Viele Cyber-Angriffe in Deutschland

Sicher dank Biometrie?

Ein Passwort muss möglichst kompliziert und sowohl physisch als digital nirgends ­auffindbar sein. Schwierig, denn jeder Internet-Nutzer ist mit einer E-Mail-Adresse häufig bei zig verschiedenen Online-Accounts registriert. Laut einer Bitkom-Studie von 2016 wurde bereits jeder zweite Web-Nutzer in Deutschland Opfer eines Cyber-Angriffs.

Der Vorteil der biometrischen Authentifikation ist, dass sowohl die Identifikation als auch die Authentifikation in einem Schritt möglich sind.

Im Jahr 2004 prognostizierte Bill Gates das Aus für klassische Passwörter. Er war der Meinung, dass sie den zukünftigen Sicherheitsanforderungen nicht standhalten würden. Das Gegenteil ist gegenwärtig der Fall: Heute werden noch viel häufiger Passwörter genutzt, denn mittlerweile gibt es mehr als 600 Milliarden Webseiten, die Log-ins verlangen. Doch welche Arten der Authentifikation sind möglich? In der Regel wird zwischen drei verschiedenen Authentifikationskategorien unterschieden: die Kenntnis über eine persönliche Information (PIN, Passwort oder eine Sicherheitsfrage), der physische Besitz einer Information (Ausweisdokument, Bankkarten) und die physischen Charakteristika wie Fingerabdruck oder Iris.

Die bekannteste und die bis heute verbreitetste Form der biometrischen Authentifikation ist der Fingerabdruck. Dabei hinterlegt der Nutzer seinen Fingerabdruck über einen Sensor auf dem Gerät und im Fall einer Authentifizierung muss der Nutzer den Fingerabdruck nachweisen. Damit ist die Identität bestätigt.

Der Vorteil der biometrischen Authentifikation ist, dass sowohl die Identifikation als auch die Authentifikation in einem Schritt möglich sind. Zum einen findet eine Auswertung der Identität statt, zum anderen auch eine Überprüfung, ob die Person das Recht besitzt, auf die Daten zuzugreifen. Und: Der Nutzer muss sich seinen Fingerabdruck nicht merken. Auf den ersten Blick ist dies ein starkes Argument für eine tatsächlich verlässliche Sicherung der Zugangsdaten. Identitätsbetrug scheint unmöglich, schließlich kann ein Fingerabdruck nicht gestohlen werden. Oder doch?

Die Grenzen der Einzigartigkeit


Biometrische Authentifizierung kann gehackt werden wie jede andere Form der Authentifizierung auch. So gelang es dem Chaos Computer Club (CCC) im Jahr 2014, bevor Apple das iPhone mit „Touch ID“ offiziell auf den Markt brachte, den Fingerabdruck der Verteidigungsministerin Ursula von der Leyen anhand von Fotos zu reproduzieren. Auch die Fingerabdrücke von Finanzminister Wolfgang Schäuble wurden vom CCC erfolgreich kopiert. Er hatte nach einer Rede sein benutztes Wasserglas im Raum gelassen. Der Fingerabdruck konnte auf dem Glas gesichert, in eine Plastikform geprägt und erfolgreich reproduziert werden. Auch Iris-Scanner können ausgetrickst werden. Jan Kissler, Mitglied des CCC, schaffte es mithilfe von Fotos aus dem Internet, den Iris-Scanner zu täuschen.

Im Gegensatz zu Passwörtern können gestohlene biometrische Daten im Ernstfall nicht schnell geändert werden. Werden alle Konten mit den gleichen biometrischen Informationen geschützt, sind alle Konten auch verwundbar. Weiterer Nachteil gegenüber dem klassischen Passwort: Biometrische Daten können nicht klassifiziert, z.B. in geschäftlich oder privat, noch anonymisiert werden. Außerdem ist die biome-trische Authentifikation immer an eine teure unternehmensgebundene Hardware verknüpft und schwierig als allgemeingültiger Standard zu etablieren.

Das Passwort hingegen ist ein „low-tech“-Konzept, sicher, günstig und überall anwendbar. Durch die Nutzung eines Passworts identifiziert sich der User nicht, sondern authentifiziert sich lediglich für den Zugriff, die Person bleibt anonym. Wird diese Anonymität durch eine eindeutige persönliche Identifizierung, z.B. durch einen Fingerabdruck, aufgegeben, wird die Identität des Nutzers angreifbar. Bei der Verwendung eines Passworts hingehen muss der Zusammenhang zwischen Passwort und konkreter Person durch den Dieb erst aufwendig hergestellt werden.

Die Lösung liegt in der Kombination


Die aufgezählten Nachteile der biometrischen Authentifikation wiegen schwer, per se schlecht ist diese Technik jedoch nicht. Vielmehr gilt es, sie im richtigen Verbund mit anderen Sicherheitstechnologien einzusetzen. Die Multi-Authentifizierung, wie große Unternehmen es häufig praktizieren, scheint hier das Nonplusultra zu sein, indem die sensiblen Daten durch eine Kombination der genannten Authentifikationen geschützt werden. Kommt Multi-Authentifizierung nicht infrage, bleibt ein klug gewähltes Passwort nahezu unschlagbar.

Dies ist ein Artikel aus unserer Print-Ausgabe 03/2017. Bestellen Sie ein kostenfreies Probe-Abo.

Dabei übernehmen Passwort-Manager-Technologien das „Handling“ für den Menschen. In den USA längst gang und gäbe, erstellen diese Programme auf Wunsch Passwörter nach dem Zufallsprinzip, übertragen diese verschlüsselt und verwenden für jeden Account eine andere Zugangskombination. Das Passwort als Zugangssystem bleibt, nur der „Fehlerfaktor“ Mensch fehlt – sicherer und anonymer geht es derzeit nicht.

Abschließend betont Alexis Fogel, Ko-gründer von Dashlane, einem Anbieter für das Passwort-Management: „Wir müssen davon ausgehen, dass Hackerangriffe und Datenlecks in Zukunft noch viel häufiger auftreten werden. Für Unternehmen besteht die Herausforderung darin, mit der sich schnell wandelnden Technologie Schritt zu halten! Die Implementierung der erforderlichen Sicherheitsprotokolle, um alle Schwachstellen aufzuheben, ist dafür immer wieder aufs Neue notwendig.“

Bildquelle: Thinkstock/iStock

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok