Login-Schutz per Passwort und Biometrie

Augen auf bei biometrischer Sicherheit

23. Dezember 2021, 10:55 Uhr | Martin Fryba | Kommentar(e)
Fujitsu
Fujitsu setzt in seinen Clients auf Palmsecure: Biometrische Sicherheit durch Handvenenscan
© Fujitsu

Hand ab, Finger drauf auf den Tür-Scanner: Biometrische Hürden knackt James Bond auf seine eigene robuste Art. Cyberkriminelle gehen subtiler vor, sie haben es auf Datenbanken abgesehen, wo biometrische Daten lagern. Die sollte man aus einem einfachen Grund besonders gut absichern.

Die Verwendung biometrischer Merkmale zur Identifizierung und Verifizierung von Personen nahm in den vergangenen Jahren deutlich zu. Inzwischen besitzen jedes moderne Smartphone, jedes Notebook und andere Geräte mindestens ein Verfahren, welches auf biometrischen Daten basiert. Das ist verständlich, denn aufgrund ihrer Einzigartigkeit sind biometrische Daten die ideale Ergänzung zu passwortgestützten Login-Verfahren. Zum Teil werden diese klassischen Login-Verfahren sogar komplett durch biometrische Daten ersetzt.

Doch es bestehen auch Gefahren, warnen die IT-Sicherheitsexperten der PSW Group. Geschäftsführerin Patrycja Schrenk erklärt: „Datenbanken, in denen biometrische Daten unzureichend gesichert lagern, werden Ziel von Hackern. Während sich Passwörter zurücksetzen lassen, ist das weder mit der Iris noch mit dem Fingerabdruck möglich. Einmal kompromittiert, stehen Nutzende vor einer echten Herausforderung.“

Bei biometrischen Daten handelt es sich um physische Merkmale, die eindeutig sind, wie etwa ein Fingerabdruck, die Gesichtserkennung sowie Retina-Scans. Selbst Zwillinge besitzen relativ individuelle und unveränderliche Merkmale. Tatsächlich sind biometrische Daten so einzigartig, dass sie als Sicherheitsmerkmal in Ausweisdokumenten eingesetzt werden: Während die USA elektronische Reisepässe mit Chip verwendet, auf dem Fingerabdruck, Iris oder ein Foto vom Gesicht gespeichert sind, sind in Deutschland seit August 2021 Fingerabdrücke in Reisepässen und Personalausweisen Pflicht.

Datenbanken mit sensiblem Inhalt
Die Authentifizierung anhand von biometrischen Merkmalen ist praktisch, jedoch gehen auch einige Risiken damit einher: Es ist ziemlich leicht, persönliche Daten ohne Zustimmung von Nutzenden zu sammeln. Gesichtserkennung etwa gibt es in vielen Großstädten überall auf der Welt, an Bahnhöfen, in Zügen, an Flughäfen und so weiter. Alle Daten, die hier zusammenkommen, müssen auch irgendwo gespeichert werden. Dies erhöht wiederum die Sorge vor ständiger Überwachung, aber auch vor Datenmissbrauch. Und gerade Datenbanken mit solch persönlichen Informationen, wie es biometrische Daten sind, sind begehrte Ziele von Hackern.

Dezentrale Speicherung sinnvoll – aber kein Königsweg
Trotz dieser Risiken bietet die Biometrie überzeugende Lösungen, denn die Systeme sind schwer zu kopieren. Tatsächlich stellen biometrische Daten eine ausgezeichnete Ergänzung zum alleinigen passwortgestützten Login dar. „Die Gefahr liegt weniger bei der Biometrie selbst, als vielmehr bei einer zentralen Speicherung biometrischer Daten. Deshalb sollte eine dezentrale und verschlüsselte Speicherung mit alleiniger Verfügungsgewalt von Nutzenden einer zentralen Speicherung vorgezogen werden.“, so Patrycja Schrenk. Doch auch bei dezentraler Speicherung ist Vorsicht geboten. Denn werden Biometriedaten auf einem unsicheren Gerät abgelegt, kann auch dieses Gerät einschließlich biometrischer Daten zum Angriffsziel werden.

„Damit biometrische Daten sinnvoll und sicher verwendet werden können, muss ihr Einsatz geplant werden. Es ist zum Beispiel sinnvoll, ausschließlich auf mathematische Komprimate, also Templates, zurückzugreifen, wenn biometrische Daten Einsatz finden sollen. Mithilfe dieser Templates, für die sich übrigens auch Niedersachsens Datenschutzbeauftragter einsetzt, können überschießende Informationen aus biometrischen Rohdaten und damit auch der Datenmissbrauch vermieden werden“, so die IT-Sicherheitsexpertin.

Der Text ist ein Gastbeitrag von PSW Group. Patrycja Schrenk  ist Geschäftsführerin des IT-Sicherheitsdienstleisters aus Fulda.

Anbieterkompass Anbieter zum Thema

zum Anbieterkompass

Verwandte Artikel

Fujitsu

IT-Security

Mobile Security

Anbieterkompass