Was ist die sicherste Methode, Atombomben vor dem Zugriff feindlicher Mächte zu schützen? Man sichert sie so, daß nur Personen mit dem richtigen Irismuster des Auges sie entschärfen können. Das dachten die Militärs im James-Bond-Streifen “Feuerball” von 1965 auch – bis ein Bösewicht, dem zuvor eine fremde Iris ins Auge gepflanzt wurde, in den Atombunker marschiert, und die Bomben scharf macht. Iriserkennung zu Sicherheitszwekken ist heute Wirklichkeit – allerdings werden damit nicht Bomben bewacht, sondern die Geldausgabe an Bankautomaten gesichert. Bei der Dresdner Bank in Frankfurt wurde kürzlich für Mitarbeiter ein Geldautomat in Betrieb genommen, der mit einer Iriserkennung des amerikanischen Marktführers Sensar arbeitet, ein ähnliches Gerät ist in einer Bank nördlich von London seit Anfang des Jahres im Einsatz. Eine bewegliche Videokamera sucht selbständig das Auge der Person, die vor dem Automaten steht, macht in wenigen Sekunden ein Bild von der Regenbogenhaut und vergleicht das Muster mit den gespeicherten Vorlagen der Kunden. Geld abheben ohne Geheimnummer, Zugangskontrolle zu Hochsicherheitsbereichen ohne Wachpersonal – immer häufiger dienen Körpermerkmale als Paßwort. Bei den Olympischen Spielen in Atlanta 1996 wurden Handscanner als Zugangskontrolle für sensible Gebäude eingesetzt, die amerikanische Einwanderungsbehörde fertigt privilegierte Reisende an einigen US-Flughäfen mit derselben Technik ab, Disneyland verlangt vor Eintritt in den Park einen elektronischen Fingerabdruck. So viel Sicherheit hat einen Namen: Biometrie. An die Stelle der “Verifikation durch Besitz” (Chipkarte) und die “Verifikation durch Wissen” (Geheimnummer) tritt die “Verifikation durch physiologische und verhaltenstypische Charakteristika”, wie es die Fachleute ausdrücken. Die Vorteile liegen auf der Hand: Eine Chipkarte kann man verlieren oder stehlen, eine Geheimnummer kann man vergessen oder knacken – doch Fingerabdruck, Iris, Gesicht oder Stimme hat man immer bei sich. Dabei sind die meisten Körpermerkmale so individuell, daß man damit Personen eindeutig identifizieren kann, und außerdem ist es fast unmöglich, sie zu fälschen. So schätzt die US-Firma IriScan, daß die Wahrscheinlichkeit, zwei identische Irismuster zu finden, 1 zu 1052 ist – und damit noch unvorstellbar geringer ist als die Wahrscheinlichkeit, zwei identische Fingerabdrücke zu finden.
Alle biometrischen Verfahren arbeiten nach demselben Prinzip: Das Muster wird digital aufgezeichnet, nach charakteristischen Merkmalen durchsucht und in einer Datenbank abgelegt. Will die Person beispielsweise am Automat Geld abheben, wird das Merkmal erneut gemessen und mit der Vorlage in der Datenbank verglichen. Stimmen die Merkmale überein, wird das Geld ausgezahlt. Biometrie boomt: 1999 dürften Biometriesysteme im Wert von 50 Millionen Dollar verkauft werden, wobei sich der Umsatz vermutlich alle zwei Jahre verdoppelt. Gleichzeitig werden die Preise drastisch fallen, sagt das Marktforschungsunternehmen Gartner Group voraus. Die kalifornische Firma Identicator Technology hat in den ersten fünf Monaten dieses Jahres schon 80000 Fingerabdruckscanner an PC-Hersteller wie Compaq verkauft, die damit vernetzte Arbeitsplätze größerer Firmen absichern. Die Marktforscher schätzen, daß in drei bis vier Jahren etwa ein Drittel aller US-Firmen biometrische Systeme einsetzen werden. In den nächsten Jahren sollen auch die Chipkarten der Krankenversicherer mit biometrischen Merkmalen gefüttert werden. Solche Fingerabdruckscanner zur Sicherung persönlicher Daten im PC oder in Computernetzen gibt es heute schon für einige hundert Mark. Eine kleine Kamera oder ein Chip macht eine Aufnahme der Linien auf der Fingerkuppe. Eine Software sucht in dem Bild nach den sogenannten Minutien – zum Beispiel nach charakteristischen Verzweigungen der Linien – und erstellt daraus ein Merkmalsprofil, das für diesen Finger und damit für diese Person charakteristisch ist. Bei einer erneuten Messung vollzieht sich dasselbe Prozedere. Stimmen die Profile überein, ist die Person eindeutig identifiziert. Erstaunlich ist, wie wenig Daten dabei anfallen: Nur 512 Byte sind nötig, bei der Iriserkennung ist es genausoviel. Zum Vergleich: Schon eine Schreibmaschinenseite mit Text benötigt den dreifachen Speicherplatz. Soweit die Theorie – in der Praxis hat die Biometrie manche Tücken. Zwar gibt es nicht zwei Menschen auf der Welt mit dem gleichen Fingerabdruck, das heißt aber nicht, daß alle Personen immer eindeutig erkannt werden. Schmutz auf dem Sensor oder Verletzungen der Fingerkuppe können zu Fehlern führen. Ein anderes Problem ist die Rechenzeit. Wenn erst einmal Millionen Bankkunden per Fingerabdruck Geld abheben, dauert es Stunden, bis die Datenbank nach dem passenden Vergleichsabdruck durchforstet ist. “In Zukunft wird man Biometrie deshalb mit einer Chipkarte kombinieren”, versichert Dr. Manfred Bromba, Leiter der Biometrie-Entwicklung bei Siemens. Das könnte dann so aussehen: Die Person steckt die Karte in den Automat und identifiziert sich als Kunde. Erst dann öffnet sich die Abdeckung des Fingerabdrucksensors, um diesen vor Vandalismus zu schützen. Der Kunde legt seinen Finger auf den Sensor, und dieser vergleicht das Muster mit dem Datensatz, der auf der Karte verschlüsselt ist und deshalb nicht über eine Datenbank abgefragt werden muß. Der Fingerabdruck dient demnach als Ersatz der Geheimnummer. Ein Diebstahl der Karte lohnt nicht, weil der passende Fingerabdruck fehlt. Oder der Sensor wird gleich in die Karte integriert. Siemens hat bereits einen Prototyp vorgestellt: Er hat das Format einer Scheckkarte, ist aber 3,5 Millimeter dick. Schiebt man die Karte in den Leseschlitz, berührt der Daumen automatisch den eingebauten Siliziumchip, der den Abdruck über die elektrische Kapazität zwischen Haut und Sensor mißt und mit dem eingebauten Mikroprozessor gleich analysiert. Doch die Karte kann noch mehr: “Sie könnte alle anderen Chipkarten und sogar Schlüssel für Türen ersetzen”, hofft Bromba. Der Fingertipsensor, für den der Siemens-Entwickler Christofer Hierold und sein Team für den Zukunftspreis 1998 des Bundespräsidenten nominiert wurde, soll im nächsten Jahr in einem Handy auf den Markt kommen. Der Fingerabdruck ersetzt dort nicht nur die Eingabe der PIN-Nummer, sondern wird vor jedem Telefongespräch benötigt. Vorteil: Das Handy kann eingeschaltet bleiben, und trotzdem kann niemand damit telefonieren. Während das Handy auf der letzten CeBIT positives Echo hervorrief, gilt das längst nicht für alle biometrischen Verfahren. Die Vision von George Orwells Großem Bruder und seinem totalen Überwachungsstaat liegt zu nahe. Mit Fingerabdrucksensoren in Türklinken, versteckten Videokameras mit Iriserkennung oder Minilabors in Alltagsgegenständen, die aus Hautzellen das Erbgut bestimmen, wüßten Staat und Wirtschaft jederzeit, wo wir uns aufhalten und was wir gerade tun. Axel Munde vom Bundesamt für Sicherheit in der Informationstechnik (BSI) nennt noch andere Möglichkeiten: “Mit einem Retinascanner ließe sich feststellen, ob jemand letzte Nacht zuviel getrunken hat, und eine DNA-Analyse könnte Versicherungen Aufschluß über mögliche Erbkrankheiten geben”, warnt er.
Doch nicht immer sind es Ängste wegen des Datenschutzes, wenn eine biometrische Prüfung von Testpersonen nicht akzeptiert wird. So ist das Geflecht aus Blutgefäßen auf der Netzhaut des Auges so individuell wie ein Fingerabdruck. Doch Retinascanner leuchten in das Auge, was niemand besonders angenehm findet. Die Fingerabdruckmethode wird beim Handy klaglos akzeptiert, doch am Bankautomat könnte der Gedanke an eine Polizeikontrolle Kunden hemmen. Am ehesten werden Prüfmethoden hingenommen, die die Menschen gewöhnt sind – allen voran die Gesichtserkennung. Ob man sein Gesicht dem Pförtner zeigt oder einer Videokamera, ist letztlich egal. Das gleiche gilt für die Unterschriftenerkennung: Vor druckempfindlichen Schreibtabletts, die insbesondere die Bewegung der Hand und die Schreibgeschwindigkeit analysieren, müssen sich eigentlich nur Betrüger fürchten. Um einen Überblick über den Nutzen von biometrischen Systemen zu bekommen, hat das BSI jetzt zusammen mit dem Bundeskriminalamt eine Studie in Auftrag gegeben. Darin sollen gängige Produkte auf ihre Zuverlässigkeit und Sicherheit geprüft werden. 30 Probanden werden zudem ihre Erfahrungen zu Komfort und Akzeptanz beisteuern. Das Bundeskriminalamt interessiert sich dafür, ob biometrische Messungen vor Gericht als Beweis zugelassen werden. Wer hat zum Beispiel recht, wenn ein Bankautomat mit Fingerabdruckscanner Geld auszahlt, der Inhaber des Kontos aber gar nicht an diesem Automat gewesen sein will? “Hier ist auch der Gesetzgeber gefordert”, sagt Axel Munde. Allein in den USA gab es in der letzten Legislaturperiode des Kongresses 150 Gesetzentwürfe, die sich mit privatem Datenschutz beschäftigten. Die Internationale Vereinigung der biometrischen Industrie hat deshalb die Flucht nach vorn angetreten. Um zu strikte Bestimmungen zu verhindern, haben die Firmen eine Art Ehrencodex aufgestellt, der die Privatsphäre schützen soll. Doch der Schuß ging nach hinten los. Die Selbstbeschränkungen sollten nämlich nur für die öffentliche Hand gelten, nicht für die Industrie selbst, die sollte ihre Angelegenheit selbst regulieren dürfen. Das hat die Datenschützer nur noch in ihren Befürchtungen bestärkt. Dr. Brigitte Wirtz, beim Halbleiterhersteller Infineon für die Bewertung biometrischer Verfahren zuständig, nennt fünf Anforderungen des Datenschutzes, denen ein System genügen muß: Ÿ Von den biometrischen Daten darf nicht auf die persönliche Identität eines Benutzers geschlossen werden können. Ÿ Biometrische Daten dürfen nicht als Personenkennziffer (zum Beispiel für Ausweise) verwendbar sein. Ÿ Datenspeicherung und -übermittlung müssen sicher sein. Ÿ Eine Geheimnummer kann man ändern, den Fingerabdruck nicht. Deshalb muß das Schutzniveau berücksichtigen, wie dauerhaft die Verbindung zwischen den biometrischen Daten und der Per-son ist. Ÿ Der Benutzer muß sich der möglichen Überprüfung bewußt sein.
Gerade der letzte Punkt sei wichtig, bestätigt Alfons Frerich von Siemens-Nixdorf in Paderborn, das den Geldautomaten mit Iriserkennung bei der Dresdner Bank aufgestellt hat. “Manche Nutzer hatten zunächst Bedenken. Doch als sie beim ersten Registrierungsvorgang über den Datenschutz aufgeklärt wurden, war das kein Problem mehr.” Siemens-Konkurrent NCR, der letztes Jahr im britischen Swindon einen vergleichbaren Automat testete, kam zu ähnlich positiven Ergebnissen: Rund 91 Prozent der 1000 Testpersonen zogen den Geldautomat mit Iriserkennung der herkömmlichen Variante mit Geheimnummer vor.
Wie sicher ist Biometrie?
Auch wenn es keine zwei Menschen auf der Welt mit dem gleichen Fingerabdruck gibt, heißt das noch lange nicht, daß ein Fingerabdruckscanner auch jede Person eindeutig identifiziert. Jedes biometrische Verfahren irrt sich ab und zu, weil Umwelteinflüsse, Bedienungsfehler und technische Beschränkungen eine Rolle spielen. Zwei Parameter kennzeichnen die Leistungsfähigkeit eines Verfahrens: Ÿ Die “False-Acceptance-Rate” (FAR) gibt die Wahrscheinlichkeit an, mit der eine unberechtigte Person fälschlicherweise vom System akzeptiert wird. Ÿ Die “False-Rejection-Rate” (FRR) gibt an, wie oft eine berechtigte Person fälschlicherweise abgewiesen wird. Leider gilt für alle biometrischen Verfahren, daß die Verbesserung des einen Parameters automatisch den anderen verschlechtert (siehe Grafik). Wie gut ein biometrisches System ist, wird normalerweise mit der “Equal-Error- Rate” (EER) angegeben – dem Punkt, wo die Wahrscheinlichkeiten beider Parameter gleich hoch sind (Schnittpunkt der beiden Kurven). Der EER-Wert sollte unter drei Prozent liegen. Die Entscheidungsschwelle kann auf diesen Punkt eingestellt werden, muß aber nicht. Eine Gesichtserkennung für ein Hochsicherheitsgebäude wird besonders scharf eingestellt, so daß auf jeden Fall alle potentiellen Betrüger abgewiesen werden (Entscheidungsschwelle weiter links, FAR niedrig). Dafür nimmt man in Kauf, daß ein paar Mitarbeiter nicht ins Gebäude kommen und sich beim Pförtner melden müssen (FRR hoch). Bei weniger sensiblen Gebäuden kann man das System “durchlässiger” einstellen (Entscheidungsschwelle weiter rechts). Wichtig bei jedem biometrischen Verfahren ist die sogenannte Lebenderkennung: Eine Gesichtserkennung darf sich nicht durch ein Foto täuschen lassen, ein Fingerabdrucksensor muß einen abgeschnittenen und nicht mehr durchbluteten Finger erkennen.
Infos im Internet: www.biometrics.org
Bernd Müller
