Verletzung, Krankheiten oder Änderung des Aussehens auftreten. Dabei können verschiedene Fehler auftreten. Die "False Rejection Rate" (FRR) bezeichnet prozentual die Anzahl der Personen, die vom System fälschlicherweise zurückgewiesen werden. Die "False Acceptance Rate" (FAR) gibt prozentual Aufschluss über die Zahl der Personen, die das System fälschlicherweise zuordnet (erkennt) und zulässt. Des weiteren ist bekannt, dass Personen das in einem biometrischen Identifikationsverfahren verwendete Merkmal nicht besitzen z.B. genetisch bedingt, aufgrund von Erkrankungen oder Behinderungen (oder gar durch berufsbedingte Veränderungen der Merkmale) bzw. die Merkmale von Natur aus so gering ausgeprägt sind, dass sie das System nicht erfassen kann. Diese Fehlerrate wird als "Failure to enrol-Rate" (FER) bezeichnet. Die verschiedenen biometrischen Verfahren wie Gesichtserkennung, Fingerabdruck, Handgeometrie oder Iriserkennung haben Vor- und Nachteile bezogen auf Erkennungsleistung, Praxistauglichkeit, Fehleranfälligkeit, Überwindungssicherheit und Bedienerfreundlichkeit.

Bei einer anstehenden Entscheidung, welches Merkmal für eine Anwendung ausgewählt werden soll, sind daher die Einsatzkriterien gegen die verschiedenen Verfahrensstärken/-schwächen zu prüfen.

Zu diesem Zweck wurden in den letzten Jahren unterschiedliche Verfahren auf ihre Einsatztauglichkeit eingehend getestet. Dabei sind eine Reihe – auch aus datenschutzrechtlicher Sicht bedenklicher – Mängel offenbart worden: Der größte Mangel der Systeme wurde bei Tests der Überwindungssicherheit deutlich: Bei der Fingerabdruckerkennung waren Überwindungsversuche mit einfachen Mitteln erfolgreich, die selbst geschultem Sicherheitspersonal nicht auffallen würden. Auch bei den Systemen, die auf Gesichtserkennung basieren, war - unter bestimmten Bedingungen - die Rate der Falscherkennung sehr hoch. Die Überwindungssicherheit bei der Iriserkennung ist dagegen weitaus höher. Die insgesamt aufgefallenen Schwachstellen sind nicht nur unter Datenschutzgesichtspunkten kritisch zu beurteilen, sondern auch im Hinblick auf die häufig geforderte (erwartete) Sicherheit.

Trotz der vorhandenen Schwachstellen hat die Biometrie mittlerweile bereits in vielen Lebensbereichen Einzug gehalten. Auf dem Sicherheitssektor wird Biometrie bei der Strafverfolgung (Täterermittlung und Personensuche; klassisches Beispiel: Fingerabdruckverfahren) oder auch im Rahmen der Zutrittskontrolle (Zugangskontrolle von Gebäuden insbesondere zu Sicherheitsbereichen) eingesetzt. Im so genannten Komfortbereich erfolgt der Einsatz u.a. bei Zugriffsberechtigungsprüfungen zum PC, Eintrittskontrollen (Zoo Hannover) oder gar bei der bargeldlosen Zahlungsmöglichkeit im Biergarten.

Die umfangreichste Anwendung der Biometrie wird im Rahmen der Umgestaltung von Ausweisdokumenten erfolgen. Auf Basis der inzwischen gewonnenen Erkenntnisse bestehen allerdings Zweifel, ob biometriegestützte Reisedokumente, die auf den heutigen Stand der Biometrie-Technik basieren, tatsächlich die versprochenen Sicherheitsgewinne mit sich bringen. Die Fälschungssicherheit deutscher Pässe und Personalausweise ist bereits heute weitestgehend gewährleistet.

Scheinbar besonders sichere Ausweisdokumente können durch den Einsatz unsicherer biometrischer Verfahren somit plötzlich zu einem Risikofaktor werden. Fehler bei der Erkennung von Personen haben zudem erhebliche Konsequenzen für die Betroffenen, weil sie einem besonderen Rechtfertigungsdruck und zusätzlichen Kontrollmaßnahmen ausgesetzt werden.