Interview mit Dr. Jasna Cudic, Itenos

Datenschutz bei biometrischen Verfahren

Interview mit Dr. Jasna Cudic, Produktmanagerin Business Unit Telematik bei Itenos

Dr. Jasna Cudic, Itenos

Dr. Jasna Cudic, Produktmanagerin Business Unit Telematik bei Itenos

IT-DIRECTOR: Welche Hardware bzw. Applikationen sollten Unternehmen über die Nutzung eines reinen Passworts hinaus auf jeden Fall mit einer starken Authentifizierung wie Smartcard oder Biometrie absichern?
Dr. J. Cudic: Die Einsatzmöglichkeiten sind vielfältig. Es bietet sich an, etwa den mobilen Zugriff auf Firmennetzwerke mit einer starken Authentifizierung abzusichern. Darüber hinaus sollte eine solche Authentifizierung für Zutrittskontrollen zu sensiblen Bereichen eingesetzt werden, ein aktuelles Beispiel ist Sony – das Unternehmen bietet nach dem Hackerangriff auf die Daten von Playstation-Nutzern seinen Kunden eine starke Authentifizierung an.
Millionen von Menschen greifen auf VPNs, Webserver, drahtlose LANs, Netzwerkbetriebssysteme etc. zu – für alle diese Anwendungen ist eine starke Authentifizierung zu empfehlen.

IT-DIRECTOR: Welche biometrischen Authentifizierungsmethoden haben sich hierzulande in den Anwenderunternehmen bereits durchgesetzt? Und welche sind eher noch Exoten bzw. gelten noch als Zukunftsmusik?
Dr. J. Cudic: Das gängigste biometrische Verfahren ist der Fingerabdruck. Schon 2004 konnten Kunden einer großen Supermarktkette sozusagen mit dem Finger zahlen. Heute kann der Verbraucher in mehr als 900 Supermärkten und in zahlreichen Videotheken mit dem individuellen Fingerabdruck zahlen. Ein weiteres etabliertes Verfahren ist die Gesichtserkennung, die in Zugriffskontrollsystemen für Mitarbeiter, Ausstellungsbesucher und in Spielkasinos verwendet wird. In weiten Teilen Europas und in Asien kommen die Stimmbiometrie und das Verfahren zum Erkennen von Handvenenmustern hinzu.

IT-DIRECTOR: An welchen Stellen ist eine Identifikation mit biometrischen Merkmalen unzuverlässig bzw. manipulierbar?
Dr. J. Cudic: Biometrische Verfahren sind sehr sicher, da sie meist über verschiedene Mechanismen verfügen, die Betrugsversuche zuverlässig aufdecken. So ist unsere stimmbiometrische Lösung VoiceIdent in der Lage, Manipulationen anhand von Aufnahmen zu erkennen. Die Umgebungsbedingungen sollten jedoch beachtet werden: Ein Fingerabdruckscanner kann bei übermäßig hohen oder niedrigen Umgebungstemperaturen unzuverlässig sein. Ebenso ist eine exakte Stimmerkennung in einer lauten Umgebung (Bahnhof, Stadion o.ä.) eher eingeschränkt.

IT-DIRECTOR: Welche biometrischen Verfahren gelten generell als die sichersten? Und warum?
Dr. J. Cudic: Die Iriserkennung gilt derzeit als sicherstes Verfahren. Die Gründe dafür sind die hohe Genauigkeit und die Unveränderbarkeit des biometrischen Charakteristikums. Die Iriserkennung weist jedoch auch Nachteile bezüglich der Kosten und der Benutzerakzeptanz auf. Hinzu kommt, dass beim Irisscan „überschießende“ Informationen erfasst werden, z.B. über den Konsum von Alkohol oder Drogen.

Für eine Beurteilung der Güte eines biometrischen Verfahrens werden neben der Sicherheit bzw. Genauigkeit die Faktoren Kosten, Komfort und Verfügbarkeit herangezogen. Die Verfügbarkeit beschreibt den Anteil einer potentiellen Nutzergruppe, die ein biometrisches Charakteristikum für technische Erkennungszwecke verwenden kann. Zieht man alle Bewertungskriterien heran, ist eine eindeutige Entscheidung zugunsten einer einzelnen biometrischen Methode nur schwer möglich.

IT-DIRECTOR: Inwieweit geht die Anwendung biometrischer Authentifizierung mit den hiesigen Datenschutzbestimmungen konform?
Dr. J. Cudic: Die Anforderungen an die datenschutzfreundliche Gestaltung biometrischer Verfahren lassen sich wie folgt zusammenfassen:
– Keine Verwendung von Rohdaten, sondern Schrumpfung zu Referenzdaten (Templates), um Überschussinformationen auszuschließen,
– Wahl von Verfahren, die eine aktive Mitwirkung des Nutzers erfordern und eine unbemerkte Erfassung ausschließen,
– Dezentrale Speicherung der Templates, möglichst in der alleinigen Verfügungsgewalt des Nutzers (z.B. Chipkarte), vorzugswürdig gegenüber zentraler Speicherung in einer Datei,
– Schutz der biometrischen Daten vor unbefugter Kenntnisnahme,
– Einsatz von Verschlüsselung,
– Transparenz der Verfahren und der Sicherheitsmechanismen.

VoiceIdent beispielsweise erfüllt die genannten Anforderungen insoweit, als dass es sich bei den gespeicherten Daten nicht um Rohdaten (Audiodatei einer Stimme), sondern um ein Template handelt. Das Template der Stimme einer Person enthält keine überschießenden Informationen. Die Verwendung dieser Lösung erfordert eine aktive Mitwirkung des Nutzers, da eine Stimmverifikation immer „text prompted“ erfolgt, d.h. dem User werden Ziffern oder Worte vorgegeben, die er nachspricht. Die Speicherung kann je nach Kundenwunsch zentral oder dezentral erfolgen, wobei entsprechend der o.g. Anforderungen eine dezentrale Speicherung vorzuziehen ist. Die Daten werden selbstverständlich verschlüsselt und vor unberechtigtem Zugriff geschützt. Hier kommt hinzu, dass die Templates der Stimme außerhalb des Systems wertlos sind, d.h. eine externe Nutzung ist nicht möglich. Wir legen großen Wert auf die Transparenz des Verfahrens und der Sicherheitsmechanismen. (Quelle: http://www.lfd.niedersachsen.de/live/live.php?navigation_id=12937&article_id=55984&_psmand=48)

IT-DIRECTOR: Wie können die Verantwortlichen nach dem Ausscheiden eines Mitarbeiters sichergehen, alle Daten regelkonform zu löschen?
Dr. J. Cudic: Eine datenschutzfreundliche Gestaltung biometrischer Verfahren sieht die sofortige Löschung der Daten vor, sobald ein Betroffener nicht mehr an der Anwendung teilnimmt.

IT-DIRECTOR: Wie aufwendig ist die Installation biometrischer Verfahren?
Dr. J. Cudic: Die Kosten der Installation einer biometrischer Anwendung sind für kleine Unternehmen relativ hoch. Eine hohe Stückzahl der Anwendungen reduziert die Preise jedoch stark. Der Einsatz der Biometrie realisiert darüber hinaus Kosteneinsparungen – vor allem die kostspielige Verwaltung von Passwörtern. Indirekte Kosteneinsparungen können durch ein vermindertes Risiko erreicht werden, da es keine Passwörter gibt, die notiert oder weitergegeben werden können.

Der Sensor zur Erfassung eines biometrischen Merkmals ist meist der kostenintensivste Teil eines solchen Systems. Hier bietet VoiceIdent einen Vorteil, da keine zusätzliche Hardware erforderlich ist. Die Erfassung und Überprüfung des biometrischen Merkmals Stimme erfolgt bequem per Telefon.

IT-DIRECTOR: Bitte beschreiben Sie uns kurz ein Anwendungsbeispiel Ihrer Biometrielösung bei einem Großunternehmen aus Deutschland, Österreich oder der Schweiz.
Dr. J. Cudic: Die Einsatzmöglichkeiten unserer stimmbiometrischen Lösung sind vielfältig. Momentan setzen wir sie hausintern für die sichere Passwortrücksetzung ein. Nachdem ein Nutzer einen „Stimmabdruck“ (Voiceprint) im System hinterlegt hat, kann er sein Passwort jederzeit sicher und bequem telefonisch zurücksetzen. Dies gewährleistet eine Prozessoptimierung, Kostenreduktion und eine Erhöhung der Sicherheit. Hinzu kommt ein psychologischer Effekt: Viele Mitarbeiter empfinden es als angenehm, das Passwort anonym zurücksetzen zu können, ohne Dritte um eine Genehmigung bitten zu müssen.

IT-DIRECTOR: Aber auch im alltäglichen Leben ist Stimmbiometrie nutzbar. Wo sehen Sie hier weitere Einsatzmöglichkeiten?
Dr. J. Cudic: Ich gebe Ihnen gern ein Beispiel: Ich bin kürzlich umgezogen und habe dementsprechend eine neue Bankverbindung, die u.a. bei der Deutschen Bahn hinterlegt werden muss, um Onlinetickets erwerben zu können. Eine Änderung der Bankverbindung ist nur telefonisch oder persönlich am Schalter möglich, eine neue Bankverbindung kann nicht online eingetragen werden. Für meinen Anruf bei der Hotline der Bahn musste ich diverse Daten zusammensuchen, die ich nicht alltäglich benötige. Hierbei handelt es sich natürlich um eine Sicherheitsmaßnahme. Dieses Verfahren ist jedoch recht aufwendig und unsicher, da theoretisch jeder, der über die Daten verfügt, auf meinen Account zugreifen kann.

Der Einsatz von Stimmbiometrie würde in diesem Fall bedeuten, dass ich die Servicehotline der Deutschen Bahn anrufe, meine Identität anhand meiner Stimme eindeutig verifiziert wird und meine Bankdaten bequem und sicher geändert werden. Auf diese Weise werden besserer Service und höhere Sicherheit erreicht.

©2020Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok