Drei Fragen an ...

IT-Sicherheit – ein hohes Gut für Mittelständler

Die Experten Uwe Eisele, Leiter Marketing bei der Dormakaba Deutschland GmbH, und Dr.-Ing. Andreas Braun, Leiter der Abteilung Smart Living & Biometric Technologies am Fraunhofer-Institut für Graphische Datenverarbeitung (IGD), erklären im Interview, inwieweit biometrische Verfahren als Sicherheitsmechanismen im Mittelstand bereits einsetzbar sind.

  • biometrische Verfahren im Mittelstand

    Sind biometrische Verfahren wie Fingerabdruck, Iris-Scan oder Stimmerkennung bereits für den Praxiseinsatz im Mittelstand nutzbar?

  • Dr.-Ing. Andreas Braun

    „Praxistauglich sind die meisten dieser Technologien – jedoch sind nicht alle gleichermaßen für hohe Sicherheitsstufen geeignet.“ (Dr.-Ing. Andreas Braun)

  • Uwe Eisele

    „Datenerfassung mit dem Finger zeichnet sich gegenüber anderen Technologien durch eine gute Erkennungsleistung aus.“ (Uwe Eisele)

Sicherheit der IT ist für Mittelständler ein hohes Gut – angesichts der Bedrohungen durch Cyber-Kriminelle, Hacker oder Wirtschaftsspione. Auf der anderen Seite sind die Schwachstellen beim klassischen Schutz der IT über Passwörter allzu gut bekannt. Abhilfe schaffen könnten da biometrische Verfahren wie Fingerabdruck, Iris-Scan oder Stimmerkennung, die den Zugriff auf wichtige IT-Systeme viel besser schützen können als Passwörter.

Doch sind diese Verfahren schon praxisreif für den Alltag eines Mittelständlers? Und wie steht es um die Akzeptanz der Mitarbeiter, die ihrem Arbeitgeber körperliche Merkmale für die Digitalisierung überlassen? Denn ein individuelles Merkmal wird für den biometrischen Einsatz in einen Datensatz umgewandelt und digital gespeichert. Um eine Identität zu prüfen, können dann die aktuellen biometrischen Werte einer Person mit den vorhandenen Datensätzen verglichen werden. Das bekannteste biometrische Verfahren ist der Fingerabdruck, der heute schon vielfach für die Anmeldung an Smartphone oder Laptop verwendet wird. Aber auch die Iris, die Stimme, das Gesicht oder die Herzschlagrate lassen sich zur Identifizierung einer Person nutzen.

Die Akzeptanz ist höher als man denkt. So konnten sich 2016 schon 58 Prozent der vom Bitkom Befragten vorstellen, solche Verfahren künftig beim bargeldlosen Bezahlen einzusetzen – weil individuelle körperliche Merkmale deutlich sicherer sind als Passwörter, die geknackt oder gestohlen und missbraucht werden können. Außerdem ist die Handhabung für den Nutzer schnell, einfach und bequem. Vor diesem Hintergrund befragte IT-MITTELSTAND zwei ausgewiesene Experten in Sachen Biometrie zu der „Mittelstandstauglichkeit“ dieser Technologie.

ITM: Es werden sehr viele biometrische Verfahren entwickelt, um Personen eindeutig zu identifizieren, z.B. Hand, Unterschrift, Iris, Finger(abdruck), Gesicht, Tippverhalten, Sprache oder Gangdynamik. Welche dieser Technologien ist schon so praxistauglich, dass ihr Einsatz im Mittelstand organisatorisch und wirtschaftlich sinnvoll ist?
Uwe Eisele:
Praxistauglich und organisatorisch sinnvoll sind für mittelständische Unternehmen aus unserer Sicht derzeit Fingerprint-Systeme, Handvenen-Scanner und die Gesichtserkennung. Diese Systeme sind ausgereift und erlauben einen reibungslosen Einsatz in der Praxis, denn sie sind einfach und komfortabel zu bedienen. Sie sind auch wirtschaftlich, da durch sie weniger Fehlbuchungen und weniger Korrekturen anfallen. Außerdem stellen die Systeme sicher, dass nur Berechtigte buchen können und damit Zutritt erlangen.

Andreas Braun: Praxistauglich sind die meisten dieser Technologien – jedoch sind nicht alle gleichermaßen für hohe Sicherheitsstufen geeignet. Es ist wichtig, biometrische Verfahren zu wählen, die schwer zu fälschen sind, aber dennoch von den Nutzern einfach und komfortabel genutzt werden können.

Der klassische Fingerabdruck ist weit verbreitet und auch gut von den Anwendern akzeptiert. Iris- und Handvenen-Scans werden für sicherheitsrelevante Anwen-
dungen gerne genutzt. Gesichtserkennungssysteme werden immer beliebter und haben mittlerweile auch eine hohe Leistungsfähigkeit, können jedoch tendenziell einfacher getäuscht werden.

Der Unterschrift setzen wir im täglichen Gebrauch ein hohes Vertrauen entgegen, auch wenn diese eigentlich relativ einfach zu fälschen ist. Es existieren auch elektronische Vergleichssysteme für Unterschriften, jedoch sind diese noch nicht im praktischen Einsatz. Hier wird neben dem Bild der Unterschrift auch noch beachtet, wie der Stift bewegt wird. Sprachbiometriesysteme werden häufiger in Call-Centern eingesetzt und sollen dort die Sicherheit erhöhen. In der Praxis werden Gangverhalten und Gesichtserkennungssystem kombiniert – der Gang alleine ist nicht eindeutig genug. Das Tippverhalten ist aus Datenschutzgründen eher kritisch, da es eine Beobachtung der Tastatureingaben bedingt und ist auch keineswegs so eindeutig, wie andere biometrische Verfahren.

Dies ist ein Artikel aus unserer Print-Ausgabe 3/2018. Bestellen Sie ein kostenfreies Probe-Abo.


ITM: Welches biometrische Verfahren würden Sie im Bereich Zutrittskontrolle empfehlen – und warum?
Braun:
Hier sollte man seine Entscheidung von der Sicherheitsstufe abhängig machen. In jedem Falle sollten Systeme genutzt werden, die der Hersteller gut vor einem Missbrauch der Daten schützt und mit einer Lebenderkennung arbeiten, die vor einer Verwendung von Attrappen schützt. Allerdings dauert der biometrische Vergleich dann auch mal eine Sekunde. Hier ist es also wichtig, zwischen Komfort und Sicherheit abzuwägen. Fingerabdruck-Scanner sind hier eine gute Methode, die auch vergleichsweise kostengünstig eingesetzt werden kann. Iris- und Handvenen-Scanner sind in höheren Sicherheitsbereichen beliebt und gut geeignet – allerdings etwas teurer.

Eisele: Wir empfehlen Fingerprint-Systeme. Datenerfassung mit dem Finger zeichnet sich gegenüber anderen Technologien durch eine gute Erkennungsleistung bei gleichzeitig hohem Sicherheitsniveau und der größten Akzeptanz bei den Benutzern aus. Das verwundert nicht. Denn der Erfassungsvorgang ist einfach und schnell – eine kurze Berührung des Sensors mit dem Finger reicht aus. Mitarbeiter benötigen keine Schulung, denn das System ist intuitiv anwendbar.

Dabei ist der Datenschutz durch nicht rekonstruierbare Fingerabdrücke voll gewährleistet. Denn die biometrische Leseeinheit erstellt anhand markanter Merkmale der Fingerkuppe lediglich ein einzigartiges Erkennungsmuster. Dabei handelt es sich um eine mathematische Beschreibung von Positionsdaten, die Endpunkte von Fingerlinien oder Verzweigungen markieren. Dieses Muster wird beim einmaligen Einlernen als eindeutige Referenz zur Person abgespeichert. Aus diesem Referenzmuster kann kein visueller Fingerabdruck reproduziert werden.

ITM: Welche Rechte hat ein Arbeitgeber, solche persönlichen Daten seiner Mitarbeiter zu erheben – und welche Pflichten leiten sich aus diesen Rechten ab?
Braun:
Biometrische Daten sind personenbezogene Daten. Generell hat der Arbeitgeber das Recht, persönliche Daten zu erheben, wenn dies für die Ausübung der Tätigkeit notwendig ist – jedoch mit gewissen Einschränkungen, wenn etwa eine adäquate Absicherung auch mit anderen Mitteln erreichbar ist. Die Daten der Gesichtserkennung sind sogar sensibel, da eventuell auch Krankheiten und andere Parameter erkannt werden können.

Die biometrischen Systeme speichern zwar in der Regel keine Bilder von Gesicht, Iris und Finger, sondern sogenannte Templates – mathematische Codes, aus denen man auch nicht mehr das Bild errechnen kann. Die Systeme speichern die Daten üblicherweise auch nur lokal. Dennoch sind hier im Rahmen der IT-Sicherheit entsprechende Vorkehrungen zu treffen. Die biometrischen Daten müssen in einem Rahmen geschützt werden, wie andere persönliche Daten auch.

Eisele: Die Erhebung personenbezogener Daten während eines Beschäftigungsverhältnisses ist dann zulässig, wenn diese Erhebung nach der Zweckbestimmung erforderlich ist, um Identitätsdiebstahl und Missbrauch zu verhindern und vor unbefugtem Betreten des Unternehmens zu schützen.

Aber bei der Erhebung und Verarbeitung personenbezogener Daten muss natürlich das Datenschutzrecht eingehalten werden. „Bleibe ich Herr über meine persönlichen Daten?“, „Wird mein Fingerabdruck gespeichert und vielleicht sogar weitergegeben?“ – diese Fragen der Mitarbeiter sind berechtigt und müssen vom Arbeitgeber sehr ernst genommen und beantwortet werden. So muss für die Erhebung und Verarbeitung der Daten eine Einwilligung der Mitarbeiter eingeholt werden. Dazu sollten der Datenschutzbeauftragte und der Betriebsrat eingebunden werden und eine Betriebsvereinbarung abgeschlossen werden.

Bildquelle: Dormakaba Deutschland GmbH/Fraun-hofer-Institut für Graphische Datenverarbeitung (IGD)/Thinkstock/iStock

©2018Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok