Biometrie ist tot

Ich habe mit Spannung das neue Magazin “Dig:ID” gelesen. Dort werden einige interessante Themen erörtert. Es lohnt sich auf jeden Fall wenigstens mal durchzublättern. Neben optisch exzellenter Aufbereitung und gelungener Nutzung von PDF-Funktionen, gibt es Fallbeispiele, Statistiken, Interviews, Artikel und Vorstellungen von neuen Technologien. Das würde ich mir gerne auch von anderen Magazinen so wünschen.

Ein wenig betrübt war ich über den optimistischen Einsatz von Biometrie. Es wird ab Seite 14 über das Bankensystem von Nigeria berichtet.

Nur der Fingerabdruck

Um ein Bankkonto zu eröffnen, braucht ein Kunde in Nigeria lediglich einen Fingerabdruck.

Wie wäre es denn zum Beispiel mit diesem Fingerabdruck?

Fingerabdruck von Wolfgang Schäuble — Quelle: https://bathroomreading.wordpress.com/2008/04/01/der-schuble-fingerabdruck-in-a4-und-druckqualitt/

Dieser Fingerabdruck gehört Wolfgang Schäuble. Ich bin mir nicht sicher, ob es wirklich eine gute Idee ist, Bankkonten mit Fingerabdrücken abzusichern.

Es wird künftig nicht mehr möglich sein, Identitäten zu fälschen und zu missbrauchen.

Wenn man den obigen Fingerabdruck mit einem Laserdrucker auf Folie ausdruckt (als negativ), kann man mit Latexmilch oder Holzleim einen Positivabdruck nehmen. Wie kann man da von Fälschungssicherheit sprechen?

Für die Lebenderkennung berücksichtigen wir verschiedene Parameter. Einen Finger abzuhacken und damit das Konto des Opfers leer zu räumen, funktioniert nicht.

Ja, das stimmt, aber es ist nicht notwendig einen Finger abzuhacken. Man benötigt nur den Abdruck und den hinterlässt der Finger an vielen Orten. Der Fingerabdruck von Herrn Schäuble wurde zum Beispiel von einem Wasserglas abgenommen. Wird der nachgemachte Fingerabdruck auf einen echten Finger geklebt, lässt sich die Lebenderkennung vermutlich überwinden. Die Lebenderkennung erkennt einen lebendigen Finger, weil ein lebendiger Finger auf dem Scanner liegt. (Ich tippe auf Temperatur und Puls via Infrarotkamera) Nur die dünne obere Hautschicht des Fingers wird durch den nachgemachten Fingerabdruck überdeckt. Eine Lebenderkennung hat hier vermutlich keine Chance. Selbst bei dem echten Finger besteht die obere Hautschicht aus toten Zellen. Trotzdem ist eine Lebenderkennung gut. Nicht für die Sicherheit des Bankkontos sondern für die Sicherheit des Besitzers. Dem werden dann wenigstens keine Finger abgehackt.

Gesichtserkennung

Ab Seite 28 wird über die “GoID Card” der Bundesdruckerei berichtet.

Hochsicher mit Fingerabdruck und Gesichtserkennung

Der Fingerabdruck hat hier auch die gleichen Probleme wie oben. Nur gibt es keine Lebenderkennung. Bei der Gesichtserkennung gibt es ähnliche Probleme wie beim Fingerabdruck.

“Gesichtsabdruck” von Wolfgang Schäuble — Quelle: https://de.wikipedia.org/wiki/Wolfgang_Sch%C3%A4uble

Einen “Abdruck” von einem Gesicht zu bekommen ist nicht schwer. Dank Social Media stellen einem viele Menschen ihr Gesicht zur Verfügung. Problematisch ist aber nicht die Verfügbarkeit der Gesichter sondern die Nutzung von öffentlich zugänglichen Informationen zur Authentifikation. Ich klebe mir mein Passwort doch auch nicht auf die Stirn. Aber genau so wird Gesichtserkennung verwendet. Ich bin auf die Gesichtserkennungssoftware gespannt, die das folgende Video mit einer hinreichend guten Gleichfehlerrate verarbeitet.

Quelle: https://www.youtube.com/watch?v=ohmajJTcpNk

Fairer Weise muss ich sagen, dass die GoID Card eine Infrarotkamera einsetzt, die den technischen Aufwand zur Täuschung deutlich erhöht. Eine Gesichtsmaske herzustellen, die bei normalem wie auch infrarotem Licht, genauso aussieht wie das Original ist vermutlich relativ aufwändig. Dennoch bleibt das Problem, dass Leute ihre Gesichter offen herumtragen. Weiterhin gibt es Probleme bei der Verarbeitung der Bildinformationen, wenn bestimmte Algorithmen verwendet werden. Der Heise-Artikel “Angriff auf neuronale Netze” stellt das sehr gut dar.

Fazit

Biometrie kann maximal zur Identifikation verwendet werden. D. h. Biometrie ersetzt den Benutzernamen, aber nicht das Passwort oder private Schlüssel.