c't
07/2000
Das Vertrauen in die Sicherheit biometrischer Verfahren ist eine Voraussetzung der Akzeptanz, wenn solche Systeme den herkömmlichen PIN- und Passwortschutz ersetzen sollen. Die Geheimniskrämerei um ein jüngst durchgeführte Studie des BSI, deren Ergebnisse das Bundesamt nicht veröffentlicht sehen möchte, erreicht eher das Gegenteil.
Nie mehr am Geldautomaten über die richtige Geheimzahl grübeln, sondern einfach in die Kamera lächeln? Fingerabdruck, Gesichts- und Stimmerkennung, Iris-Scan oder elektronische Schriftprüfung bieten gegenüber PIN, Passwort oder Schlüssel den Vorteil, dass sie weder vergessen noch ausgeliehen werden können. Durch sie wird ein Benutzer eindeutig authentifiziert.
Damit scheint die Biometrie eine perfekte Alternative zu den herkömmlichen Verfahren des Zugangsschutzes zu elektronischen Systemen zu sein. Rund 200, meist kleinere Firmen gibt es weltweit, die biometrische Erkennungssysteme entwickeln, und etwa eine gleich große Anzahl von Systemherstellern. Über die Umsätze der Branche sind noch keine Zahlen bekannt, einschlägige Umfragen ergeben lediglich Hinweise auf die Anwendungsbereiche und die eingesetzten Techniken.
Was heute erst vereinzelt in Pilotversuchen zum Einsatz kommt, kann morgen schon alltäglich sein. So setzt die US-Bausparkasse Nationwide Spracherkennungssysteme von Vocalis zur Verifizierung von Anrufern im Telefonbanking ein. Die Wells Fargo Bank verwendet neuerdings die Gesichtserkennung zur automatisierten Scheckeinlösung, und die Bank Unites hat in drei texanischen Zweigstellen Geldautomaten mit Iris-Scannern ausgestattet - angeblich mir so großem Erfolg, dass ihr die Möglichkeit zu Bargeld-Abhebungen ohne Karte sogar einige bescherte. Die Firma GirlTech brachte jüngst das "Password Journal" auf den Markt, ein Poesiealbum, das sich nur durch ein gesprochenes Wort öffnen lässt. Und in Japan lösten kürzlich sechs Privatschulen eine Kontroverse um die Einführung elektronischer Anwesenheitslisten aus, in der sich die Schüler mit ihrem Fingerabdruck eintragen müssen.
Die Spannbreite ist beträchtlich: Am einen Ende des Spektrums stehen die privaten Anwendungen; wenn jemand deinen PC durch die ID-Maus mit integriertem Fingerabdruck-Scanner statt mit einem Passwort vor fremden Zugriff schützt, so ist das seine freie Entscheidung. Das andere Ende markiert - einstweilen noch in weiter Ferne, aber durchaus schon am Horizont sichtbar - die Einführung biometrischer Merkmale auf dem maschinenlesbaren Personalausweis, der sich die Bürger nicht wird widersetzen können, wenn sie auf gesetzlicher Grundlage erfolgt. Dazwischen liegt rechtlich eine weite Grauzone, die derzeit nicht erkennen lässt, wo die Vertragsfreiheit aufhört und das Recht von Arbeitnehmern und Verbrauchern auf informationelle Selbstbestimmung anfängt.
So steht zu erwarten, dass künftig bestimmte Dienstleistungen überhaupt nur über biometrische Verifikationssysteme in Anspruch genommen werden können, weil Zugangsschutz und Dienstleistung von vornherein untrennbar im Paket vermarktet werden - ähnlich, wie heute schon vielfach am Rande der Legitimität der Mietvertrag für die Wohnung nur gegen die Erteilung seiner Einzugsermächtigung für die Miete ausgehändigt wird. Ungeklärt ist auch die Frage, ob der Kunde von der Sprecherverifizierung beim Telefonbanking überhaupt unterrichtet werden muß oder ob es im Ermessen des Dienstleisters liegt, Stimmproben intern zur Absicherung seiner Systeme zu verwenden. Und Arbeitnehmer werden sich demnächst mit der Alternative auseinander setzen müssen, ob ihr Job zu behalten oder zu akzeptieren, dass sie beispielsweise das Bild ihrer Iris einem System zur Zugangskontrolle übergeben müssen und die weitere Verwendung der Merkmalsdateien nicht mehr kontrollieren können. Herkömmliche juristische Konstrukte wie das Recht am eigenen Bild oder der Schutz des nicht öffentlich gesprochenen Wortes erhalten eine völlig neue Dimension.
Die Tatsache, dass biometrische Merkmale personenbezogen und nicht übertragbar sind, gilt vielfach als "datenschutzfreundliches" Argument. Die Biometrie sei, so heißt es, als eine Privacy Enhencement Technology (PET) einzustufen. Das Risiko des Identitätsdiebstahls kann jedoch auch sie nicht ausschließen. Dass jemand die Personendaten eines anderen ent- und verwendet, kam und kommt vor. In den USA ist der Diebstahl von Sozialversicherungsnummern, mit denen sich die Behörden und Banken häufig die Identität nachweisen lassen, ein weit verbreitetes Phänomen. Hier zu Lande waren vor nicht allzu langer Zeit manchem DDR-Flüchtling die Reisedokumente ähnlich aussehender Westbesucher sehr viel wert, um damit die Grenze zu passieren; demjenigen, dem der Pass und Visum abhanden gekommen waren, brachte der Diebstahl in der Regel den Aufenthalt in einer Zelle und Verhöre durch die Staatssicherheit ein. Wie geht eine auf biometrische Erkennung setzende Gesellschaft damit um, wenn es jemandem gelingen sollte, eine Datenbank mit einem Satz von Iris-Daten zu knacken? Passworte mögen lästig sein, aber man kann sie gegebenenfalls ändern. Ein biometrisches Merkmal hingegen kann nicht mehr zurückgezogen werden, wenn es erst einmal in den Geschäfts- und rechtsverkehr gelangt ist.
Neuland
Bislang wird die Diskussion um das Für und Wider überwiegend unter technologischen Gesichtspunkten geführt. Die Debatte über Risiken und Akzeptanz steckt noch in den Anfängen. Die Technikfolgenabschätzung betritt auf diesem Sektor, so der Präsident des Bundesamtes für Sicherheit in der Informationstechnik (BSI), Dirk Henze, 'absolutes Neuland'. Um die Tragfähigkeit und Tragweite der neuen Technologie zu erkunden, hat das BSI in Zusammenarbeit mit dem Bundeskriminalamt (BKA) eine 'Vergleichende Untersuchung Biometrischer Identifikationssysteme' (BioIS) in Auftrag gegeben. Im Rahmen der zweiteilig angelegten Studie führte das Fraunhofer-Institut für Graphische Datenverarbeitung (IGD) in Darmstadt einen Praxisversuch durch, in dem elf verschiedene, auf dem deutschen Markt erhältliche Systeme im täglichen Einsatz getestet wurden. In einer begleitenden Befragung versuchte das Wissenschaftliche Institut für Kommunikationsdienste GmbH (WIK), Aufschluß über die Akzeptanz der Beteiligten zu gewinnen. Zum Abschluß der Studie sollten die Ergebnisse der Öffentlichkeit auf einem Symposium, das letzen Monat in Darmstadt stattfand, präsentiert werden.
Wer von der Veranstaltung nun fundierte Fakten als Grundlage für die längst überfällige öffentliche Diskussion erwartet hatte, war allerdings umsonst angereist. Schon ihr Titel - 'Welche Zukunft der Biometrie wollen wir?' - war irreführend: Er suggeriert eine Wahlfreiheit, die Arbeitnehmer oder Kunden aller Wahrscheinlichkeit nach gar nicht haben. Wo für die Interessenten an den neuen Systemen die grenzen der Kundenorientierung verlaufen, machte denn auch ungewollt der schottische Unternehmensberater Calum Bunney von der International Biometric & Authentication Consulting Ltd. deutlich. "Die Entscheidungen fällen die Versicherungsgesellschaften", so Bunney; "für die ist das schlicht eine Wirtschaftlichkeitsfrage".
Im technischen Teil der BioIS-Studie waren drei Fingerabdruck- und ein Handgeometrie-Scanner, zwei Gesichtserkennungssysteme, zwei Unterschriften-Analyzer, ein Kombinationssystem für die Gesichts-, Stimm- und Lippenbewegungserkennung in zwei Hardware-Ausführungen sowie ein Iris-Scanner zu einem Testparcours aufgebaut worden. Eine Benutzergruppe von 40 Mitarbeitern des Instituts, unter denen bezüglich Alter, Geschlecht und technischen Vorkenntnissen eine möglichst breite Streuung angestrebt worden war, durchliefen nach einer Einweisung in die Geräte dann täglich einmal den Parcours und protokollierten die Erfolge oder Misserfoge der Authentifizierungsversuche.
Zu Tage traten dabei krasse Unterschiede der Erkennungsleistung einzelner Systeme. Welche Verfahren oder Systeme sich in dem Vergleich als besonders fehleranfällig erwiesen, konnten die Fraunhofer-Forscher indes nicht mitteilen. Sie sind nur Auftragnehmer der Untersuchung und mussten auf das BSI verweisen. Das wiederum beruft sich auf die Neutralität gegenüber den Herstellern und will demnächst lediglich 'einen auf die Öffentlichkeit zugeschnittenen Teil der Studie' herausgeben. Konkrete Ergebnisse stellt das BSI nur den teilnehmenden Firmen - AlphaNet Online, Cherry, DCS, Dermalog, Hesy, Infineon Technologies, NCR und ZN - zur Verfügung. So etwas nennt man Herrschaftswissen. Bei der Stiftung Warentest, die ebenfalls zur Wettbewerbsneutralität verpflichtet ist, wäre die BioIS-Studie in besseren Händen gewesen.
Dürftig blieben auch die Angaben zu den Ergebnissen der Überwindungsversuche. Da das Bundesamt die Resultate nicht zur Veröffentlichung freigegeben hat, mussten sich die Fraunhofer-Mitarbeiter auf allgmeine Aussagen beschränken. Sie hatten in der Untersuchung Attacken mit unterschiedlicher 'krimineller' Energie simuliert. Dazu gehören beispielsweise Angriffe mit Nachbildungen des Merkmals oder Replay-Attaken durch Aufzeichnung des Signals vom Sensor und nachträglicher Wiedereinspielung - also das elektronische Äquivalent des Ausweis - oder Passdiebstahls. 'Biometrische Systeme sind generell durch Replay-Attaken gefährdet', deutete Projektleiter Christoph Busch vorsichtig die festgestellten Schwächen an.
Ausgetrickst
Wenn unbestätigte Informationen zutreffen, dass sich fast die Hälfte (45%) aller Systeme verhältnissmäßig einfach mit Attrappen von Fingerabdrücken oder simple Fotos austricksen ließ, sollte das eher alarmieren. Denn die biometrische stützt sich auf Merkmale, die verhältnismäßig leicht zu erlangen sind; des Fingerabdrucks beispielsweise kann sich im Prinzip jeder bemächtigen, der es darauf anlegt. Umso mehr kommt es darauf an, Nachbildungen von dem lebenden Original verlässlich unterscheiden zu können. "Hier sind alle Hersteller, noch an der Lebenderkennung zu arbeiten", erklärt Busch in der ihm auferlegten Zurückhaltung; dies sei "ein notwendiges Ziel für die biometrischen Systeme der nächsten Generation".
Verfahren, die dynamische Merkmale auswerten, wie die Lippenbewegung oder die Schreibmototrik, sind bei der Lebenderkennung zwar im Vorteil, doch auch der schwindet bei Angriffen auf die kritische Schnittstelle zwischen dem Aufnahmesystem und dem Rechner. Viele Systeme wurden daher vom IGD als unsicher bewertet, weil Lauschangriffe mit nachfolgendem Wiedereinspielen des Signals auf der Kommunikationsstrecke zwischen Sensor und Rechner schon mit geringem Aufwand möglich waren. Dabei hatten die Fraunhofer-Mitarbeiter ihrer kriminelle Intensität noch Zügel angelegt. Da es sich bei den Geräten im Test um Leihgaben handelte, wurden sie zum Zwecke der Untersuchung nicht aufgeschraubt. "Potenziell zerstörende Angriffsversuche", so Henning Daum vom IGD, "waren ausgeschlossen".
Die sozialwissenschaftliche Begleituntersuchung durch das WIK hatte wenig Erhellendes beizusteuern. So wurden die hohen Ansprüche an sie Benutzerfreundlichkeit 'teilweise nicht erfüllt', oder 'mit einer Maschine zu kommunizieren, ist manchem Nutzer peinlich'. Interessant wäre vielleicht gewesen, ob und in welcher Weise die Probanden im Laufe des halbjährigen Versuchs ihre Einstellung zu den biometrischen Systemen verändert haben. Doch obwohl das WIK nach eigenen Angaben die Versuchsteilnehmer im Verlauf 'mehrfach' zu ihrer Einschätzung befragte, konnte oder wollte es dazu keine Angaben machen. Die Ergebnisse der Befragung sind einer Pressemitteilung veröffentlicht; keine der Aussagen ist überprüfbar. Klar ist nur, dass weder Zahl noch Auswahl der Probanden den Anspruch auf Repräsentativität erheben können. Kritik wies Franz Büllingen vom WIK auf dem Syposium souverän mit der Bitte zurück. 'nicht auf der Validität der Ergebnisse herumzureiten'.
Mehr Transparenz
Die Kaffeesatzleserei unter einer beschränkten Anzahl von Nutzern geht ohnehin an den eigentlichen Problemen vorbei. Solche Meinungserhebungen spiegeln bestenfalls den Infomationsstand der Befragten wider. Das mag für die Marketingabteilung der Hersteller interessant sein; für eine Technikfolgenabschätzung greift dieser Ansatz viel zu kurz. Beim gegenwärtigen Stand der Technik, und der noch vor der Einführung der Systeme, kommt es vielmehr darauf an, die unsichtbaren Grenzverschiebungen der Haftungszuständigkeiten und Beweislasten sowie die Rechtsgrundlagen für Zustimmungserfordernisse und mögliche Diskriminierungsverbote aufzuzeigen. Erst wenn die Informationssymmetrien zwischen den Betreibern und Betroffenen biometrischer Systeme überwunden sind und die Optionen auf dem Tisch liegen, lassen sich die Folgen und Handlungsmöglichkeiten einschätzen. Selbst die atypisch aufgeschlossenen Teilnehmer des Tests, so viel hat die WIK-Befragung immerhin ergeben, wünschten sich 'mehr Transparenz'.
Damit konnte das Darmstädter BSI-Symposium nicht dienen. So bleiben für Konsumenten und Arbeitnehmer die beiden Kernfragen nach wie vor unbeantwortet:
- Wie sicher sind die Systeme wirklich?
- In welcher Weise verändern sie die Beziehungen zwischen den beteiligten Parteien?
Zum ersten Punkt steuerte Mark Lockie, Chekredakteur des Fachmagazins Biometric Technology Today, einem aufschlussreichen Aspekt bei. "Traditionelle Sicherheitsaspekte sind heute nicht mehr das Verkaufsargumente", so die Beobachtung des Briten; "die Marketingmanager fokussieren sich jetzt auf die Bequemlichkeit des Nutzers". Dem steht einiges bevor, denn die Bequemlichkeit hat ihren Preis; etwa die Beweislastumkehr in Missbrauchsfällen: Ein als 'sicher' deklariertes System entlastet sich von Amts wegen selbst und wälzt den Nachweis des eventuellen Missbrauchs auf den Geschädigten ab; der aber kann ihn gar nicht führen, da ihm die relevanten Daten vorenthalten werden.
Indem die Branche Intransparenz zur Sicherheitsphilosophie erhebt, stellt sie sich selbst ein Bein. Wenn Hersteller und Behörden so weiter machen, riskueren sie ein ähnliches Fiasko wie die Produzenten gentechnisch veränderter Lebensmittel, die angesichts des geballten Widerstands der Verbraucher ihre Produkte wieder aus den Regalen nehmen mussten. Bundesinnenminister Otto Schily, der jüngst ankündigte, das BSI von einer 'Sicherheitsbehörde für Behörden zur Plattform der IT-Sicherheit für alle zu entwickeln', wird sich beim Wort nehmen müssen.
