Firmendaten und Zugänge biometrisch sichern

„Biometrie bietet eine Verbesserung der Sicherheit“

von - 31.08.2015
com! professional sprach mit Jan Krissler, Security Researcher am Lehrstuhl SecT der Technischen Universität Berlin, über die Sicherheit von biometrischen Systemen.
com! professional: Viele Anwender verwenden für verschiedene Zugänge das gleiche Passwort und gefährden dadurch die Sicherheit von Daten und Zugriffen. Biometrische Systeme sollen hier Abhilfe schaffen. Lässt sich damit wirklich die Sicherheit erhöhen oder ist das ein Trugschluss?
Jan Krissler: Die Frage beantwortet sich eigentlich von selbst, wenn man bedenkt, dass die verwendeten biometrischen Merkmale immer die gleichen sind – zehn Finger oder zwei Augen. Geht man also davon aus, dass die Merkmale kopiert werden können, sind sie nach der ersten Veröffentlichung für weitere Anwendungen verbrannt.
com! professional: Sie zeigen in Ihren Vorträgen regelmäßig, wie sich biometrische Systeme mit relativ einfachen Mitteln überlisten lassen. Wie erklären Sie es sich, dass diese Technik trotz
ihrer großen Schwächen nicht schon längst verworfen wurde?
Krissler: Weil Benutzer einfachere Möglichkeiten wollen, sich an Rechnern und Telefonen anzumelden. Dabei tritt der Sicherheitsaspekt in den Hintergrund. Betrachtet man den Einzelfall, so bietet die Biometrie sogar eine Verbesserung der Sicherheit. Vor der Einführung von touchID verwendete ein Großteil der iPhone-Benutzer gar keine PIN zum Freischalten des Telefons. Mit dem Fingerabdruck hielt zumindest eine gewisse Sicherheit Einzug. Gleiches gilt für Passwörter, die sonst auf Post-its an den Monitor geklebt waren. Man muss sich aber des Risikos, das mit dem Einsatz der Biometrie einhergeht, bewusst sein.
com! professional: Analysten von führenden Marktforschungsunternehmen prophezeien, dass in Zukunft die Biometrie zu unserem Alltag gehört. Das scheint im Hinblick auf die Sicherheit geradezu fahrlässig zu sein, zieht man Ihre Erkenntnisse in Betracht.
Krissler: Es wird seit Jahren versucht, Alternativen zum Passwort zu etablieren. Und ich verteufle den Einsatz der Biometrie nicht grundsätzlich. Solange die geschützten Daten weniger wert sind als der Aufwand, das Merkmal nachzubilden, kann man nichts gegen den Einsatz sagen. Allerdings ist derzeit für viele Systeme der Aufwand der Nachbildung minimal. So reicht es bei vielen Gesichtserkennungslösungen beispielsweise, ein Foto oder Video der Person im Internet zu suchen und das dem biometrischen System vorzuspielen. Da müssen die Hersteller auf jeden Fall nachbessern.
com! professional: Lässt sich mit biometrischen Systemen trotzdem die Sicherheit erhöhen? Wenn ja, wie könnte so ein Sicherheitsansatz aussehen?
Krissler: Wie schon gesagt, bietet die Biometrie mehr Sicherheit als kein beziehungsweise ein am Monitor hängendes Passwort. Ansonsten würde ich die Biometrie eher als Produkt zur Erhöhung des Komforts sehen. Sicherlich lassen sich biometrische Systeme noch sicherer machen, was aber sowohl die Kosten erhöht als auch der bequemen Benutzung zuwiderläuft.
Verwandte Themen