FAQ Biometrie

Deutsch English

Biometrie-FAQ Fingerprint-FAQ

Grundlagen Realisierung Performanz Sicherheit Stichworte Links Publikationen Autor

Letzte Änderung: 2020-04-25

Grundlagen Grundbegriffe • Was ist Biometrie? • Was ist eine "biometrische Erkennung"? • Was ist ein "biometrisches Charakteristikum"? • Was ist ein "biometrisches Sample"? • Was sind "biometrische Merkmale"? • Was ist eine "biometrische Referenz"? • Was ist ein "biometrisches Template"? • Was ist ein "Enrolment"? • Wie läuft eine biometrische Erkennung ab? Biometrische Charakteristika • Welche Anforderungen sind an biometrische Charakteristika zu stellen? • Welches sind die bekanntesten biometrischen Charakteristika? • Wie entstehen biometrische Charakteristika? • Welchen Einfluss hat die Entstehungsart auf die Brauchbarkeit biometrischer Charakteristika? • Woran erkennt man randotypische Charakteristika? • Welche biometrischen Charakteristika weisen die höchste zeitliche Konstanz auf? • Welche biometrischen Charakteristika sind am besten für Erkennungszwecke geeignet? Authentifizierung • Was versteht man unter Authentifizierung, Identifizierung und Verifizierung? • Was ist eine biometrische Authentifizierung? • Welche grundlegenden Authentifizierungsarten gibt es? • Welche Vorteile haben biometrische Verfahren zur Authentifizierung? • Welche Eigenschaften haben die unterschiedlichen Authentifizierungs-Arten? • Was ist der Unterschied zwischen Identifizierung und Verifizierung? • Welche Vorteile hat eine Verifizierung gegenüber einer Identifizierung? • Was ist der Unterschied zwischen positiver und negativer Identifizierung? • Welches sind die Haupt-Anwendungsgebiete für Identifizierung bzw. Verifizierung? Normung • Welche Organisationen kümmern sich um die Normung biometrischer Systeme? • Welche biometrischen Normen gibt es derzeit? • Gibt es genormte biometrische Fachbegriffe?

Realisierung • Womit werden die biometrischen Charakteristika erfasst? • Woraus besteht ein biometrisches Authentifizierungs-System? • Welche Rechenleistung erfordert ein biometrisches System? • Wie funktionieren Enrolment und biometrische Authentifizierung? • Welche Vorteile bietet der kombinierte Einsatz von Chipkarten und Biometrie? • Was versteht man unter Template-on-Card? • Wie kann ein PC-Netzzugangsschutz mit "Template on Card" aussehen? • Was versteht man unter Matcher-on-Card? • Welche Eigenschaften bietet Matcher-on-Card?

Performanz Definitionen • Welche Messgrößen bestimmen die Leistungsfähigkeit eines biometrischen Authentifizierungs-Systems? • Wie ist die Nutzerausfallrate (FER/FTE) im Detail definiert? • Was ist bei der Definition der FRR zu beachten? • Wie ist die FRR im Detail definiert? • Was ist bei der Definition der FAR zu beachten? • Wie ist die FAR im Detail definiert? Performanzbestimmung (für Spezialisten) • Wie misst man die Wahrscheinlichkeits-Dichtefunktion eines biometrischen Systems für berechtigte und nichtberechtigte Personen? • Wie lässt sich das FAR/FRR-Kurvenpaar eines biometrischen Systems bestimmen? • Wie ermittelt man die "Receiver Operating Characteristic" (ROC) eines biometrischen Systems? • Wie ändert sich die FAR beim Übergang von Verifizierung zu Identifizierung? • Wie ändert sich die FRR beim Übergang von Verifizierung zu Identifizierung? • Wie lässt sich die Falschidentifikationsrate FIR rechnerisch bestimmen? • Wann sind FAR- und FRR-Messwerte statistisch signifikant? • Was ist beim Vergleich der ROC-Performanz von biometrischen Systemen zu beachten? • Was versteht man unter Separierbarkeit eines biometrischen Systems? Praktische Hinweise • Worauf muss man bei der Angabe von FAR/FRR-Werten achten? • Hängt die Performanz eines biometrischen Systems vom Anwender ab? • Ist die Nutzerausfallrate ein typisch biometrisches Problem? • Wie lassen sich die FAR und die FRR eines biometrischen Authentifizierungs-Systems minimieren? • Ist die EER ein verlässliches Maß für die Performanz biometrischer Systeme?

Sicherheit • Was versteht man unter der "Sicherheit" eines Authentifizierungs-Systems?  • Was versteht man unter Kompromittierung biometrischer Charakteristika? • Ist die Kompromittierung biometrischer Charakteristika ein Problem? • Was kann man gegen die Kompromittierung seiner biometrischen Charakteristika tun? • Was ist in Bezug auf Sicherheit bei Template-on-Card zu beachten? • Fördert Biometrie den Datenschutz oder fordert sie ihn heraus? • Ist Biometrie "sicherer" als Passwörter?

Für weitere Begriffe oder Mehrfachnennungen, die Tastenkombination "Strg + F" drücken und das gesuchte Stichwort eingeben!

Was ist Biometrie?

(1) Allgemein: Biometrie oder Biometrik ist die Lehre von der Messung an Lebewesen. (2) ISO/IEC: Biometrie ist die automatisierte Erkennung von Individuen anhand ihrer verhaltensmäßigen oder biologischen Charakteristika.

Was ist eine "biometrische Erkennung"?

Durch Messung geeigneter verhaltensmäßiger oder biologischer Charakteristika während eines Erkennungsvorgangs wird durch Vergleich mit den bei einem "Kennenlernvorgang" (Enrolment) hinterlegten biometrischen Referenzen die Identität einer Person festgestellt.

Was ist ein "biometrisches Charakteristikum"?

Ein biometrisches Charakteristikum ist eine biologische oder verhaltensabhängige Eigenschaft eines Individuums, die einerseits gemessen werden kann und aus der sich andererseits zur Unterscheidung verwendbare, reproduzierbare biometrische Merkmale ableiten lassen, die zum Zwecke der automatischen Erkennung von Individuen einsetzbar sind. Beispiel: Gesicht.

Was ist ein "biometrisches Sample"?

Ein biometrisches Sample ist eine analoge oder digitale Repräsentation eines biometrischen Charakteristikums vor dem Prozess der biometrischen Merkmalssextraktion, das durch ein biometrisches Datenerfassungsgerät bzw. ein biometrisches Erfassungssubsystem erzeugt wird. Beispiel: elektronisches Passfoto. Ein biometrisches Sample wird üblicherweise von einem Sensor geliefert, der Hauptbestandteil des biometrischen Datenerfassungsgeräts ist. Das biometrische Sample enthält in der Regel mehr Informationen als für eine biometrische Erkennung benötigt werden. Man spricht deshalb auch von Rohdaten. In vielen Fällen handelt es sich hier wie beim Foto um direkte Abbilder des biometrischen Charakteristikums.

Was sind "biometrische Merkmale"?

Biometrische Merkmale sind die aus einem biometrischen Sample extrahierten charakteristischen Informationen, die sich direkt zum Vergleich mit einer biometrischen Referenz heranziehen lässt. Beispiel: aus dem Passfoto extrahierte charakteristische Maße wie Augenabstand, Nasengröße usw. Die Extraktion der biometrischen Merkmale aus dem biometrischen Sample hat zum Ziel, die biometrischen Daten von allen überflüssigen Informationen zu befreien, die nicht zur biometrischen Erkennung beitragen. Dies ermöglicht einen schnelleren Vergleich, eine höhere biometrische Performanz und kann Datenschutzvorteile haben.

Was ist eine "biometrische Referenz"?

Eine biometrische Referenz besteht aus den in Form eines oder mehrerer biometrischer Samples, biometrischer Templates oder biometrischer Modelle abgespeicherten und einer Person zugeordneten Referenzdaten, die sich zum Vergleich heranziehen lassen. Von biometrischen Templates spricht man, wenn es sich um abgespeicherte biometrische Merkmale handelt. Ein biometrisches Modell ist eine gespeicherte personenspezifische Funktion, die unter Verwendung von biometrischen Merkmalen bestimmt wurde und beim Vergleich zur Erzeugung des Vergleichsergebnisses auf die biometrischen Merkmale eines biometrischen Erkennungssamples angewendet wird.

Was ist ein "biometrisches Template"?

Ein biometrisches Template ist ein Sonderfall einer biometrischen Referenz, bei dem biometrische Merkmale zum Zwecke des Vergleichs abgespeichert wurden. Der Vergleich findet ihm Rahmen eines Erkennungsvorgangs zwischen dem abgespeicherten biometrischen Template und den aktuellen biometrischen Merkmalen statt, die aus den vom biometrischen Datenerfassungsgerät bzw. Sensor kommenden biometrischen Daten gewonnenen wurden.

Was ist ein "Enrolment"?

Um eine Person anhand ihrer biometrischen Charakteristika und den daraus abgeleiteten biometrischen Merkmalen erkennen zu können, muss zunächst ein Kennenlernen stattfinden. Dieser Vorgang des Kennenlernens wird Enrolment genannt und besteht darin, für eine zu erfassende betroffene Person einen mit ihr verbundenen Enrolmentdatensatz zu erstellen und in der biometrische  Enrolment-Datenbank zu speichern. Der Enrolmentdatensatz besteht aus einer oder mehreren biometrischen Referenzen und beliebigen nicht-biometrischen Daten wie Namen oder Personalnummer.

Wie läuft eine biometrische Erkennung ab?

Zur Erkennung präsentiert die betroffene Person dem biometrischen Datenerfassungsgerät sein biometrisches Charakteristikum, das daraus ein biometrisches (Erkennungs-)Sample ableitet. Aus dem Erkennungssample erzeugt die Merkmalsextraktion die biometrischen Merkmale, die mit einem oder mehreren biometrischen Templates aus der biometrischen Enrolment-Datenbank verglichen werden. Aufgrund der statistischen Natur der biometrischen Samples wird es in der Regel keine 100%ige Übereinstimmung geben können. Deshalb wird der auf den Vergleicher folgende Entscheider nur dann von einer Zugehörigkeit der betroffenen Person zu einem biometrischen Template ausgehen und eine Erkennung signalisieren, wenn die Ähnlichkeit einen einstellbaren Schwellwert überschreitet.

Welche Anforderungen sind an biometrische Charakteristika zu stellen?

Bei der Entwicklung biometrischer Verfahren geht es darum, Körper- und Verhaltenscharakteristika zu finden und zur Erkennung zu nutzen, die über möglichst eindeutige biometrische Merkmale bzw. Merkmalsmuster verfügen, die sich bei keiner weiteren Person wiederholen: Eindeutigkeit bei möglichst vielen Personen vorkommen: Universalität deren biometrischen Merkmale sich zeitlich möglichst wenig verändern: Konstanz mit möglichst einfachen technischen Mitteln erfassbar sind: Messbarkeit deren Erfassung für den Betroffenen bequem durchführbar ist: Anwenderfreundlichkeit

Welches sind die bekanntesten biometrischen Charakteristika?

Biometrisches Charakteristikum	Beschreibung der Merkmale
Fingerprint	Fingerlinienbild, Porenstruktur
Unterschrift (dynamisch)	Schriftzug mit Druck- und Geschwindigkeits-Verlauf
Gesichts-Geometrie	Abstände der gesichts-bestimmenden Merkmale (Augen/Nase/Mund)
Iris	Irismuster
Retina	Augenhintergrund (Muster des Adernstruktur)
Handgeometrie	Maße der Finger und des Handballens
Fingergeometrie	Fingermaße
Venenstruktur der Hand	Venenstruktur der Finger, der Handrückfläche oder der Handinnenfläche
Ohrform	Abmessungen der sichtbaren Ohrbestandteile
Stimme	Klangfarbe
DNA	Codierung der DNA als Träger der menschlichen Erbanlagen
Geruch	Chemische Zusammensetzung der menschlichen Geruchs
Tastenanschlag	Rhythmus des Tastenanschlags (PC- oder sonstige Tastatur)
Passwort	Im Gehirn gespeicherte Buchstaben-/ Zahlenfolge

Wie entstehen biometrische Charakteristika?

Biometrische Charakteristika entstehen durch Vererbung: genotypisch durch Zufallsprozesse in einer Frühphase der embryonalen Entwicklung: randotypisch oder sind durch Training bestimmt: konditioniert In der Regel sind bei biometrischen Charakteristika alle drei Entstehungsarten mit zum Teil stark unterschiedlichen Wichtungen vertreten. Die folgende Tabelle schätzt die Priorität der jeweiligen Anteile (o ist niedrig, ooo hoch):

*Randotypische Muster zeigen häufig ein genotypisches Verhalten in der Grobstruktur, das sich mit zunehmender Verfeinerung immer mehr zurückbildet (Beispiel: Verästelung eines Baums)

**Die meisten Realisierungen reagieren mehr oder weniger stark auf Lerneffekte bei der Bedienung und haben deshalb nicht zu vernachlässigende konditionierte Anteile

Welchen Einfluss hat die Entstehungsart auf die Brauchbarkeit biometrischer Charakteristika?

Obwohl die Entstehungsart nicht allein über die Brauchbarkeit entscheidet, sind doch ein paar Dinge zu beachten: Rein genotypische Charakteristika lassen sich nicht zur Unterscheidung von eineiigen Zwillingen und Klonungen heranziehen Rein konditionierte Charakteristika sind per Definition besonders einfach nachzuahmen Stark konditionierte Charakteristika hängen stark von äußeren Einflüssen und Stimmungen des Benutzers ab Für Identifizierungszwecke sind in der Regel randotypische Anteile unverzichtbar, denn diese sind eine notwendige Voraussetzung für Einmaligkeit

Woran erkennt man randotypische Charakteristika?

Folgende Bedingungen müssen erfüllt sein: Selbst eineiige Zwillinge haben deutlich unterscheidbare Charakteristika Faustregel: Randotypische Charakteristika folgen NICHT der Körpersymmetrie. Beispiel: Rechte und linke Iris haben unterschiedliche Feinstrukturen, die nicht etwa spiegelsymmetrisch zueinander sind.

Welche biometrischen Charakteristika weisen die höchste zeitliche Konstanz auf?

Gründe für eine zeitliche Varianz gibt es viele: Wachstum Abnutzung Alterung Verschmutzung Verletzung und Art der Regeneration etc. Im Vorteil sind solche biometrischen Charakteristika, die von diesen Varianzen unbeeinflusst bleiben. In welchem Maße das möglich ist, zeigt folgende Tabelle, deren Werte geschätzt sind. Regenerierbare Effekte wie Verschmutzung und regenerierbare Verletzungen sind nicht berücksichtigt.

Biometrisches Charakteristikum	Zeitliche Konstanz
Fingerprint (Minuzien)	oooooo
Unterschrift (dynamisch)	oooo
Gesichtsgeometrie	ooooo
Irismuster	ooooooooo
Retina	oooooooo
Handgeometrie	ooooooo
Fingergeometrie	ooooooo
Venenstruktur der Hand	oooooo
Ohrform	oooooo
Stimme (Klang)	ooo
DNA	ooooooooo
Geruch	oooooo?
Tastenanschlag	oooo
Vergleich: Passwort	ooooo

Welche biometrischen Charakteristika sind am besten für Erkennungszwecke geeignet?

Um einen Gesamtvergleich verschiedener biometrischer Charakteristika zu ermöglichen, sind zunächst die Bewertungskriterien festzulegen. In unserem Fall gehen wir von vier Faktoren aus: Komfort: ergibt sich aus Dauer einer Erkennung und dem nutzerseitigen Aufwand (Anwenderfreundlichkeit). Genauigkeit: bestimmt die Fehlerraten im praktischen Einsatz (Eindeutigkeit, Konstanz, Messbarkeit). Verfügbarkeit: beschreibt den Anteil einer potentiellen Nutzergruppe, der ein biometrisches Charakteristikum für technische Erkennungszwecke nutzen kann (Universalität, Messbarkeit). Kosten: werden im Wesentlichen durch das Datenerfassungsgerät bestimmt. Man beachte, dass es sich bei dieser Wertung zum Teil um durch heutige Realisierungen bedingte Einschätzungen handelt, die sich mit neuen Lösungen deutlich verschieben können.

grün = am besten    rot = am ungünstigsten

Wie man sieht, ist eine eindeutige Entscheidung zugunsten eines einzigen biometrischen Charakteristikums schwer möglich! Von den biometrischen Charakteristika mit hoher Genauigkeit weist Fingerprint heute die niedrigsten Kosten auf. Die Iris zeigt überall Spitzenwerte, leider auch bei den Kosten. Wenn es gelänge, die Kosten deutlich zu senken, wäre die Iris eindeutig der Spitzenreiter! DNA erhält bei der Genauigkeit einen Punktabzug, da dieses Charakteristikum derzeit keine Unterscheidung von eineiigen Zwillingen ermöglicht (das kann sich zukünftig mit einer Mutationsanalyse ändern).

Was versteht man unter Authentifizierung, Identifizierung und Verifizierung?

Hier definieren wir Authentifizierung als den Prozess oder Vorgang zur Bestimmung der Identität einer Person und Bestätigung ihrer Authentizität (Echtheit). Eine erfolgreiche Authentifizierung wird Authentifikation genannt. In Multiuser-Systemen setzt sich eine Authentifizierung in der Regel aus einer Identifizierung mit nachfolgender Verifizierung zusammen. Der Identifizierungsteil bestätigt, dass die Identität, die dem System überlicherweise als Identifikator wie z.B. einem Usernamen mitgeteilt wird, bekannt ist. Falls die Identifizierung erfolgreich war, spricht man von Identifikation. In einer nächsten Stufe wird die Identität mittels Verifikator verifiziert. Der Verifikator ist z.B. ein Geheimnis, das die zu authentifizierende Person mit dem authentifizierenden System teilt. War die Verifizierung erfolgreich, spricht man von Verifikation. Überlicherweise werden Identifikatoren als öffentlich und Verifikatoren als Geheimnisse betrachtet. Beispiele für Verifikatoren sind das Bartmuster eines Schlüssels oder ein Passwort. Im Zusammenspiel mit einer Authentifizierung ist die Autorisierung der Prozess, einer Person bestimmte Rechte und Erlaubnisse zuzuordnen.

Was ist eine biometrische Authentifizierung?

Es gibt zwei Möglichkeiten, biometrische Charakteristika vorteilhaft zur Authentifizierung zu nutzen, nämlich als Identifikator oder als Verifikator. Beim Einsatz von Biometrie als Identifikator ist die Einmaligkeit (sehr niedrige FAR) von wesentlicher Bedeutung, besonders wenn die Zahl der User sehr hoch ist. Kommt die Biometrie als Verifikator zum Einsatz, sind die biometrischen Charakteristika als geheim zu betrachten. Ist dies nicht sinnvoll, kann eine Fälschungserkennung zur Abwehr mechanischer Kopien des biometrischen Charakteristikums wichtig sein.

Welche grundlegenden Authentifizierungsarten gibt es?

Biometrie "Wer ich bin" Die Biometrie liefert von Natur aus das älteste Verfahren zur Erkennung von Menschen, und zwar durch unvergessbare und unverlierbare Körpercharakteristika. Nachdem der Mensch die Erkennung seit Urzeiten selber durchführen musste, ist die Technik heute so leistungsfähig, dass sie ihm diese Aufgabe abnehmen kann. Geheimes Wissen "Was ich weiß" Hier erfolgt die Authentifizierung durch geheime PINs und Passwörter, die sich der Berechtigte merken und mit dem Authentifizierenden als geheimes Wissen teilen muss. Dies war für die Authentifizierung gegenüber Automaten bislang die am einfachsten zu realisierende Methode. Anwendung findet geheimes Wissen vielfach auch dort, wo mehrere Personen auf einfache Weise authentifiziert werden sollen ohne unterschieden werden zu müssen. "Geheimes Wissen" lässt sich laut Biometriedefinition auch als Spezialfall der Biometrie auffassen, vorausgesetzt, beim Authentifizierenden handelt es sich um einen Menschen. Persönlicher Besitz "Was ich habe" Beispiele für Authentifizierung durch Besitz sind Schlüssel, Karte/Ausweis (mit und ohne Chip) oder allgemein ein Token, mit dem ich mir z. B. Zugang zu nichtöffentlichen Räumen verschaffe. Das Wesentliche für diese Methode ist der Austausch geheimer Merkmale nicht zwischen Person und Authentifizierer, sondern zwischen Token und Authentifizierer. (Theoretisch könnte man auf ein Geheimnis verzichten, wenn der Token nicht kopierbar ist und der Authentifizierer die Echtheit überprüfen kann.) Kombinationsverfahren Aus Sicherheitsgründen ist es oft üblich, zwei oder drei der genannten Verfahren zu kombinieren, z. B. Bankkarte mit PIN. Nur mit solchen "Mehrfaktorsystemen" lassen sich auch die Anforderungen an "starke Authentifizierung" erfüllen.

Welche Vorteile haben biometrische Verfahren zur Authentifizierung?

Die fortschreitende Automatisierung und die Entwicklung neuartiger technischer Systeme wie Internet und Handy haben dazu geführt, dass sich der Anwender nicht mehr gegenüber Menschen sondern gegenüber einer technischen Einrichtung authentifizieren muss. Zur persönlichen Verifizierung hat sich dabei das geheime Passwort bzw. die PIN durchgesetzt. Beispiele aus dem täglichen Leben sind der Geldautomat, das Handy oder der Internetzugang am heimischen PC. Damit ein Passwort nicht erraten werden kann, sollte es möglichst lang sein, möglichst in keinem Wörterbuch vorkommen und am besten noch Sonderzeichen wie +, -, § oder so enthalten. Außerdem sollte der Anwender das Geheimwort aus Sicherheitsgründen nicht aufschreiben, auf keinen Fall an Dritte weitergeben und spätestens alle drei Monate wechseln. Wenn man jetzt noch berücksichtigt, dass viele Anwender mit gut 30 Passwörtern umgehen müssen, von denen die meisten nur selten benutzt werden, ist klar, dass der Aufwand für vergessene Passwörter enorm ist und den Anwender geradezu zwingt, Abstriche bei der Sicherheit zu machen. Das Passwort ist eben sehr maschinen-, dafür aber wenig benutzerfreundlich. Was liegt also näher, als sich auf die Natur zurückzubesinnen. Der Mensch benutzt zur Erkennung seiner Mitmenschen charakteristische körperliche Merkmale wie Gesichtsform oder Klang der Stimme. Die Biometrie als Lehre von der Erfassung und Vermessung körperlicher Merkmale kennt inzwischen eine Vielzahl von weiteren Charakteristika, die sich ideal zur eindeutigen Erkennung sogar von Zwillingen heranziehen lassen. Beispiele sind Fingerprint, Iris und Blutgefäßstrukturen. Um mit der Erkennungsleistung des menschlichen Gehirns mithalten zu können (vorausgesetzt man beschränkt sich auf ein einziges biometrisches Erkennungverfahren), sind allerdings gut 100 Mio. Rechenoperationen pro Sekunde zu leisten. Da Standard-PCs diese hohe Rechenleistung heute spielend erreichen und andererseits geeignete Sensoren zur Aufnahme der menschlichen Körpermerkmale immer kostengünstiger werden, ist jetzt die Zeit gekommen, das Passwort flächendeckend durch eine benutzerfreundliche Alternative zu ergänzen: die Biometrie. Auf Basis der Benutzerfreundlichkeit bietet Biometrie als alternativer Authentifizierungsbestandteil die Chance zur deutlichen Kostenreduktion ohne Sicherheitseinbußen. Als Ergänzung zu herkömmlichen Verfahren bietet sich Biometrie sogar zum Einsatz in besonders gefährdeten Bereichen an. Da die Definition der Biometrie auch verhaltensmäßige Charakteristika einschließt, ist es durchaus erlaubt, das Passwort als Grenzfall eines biometrischen Charakteristikums zu betrachten. In diesem Fall relativieren sich die vorstehenden Antworten, zeigt dies doch die hohe Bandbreite der Eigenschaften biometrischer Charakteristika, die sich nicht nur zwischen körperlichen Charakteristika und Passwort, sondern allgemein auch zwischen allen biometrischen Charakteristika zeigt.

Welche Eigenschaften haben die unterschiedlichen Authentifizierungsarten?

*hängt auch von der Qualität einer Kopiendetektion innerhalb des Authentifizierers ab

Was ist der Unterschied zwischen Identifizierung und Verifizierung?

Bei einer biometrischen Identifizierung werden die biometrischen Erkennungsmerkmale mit mehreren oder allen im biometrischen System gespeicherten biometrischen Referenzen verglichen. Bei einer biometrischen Verifizierung werden die biometrischen Erkennungsmerkmale mit einer im biometrischen System gespeicherten biometrischen Referenz verglichen. Ist im System nur eine biometrischen Referenz gespeichert, verhält sich die biometrische Identifizierung wie eine biometrische Verifizierung. Beispiel: Einsatz im Handy, das nur von seinem Besitzer genutzt werden soll. Andernfalls lässt sich die biometrische Verifizierung als Grenzfall der biometrischen Identifizierung betrachten.

Welche Vorteile hat eine Verifizierung gegenüber einer Identifizierung?

Die biometrische Verifizierung ist wesentlich schneller als die biometrische Identifizierung, wenn die Zahl der biometrischen Referenzen sehr hoch ist. Die biometriche Verifizierung ist biometrisch deutlich performanter als die biometrische Identifizierung, insbesondere, wenn die Zahl der biometrischen Referenzen sehr hoch ist.

Was ist der Unterschied zwischen positiver und negativer Identifizierung?

Bei einer positiven Identifizierung ist der Nutzer an einer Identifikation interessiert, bei einer negativen Identifizierung versucht er sie zu vermeiden. Beispielsweise ist ein Dieb nicht daran interessiert, durch Vergleich von am Tatort hinterlassenen Latenzfingerabdrücken mit seinen Fingerabdrücken identifiziert zu werden. Dies wäre eine negative Identifizierung. Wenn ich hingegen berechtigt bin, mein Büro zu betreten, bin ich stark an einer Identifikation z.B. durch ein Iriserkennungssystem interessiert. Dies ist ein Beispiel für eine positive Identifizierung. Der Unterschied zwischen positiver und negativer Identifizierung wirkt sich vor allem hinsichtlich der Nutzerkooperation aus. Im negativen Fall kann man selbst dann nicht von einer kooperativen Haltung des zu Identifizierenden bei der Merkmalsaufnahme ausgehen, wenn er "unschuldig" ist. Deshalb ist eine negative Identifizierung oft unter Beobachtung durchzuführen. Sogar der Sensor kann von der Art der Identifizierung betroffen sein: Negative Fingerabdruckidentifizierung benötigt wenigstens für den Enrolmentprozess einen Sensor, der den vollen Fingerabdruck aller 10 Finger aufnehmen kann.

Welches sind die Hauptanwendungsgebiete für Identifizierung bzw. Verifizierung?

Kriminalistik Vergleich  von Tatortspuren mit hinterlegten oder nachträglich erfassten biometrischen Daten Beispiele: Fingerprint, DNS Sicherung Authentifizierung eines Users und daraus abgeleitete Berechtigungen Beispiel: Zutrittsberechtigung per Stimme und Ausweis Komfort Identifizierung einer Person und daraus abgeleitete persönliche Einstellungen Beispiel: Einstellung der Autositze, -spiegel usw. per Gesichtserkennung

Welche Organisationen kümmern sich um die Standardisierung biometrischer Systeme?

ISO/IEC JTC1 SC 37 (Welt) DIN NI-37 (Deutschland)

Welche biometrischen Normen gibt es derzeit?

Biometriespezifische Normen und ihr Status sind auf der iso.org-Seite zusammengestellt.

Gibt es genormte biometrische Fachbegriffe?

Ja. Innerhalb der Arbeitsgruppe 1 von ISO/IEC JTC 1/ SC37 wurde ein englischsprachiges Dokument namens "Harmonized Biometric Vocabulary" erarbeitet (ISO/IEC 2382-37). Eine HTML-Version dieses Vokabulars findet sich unter Informationsquellen. Für die Übersetzungen sind die nationalen Normungsgremien zuständig.

Womit werden die biometrischen Charakteristika erfasst?

Zur Erfassung und Umwandlung der biometrischen Charakteristika in computergerechte Informationen benötigt man geeignete Datenerfassungsgeräte bzw. Sensoren, siehe Tabelle. Sicherlich gibt es mehr oder weniger große Unterschiede in den Kosten der einzelnen Sensoren. Jedoch darf man nicht vergessen, dass in vielen technischen Geräten bereits Sensoren eingebaut sind, die sich dann fast zum Nulltarif für die Messung der biometrischen Charakteristika nutzen lassen.

Biometrisches Charakteristikum	Sensor
Fingerprint (Minuzien)	kapazitiv, optisch, thermisch, akustisch, drucksensitiv
Unterschrift (dynamisch)	Tablett
Gesichtsgeometrie	Kamera
Irismuster	Kamera
Retina	Kamera
Handgeometrie	Kamera
Fingergeometrie	Kamera
Venenstruktur der Hand	Kamera (infrarot)
Ohrform	Kamera
Stimme (Klang)	Mikrofon
DNA	Chemisches Labor
Geruch	Chemosensoren
Tastenanschlag	Tastatur
Vergleich: Passwort	Tastatur

Woraus besteht ein biometrisches Authentifizierungs-System?

Grundsätzlich besteht ein biometrisches Authentifizierungs-System aus einem Sensor zur Aufnahme des biometrischen Charakteristikums einer Recheneinheit zur Verarbeitung und evtl. zur Speicherung der biometrischen Daten und der Anwendung, für die der Betroffene die Berechtigung nachweisen bzw. sich authentifizieren lassen möchte Die Verarbeitungseinheit setzt sich im Detail zusammen aus (vgl. biometrische Erkennung) einem Merkmalsextrahierer, der aus den vom Sensor gelieferten Rohdaten (biometrisches Sample) die Einmaligkeitsdaten herausfiltert und in einem biometrischen Merkmalsdatensatz zusammenfasst, einem "Vergleicher", der die biometrischen Merkmale mit einem oder mehreren biometrischen Referenzen vergleicht und das Ergebnis als "Score"-Werte weitergibt, sowie einem Entscheider, der den oder die Scorewerte in Bezug zu einem Schwellwert setzt und daraus im Fall der Authentifizierung eine zweiwertige Entscheidung ableitet (berechtigt oder nicht berechtigt).

Welche Rechenleistung erfordert ein biometrisches System?

Die Rechenleistung ist prinzipiell für den Prozess der Mustererkennung [Wikipedia] erforderlich. Sie bewegt sich für alle biometrischen Charakteristika typischerweise im Bereich von 100 Mill. Operationen pro Sekunde und ist deshalb problemlos von moderner, kostengünstiger Hardware (PC, DSP [Wikipedia]) aufzubringen.

Wie funktionieren Enrolment und biometrische Authentifizierung?

Voraussetzung für eine Authentifizierung ist das so genannte Enrolment, bei dem die biometrischen Merkmale einer Person als Referenz entweder dezentral auf einer Chipkarte oder im PC oder zentral in einer Datenbank abgespeichert und bei Bedarf einem Namen zugeordnet wird. Da die Qualität des Enrolmentergebnisses ganz wesentlich über die Leistungsfähigkeit der Authentifizierung entscheidet, muss die Durchführung besonders sorgfältig erfolgen. Es versteht sich von selbst, dass das Enrolment in einer vertrauenswürdigen Umgebung stattfinden muss. Bei einer Authentifizierung erfolgt eine erneute Aufnahme des biometrischen Charakteristikums. Diesmal wird es nicht abgespeichert, sondern mit einer oder mehreren Referenzen verglichen. Ergibt der Vergleich eine ausreichende Ähnlichkeit, kann z.B. eine Freigabe der zugehörigen Anwendung erfolgen. Die meisten biometrischen Systeme führen im Detail folgende Arbeitsschritte durch: Aufnahme eines die zu extrahierenden biometrischen Merkmale enthaltenden Datensatzes (z.B. Bild oder Ton), genannt biometrisches Sample, mittels Datenerfassungseinheit incl. Sensor Überprüfung der Datenqualität; bei unzureichender Qualität sofortige Abweisung oder Ausgabe geeigneter Nutzerhinweise zur Verbesserung der Datenaufnahme Extraktion der biometrischen Merkmale aus dem Datensatz und Bildung eines biometrischen Merkmalsdatensatzes Beim Enrolment: Speicherung der biometrischen Merkmale als "Referenz" im "Referenzarchiv" Bei der Authentifizierung: Vergleich des aktuellen biometrischen Merkmals mit der Referenz und Bildung eines Wertes zur Angabe der Übereinstimmung ("Score") Bei der Authentifizierung: Überschreitet der Scorewert eine voreingestellte Schwelle, erfolgt Authentifikation, andernfalls wird die Anfrage abgelehnt

Welche Vorteile bietet der kombinierte Einsatz von Chipkarten und Biometrie?

In der Biometrie bietet sich der Einsatz von Chipkarten an, um durch Kombination mit "Besitz" die Wahrscheinlichkeit von Falsch-Authentifikationen weiter zu reduzieren. Dazu werden in der Chipkarte nicht nur die biometrischen Referenzen abgespeichert, sondern auch die Identitätsdaten des Anwenders. Zur Authentifizierung ist die Karte dann zwingend zusammen mit der Erfassung des biometrischen Charakteristikums erforderlich. Es ergeben sich folgende Vorteile: Keine Eingabe der Anwender-ID über Tastatur erforderlich Keine zentrale Referenzdatenbank erforderlich Kompromittierung der biometrischen Charakteristika ohne Besitz der Karte unkritisch Bei Anwendung einer Chipkarte mit integriertem Kryptoprozessor und Vergleicher sind Systeme konzipierbar, die eine Kompromittierbarkeit durch Auslesen und Entschlüsseln der biometrischen Daten fast vollständig ausschließen. Bei Kartendiebstahl kann Kartensperrung und Ausstellung einer neuen Karte veranlasst werden. Dazu ist lediglich ein auf der (Krypto-) Karte nicht auslesbar abgespeicherter geheimer Schlüssel zu wechseln. Ein noch höherer Schutz gegen Falschauthentifikation als durch Einsatz einer Kryptokarte lässt sich durch Integration des biometrischen Sensors in die Karte erzielen. Dies ermöglicht einen wirksameren Schutz gegen das Einspielen von kompromittierten Datensätzen, wenn der Sensor kartenextern nicht "abhörbar" ist und die einzige Schnittstelle für die Eingabe biometrischer Daten darstellt. Allerdings liefern heutige Chipkarten noch nicht die hohe Rechenleistung, die für die dann auf der Karte erforderliche Merkmalsextraktion benötigt wird.

Was versteht man unter Template-on-Card?

Bei "Template on Card" ist die biometrische Referenz als biometrisches Template elektronisch in einer Chipkarte gespeichert. Hier gibt es verschiedene Möglichkeiten: Die Chipkarte ist eine reine Speicherkarte, die Speicherung erfolgt unverschlüsselt wie 1, jedoch mit verschlüsselter Speicherung Die Chipkarte ist eine Prozessorkarte (und bietet geheime Speicherungsmöglichkeiten) Die Chipkarte ist eine Prozessorkarte mit Kryptofunktion Die genannten Möglichkeiten erfüllen in aufsteigender Reihenfolge steigende Sicherheitsanforderungen. In allen Fällen ist zu beachten, dass die Kommunikationspartner der Chipkarte die Sicherheit des Gesamtsystems mitbestimmen.

Wie kann ein PC-Netzzugangsschutz mit "Template on Card" aussehen?

Wir betrachten folgende Implementierungsmöglichkeiten: Die Chipkarte ist eine reine Speicherkarte, die Speicherung erfolgt unverschlüsselt Über einen biometrischen Sensor erfolgt im Rahmen des Enrolments zunächst die Merkmalsextraktion innerhalb des PCs mit anschließender Abspeicherung der extrahierten Referenz auf der Chipkarte. Zum Zwecke der Authentifizierung steckt der Zugangssuchende seine Chipkarte in den Chipkartenleser und lässt sein biometrisches Charakteristikum erneut erfassen. Das erfasste Charakteristikum wird nach Extraktion im PC mit der von der Chipkarte ausgelesenen biometrischen Referenz im PC verglichen. Ergibt der Vergleich ausreichende Übereinstimmung, erfolgt die volle Freigabe zum Netzzugang, indem der PC das auf dem PC verschlüsselt abgespeicherte Passwort dem Server entschlüsselt zuschickt. Die Chipkarte ist eine reine Speicherkarte, die Speicherung erfolgt verschlüsselt Siehe oben. Zusätzlich erfolgt jedoch eine Entschlüsselung der Referenz von der Karte auf dem PC oder besser auf dem Server mit einem dort geschützt abgelegten Schlüssel. Alternativ sollte der Vergleichsvorgang ebenfalls auf dem Server erfolgen.  Dazu werden die aktuell erfassten extrahierten biometrischen Merkmale gesichert vom PC zum Server übertragen. Die Chipkarte ist eine Prozessorkarte mit Kryptofunktion Der Kommunikationspartner der Kryptokarte sind der PC, der biometrische Sensor und ein geschützter Server. Bei einem Anmeldeversuch bauen Kryptokarte und Server eine gesicherte Verbindung auf. Der Server holt sich den Referenzdatensatz von der Kryptokarte. Parallel extrahiert der PC die biometrischen Merkmale des vom Sensor kommenden biometrischen Samples und sendet sie (eventuell über Einmalschlüssel abgesichert) zum Server, wo sie mit den biometrischen Referenzen von der Karte verglichen werden. Ist der Vergleich positiv, erfolgt die PC-Freigabe auf die Netz-Laufwerke.

Was versteht man unter Matcher-on-Card?

Bei Chipkarten mit integriertem Matcher erfolgt nicht nur die Speicherung, sondern auch der Vergleich der biometrischen Referenz mit den Anfragemerkmalsdaten auf der Karte. Die Karte benötigt deshalb einen integrierten Prozessor ("Smartcard").

Welche Eigenschaften bietet Matcher-on-Card?

Vorteile gegenüber allen anderen Lösungen Anwendungen, die bisher mit PIN-Authentifizierung auf einer Smartcard gearbeitet haben, lassen sich ohne Umstellung der Infrastruktur auf Biometrie erweitern. Beispiel: SIM-Karte beim GSM-Mobiltelefon. Selbst bei Verlust des Mobiltelefons und/oder der SIM-Karte ist kein unberechtigter Zugang zum Netz zu befürchten. Da das Template die Karte nicht verlassen muss, ist ein besserer Datenschutz gewährleistet - aber nur dann, wenn der Nutzer auch die Datenaufnahme unter seiner vollständigen Kontrolle hat (Beispiel: Handy mit perfektem Schadsoftwareschutz). Nachteile Auf der Smartcard steht nur eine sehr begrenzte Rechen- und Speicherleistung zur Verfügung. Dies bedingt Abstriche bei der biometrischen Performanz der Verifizierung.

Welche Messgrößen bestimmen die Leistungsfähigkeit eines biometrischen Authentifizierungs-Systems?

Falschakzeptanzrate (FAR) Die FAR ist die Häufigkeit, mit der nichtberechtigte Personen als berechtigt akzeptiert werden. Da eine falsche Akzeptanz in der Regel zu Schäden führt, ist die FAR ein sicherheitsrelevantes Maß. FAR ist eine nichtstationäre statistische Größe, die eine starke individuelle Abhängigkeit aufweist. Sie lässt sich für jedes einzelne biometrische Charakteristikum separat bestimmen und wird in diesem Fall "persönliche FAR" genannt. Falschrückweisungsrate (FRR) Die FRR ist die Häufigkeit, mit der berechtigte Personen unberechtigterweise zurückgewiesen werden. Die FRR ist in der Regel ein Komfortmerkmal, da falsche Abweisungen vor allem lästig sind. FRR ist eine nichtstationäre statistische Größe, die eine starke individuelle Abhängigkeit aufweist. Sie lässt sich für jedes einzelne Charakteristikum separat bestimmen und wird in diesem Fall "persönliche FRR" genannt. Nutzerausfallrate (FTE = Failure To Enrol, auch FER) Die Nutzerausfallrate ist der Anteil an Personen, die (auch temporär) nicht enrolt werden können. FER ist eine nichtstationäre statistische Größe, die eine starke individuelle Abhängigkeit aufweist. Sie lässt sich für jedes einzelne biometrische Charakteristikum separat bestimmen und wird in diesem Fall "persönliche FER" genannt. Werden bereits enrolte Personen auch nach mehreren Verifizierungsversuchen fälschlicherweise zurückgewiesen, spricht man von Failure To Acquire (FTA). FTA kann durch temporär nicht messbare biometrische Charakteristika verursacht sein ("Verband", unzureichende Sensorbildqualität etc.). FTA-Raten tragen zur FRR bei und müssen nicht gesondert aufgeführt werden, siehe FNMR und FMR. Falschidentifikationsrate (FIR) Die Falschidentifikationsrate ist die Häufigkeit, mit der im Fall einer Identifizierung eine falsche Zuordnung des biometrischen Merkmals zu einer Referenz erfolgt. Die genaue Definition hängt von der Zuordnungsstrategie ab, da bei einer Identifizierung nach dem Merkmalsvergleich oft mehrere Referenzmerkmale zur Endauswahl stehen. Weitere implizite Messgrößen False Match Rate (FMR). Die FMR gibt den Anteil der beim Merkmalsvergleich fälschlicherweise erkannten Personen an. Vorher auf Grund schlechter (Bild-)qualität abgewiesene Versuche (Failure to Acquire, FTA) werden im Gegensatz zur FAR nicht berücksichtigt. Man beachte, dass es von der Anwendung abhängt, ob ein falsch erkanntes biometrisches Charakteristikum zur Erhöhung der FAR oder der FRR beiträgt. (Es gibt Anwendungen, die eine erfolgreiche Erkennung als Rückweisung definieren, wenn z.B. die Doppelausstellung eines Ausweises für eine Person mit falscher Identität durch Vergleich der aktuellen Referenzmerkmale mit den zentral gespeicherten aller bisher ausgestellten Ausweise verhindert wird.) False Non-Match Rate (FNMR). Die FNMR gibt den Anteil der beim Merkmalsvergleich fälschlicherweise nicht erkannten Personen an. Vorher auf Grund schlechter (Bild-)qualität abgewiesene Versuche (Failure to Acquire, FTA) werden im Gegensatz zur FRR nicht berücksichtigt. Von der Anwendung hängt es wiederum ab, ob ein falsch nicht erkanntes biometrisches Charakteristikum zur Erhöhung der FRR oder der FAR beiträgt.

Wie ist die Nutzerausfallrate (FER/FTE) im Detail definiert?

Auf Grund der statistischen Natur der Nutzerausfallrate ist zur Sicherstellung brauchbarer Ergebnisse eine große Zahl von Enrolmentversuchen durchzuführen. Ein Enrolment kann erfolgreich oder nicht erfolgreich sein. Die Wahrscheinlichkeit für einen Misserfolg FER(n) für eine bestimmte Person (oder ein bestimmtes Feature) n ist gegeben durch:  FER(n) =  Zahl der misslungenen Enrolmentversuche für eine Person (oder Merkmal) n  Gesamtzahl der Enrolmentversuche für eine Person (oder Merkmal) n Die Genauigkeit steigt dabei mit zunehmender Zahl unabhängiger Versuche pro Person/Merkmal n. Die globale FER für N Versuchsteilnehmer ist definiert als der Mittelwert über alle FER(n):  FER =  1 N N n=1  FER(n) Die Genauigkeit steigt wiederum mit der Zahl der Versuchsteilnehmer (N). Alternativ lässt sich auch der Medianwert angeben. Schließlich ist noch das Ergebnis eines Enrolmentversuchs genau zu definieren: Ein Enrolmentversuch ist erfolgreich, wenn das Benutzerinterface der Anwendung eine "Erfolgreich"- oder "Beendigungs"-Meldung herausgibt. Ein Enrolmentversuch gilt als fehlgeschlagen, wenn das Benutzerinterface eine "Misserfolgs"-Meldung ausgibt. In Fällen, in denen kein definierter Abschluss erfolgt, ist zur Sicherstellung der Vergleichbarkeit ein festes Enrolmentzeitintervall anzusetzen, nach dessen Ablauf von einem Misserfolg auszugehen ist.

Was ist bei der Definition der FRR zu beachten?

Obwohl die Falschrückweisungsrate FRR intuitiv einfach zu verstehen ist, kann eine eindeutige oder zumindest universelle Definition große Schwierigkeiten bereiten. Folgende Dinge sind zu berücksichtigen: Die FRR ist eine statistische Größe, deren Bestimmungsgenauigkeit von der Zahl der Messungen abhängt. Sie ist nicht nur vom biometrischen System, sondern auch vom Nutzer abhängig. Es gibt also eine persönliche FRR. Will man über eine große Zahl von Personen mitteln, ist zu beachten, dass das Endergebnis nicht durch einzelne Personen verfälscht wird. Dies könnte dadurch geschehen, dass die Zahl der Versuche nicht für alle Personen gleich ist. Man umgeht das Problem, indem man zunächst die persönlichen FRRs bestimmt und dann über diese mittelt (oder den Medianwert bestimmt, was aber andere Werte liefert!). Es ist genau zu klären, was man unter Zurückweisung verstehen will. Hier spielt z. B. die Zahl der Erkennungsversuche bis zur endgültigen Feststellung einer fehlgeschlagenen Erkennung eine Rolle. Es gibt Systeme, die eine Verifizierung in Echtzeit kontinuierlich durchführen können. Hier bietet sich an, ein Verifizierungszeitfenster festzulegen. Viele biometrischen Systeme lehnen eine Verifikation auf Grund schlechter Bildqualität ab (Beispiele: verschmutzte oder glattgeschliffene Finger bei der Fingerprintverifizierung, starke Umgebungsgeräusche bei der Stimmerkennung oder ungünstige Beleuchtung bei der Gesichtserkennung, Sensorprobleme). Soweit sich solche Probleme nicht auf Fehlbedienung zurückführen lassen, sind auch Bildqualitätsabweisungen falsche Rückweisungen, denn dem Anwender ist es gleich, warum er nicht erkannt wurde. Selbst die persönliche FRR kann mit der Zeit variieren. Sie sinkt z. B. im Laufe der Zeit, wenn der Anwender das System häufig nutzt und dadurch lernt, falsche Rückweisungen zu vermeiden. In solchen Fällen ist es höchstens für Vergleiche sinnvoll, die FRR während der Lernphase zu ermitteln. Falls eine Lebend-/ Fälschungserkennung zum Einsatz kommt, ist diese bei der Bestimmung der FRR zu berücksichtigen!

Wie ist die FRR im Detail definiert?

Auf Grund der statistischen Natur der Falschrückweisungsrate ist zur Sicherstellung brauchbarer Ergebnisse eine große Zahl von Verifizierungen durchzuführen. Eine Verifizierung kann erfolgreich oder nicht erfolgreich sein. Bei der Bestimmung der FRR werden nur erfolgreich enrolte Nutzer berücksichtigt. Die Wahrscheinlichkeit für einen Misserfolg FRR(n) für eine bestimmte Person (oder ein bestimmtes Feature) n ist gegeben durch:  FRR(n) =  Zahl der zurückgewiesenen Verifizierungsversuche für eine berechtigte Person (oder Merkmal) n Zahl aller Verifizierungsversuche einer berechtigten Person (oder Merkmal) n Die Genauigkeit steigt dabei mit zunehmender Zahl unabhängiger Versuche pro Person/Merkmal n. Die globale FRR für N Versuchsteilnehmer ist definiert als der Mittelwert über alle FRR(n):  FRR =  1 N N n=1  FRR(n) Die Genauigkeit steigt wiederum mit der Zahl der Versuchsteilnehmer (N). Alternativ lässt sich auch der Medianwert angeben. Wichtig: Die auf diese Weise bestimmte FRR beinhaltet sowohl schlechte Bildqualität vom Sensor als auch andere Ablehnunggründe wie Merkmalspositionierung, -verdrehung. In vielen Systemen sind Ablehnungen auf Grund mangelhafter Qualität unabhängig vom Schwellwert. Die FRR nach der Qualitätsauslese (das heißt, ohne Berücksichtigung der Qualitätsablehnungen!) ließe sich auch definieren als Zahl der zurückgewiesenen  "qualifizierten" Versuche  Gesamtzahl der "qualifizierten" Versuche Eine derartig definierte FRR liefert zwar im Allgemeinen bessere Datenblattwerte, aber diese Zahlen spiegeln nicht die Wirklichkeit aus Sicht des Anwenders wider, dem es egal ist, ob er wegen unzureichender Merkmalsqualität oder wegen einer falschen Vergleichs-Entscheidung abgelehnt wird. Schließlich ist noch das Ergebnis eines Verifizierungsversuchs genau zu definieren: Ein Verifizierungsversuch ist erfolgreich, wenn das Benutzerinterface der Anwendung eine "Erfolgreich"-Meldung herausgibt oder aber der gewünschte Zutritt/Zugriff gewährt wird. Ein Verifizierungsversuch zählt als abgelehnt, wenn das Benutzerinterface eine "Ablehnungs"-Meldung ausgibt. In Fällen, in denen keine Reaktion erfolgt, ist zur Sicherstellung der Vergleichbarkeit ein festes Verifizierungszeitintervall anzusetzen, nach dessen Ablauf von einer Ablehnung auszugehen ist.

Was ist bei der Definition der FAR zu beachten?

Ähnlich wie die FRR, kann auch die Falschakzeptanzrate unterschiedlich festgelegt sein: Die FAR ist eine statistische Größe, deren Bestimmungsgenauigkeit von der Zahl der Messungen abhängt. Sie ist nicht nur vom biometrischen System, sondern auch vom Nutzer abhängig. Es gibt also eine persönliche FAR. Will man über eine große Zahl von Personen mitteln, ist zu beachten, dass das Endergebnis nicht durch einzelne Personen verfälscht wird. Dies könnte dadurch geschehen, dass die Zahl der Versuche nicht für alle Personen gleich ist. Man umgeht das Problem, indem man zunächst die persönlichen FARs bestimmt und dann über diese mittelt (oder den Medianwert bestimmt, was aber andere Werte liefert!). Bei der FAR-Bestimmung ist es in der Regel einfacher, die Zahl der Erkennungsversuche auf eins zu beschränken, da weitere Versuche pro Person zwar die ROC-Kurven glätten, aber wenig zur statistischen Signifikanz beitragen. Hat das biometrische System ein Bildqualitätsmanagement, das einen fremden Nutzer bei schlechter Bildqualität bereits vor einem biometrischen Vergleich abweist (Beispiele siehe hier), so ist dies natürlich ebenfalls eine berechtigte Ablehnung, die zur Verbesserung der FAR beiträgt. Stark konditionierte biometrische Charakteristika (Stimme, Unterschrift) laden zur bewussten Fälschung durch Nachahmung ein. Bei der Bestimmung der FAR ist festzulegen, ob der Test einfach nur gegen fremde biometrische Charakteristika erfolgt oder aber gegen bewusste Fälschungen. Die Unterschiede können gravierend sein.

Wie ist die FAR im Detail definiert?

Auf Grund der statistischen Natur der Falschakzeptanzrate ist zur Sicherstellung brauchbarer Ergebnisse eine große Zahl von "Angriffen" durchzuführen. Eine Angriff kann erfolgreich oder nicht erfolgreich sein. Die Wahrscheinlichkeit für einen Erfolg (FAR(n)) für einen Angriff gegen eine bestimmte enrolte Person n (oder ein bestimmtes Charakteristikum n) ist gegeben durch:  FAR(n) =  Zahl der erfolgreichen unabhängigen Angriffe gegen eine Person (oder Charakteristikum) n  Gesamtzahl der unabhängigen Angriffe gegen eine Person (oder Charakteristikum) n Die Genauigkeit steigt dabei mit zunehmender Zahl unabhängiger Angriffe pro Person/Charakteristikum n. Unabhängigkeit bedeutet in diesem Zusammenhang, dass die Angriffe mit unterschiedlichen Personen bzw. Charakteristika durchzuführen sind! Die globale FAR für N enrolte Versuchsteilnehmer ist definiert als der Mittelwert über alle FAR(n):  FAR =  1 N N n=1  FAR(n) Die Genauigkeit steigt wiederum mit der Zahl der Versuchsteilnehmer (N). Alternativ lässt sich auch der Medianwert angeben. Ob eine korrekte Ablehnung auf Grund schlechter Merkmalsqualität oder wegen der Nichtberechtigung des Angreifers erfolgte, bleibt nach dieser Definition (wie auch im wirklichen Leben) ohne Belang. Die entscheidende Zahl zur Abschätzung der statistischen Signifikanz ist die Zahl der unabhängigen Versuche. Offensichtlich sind 2 Versuche, bei denen wechselweise eine Person die Referenz und die andere Person die Anfrage stellt, nicht unabhängig voneinander. Diese doppelten Versuche sind von der Anzahl aller Anfragen nichtberechtigter Personen abzuziehen. Ebenso gelten Mehrfach-Versuche einer nichtberechtigten Person bzw. mit dem selben Charakteristikum als abhängig und sind deshalb für die statistische Signifikanz ohne Bedeutung. Schließlich noch folgendes zu klären bzw. zu definieren: Was ist ein Angriff? Wie ist das Ergebnis eines Angriffs genau definiert? Üblicherweise wird bei der FAR-Bestimmung unter Angriff nur die Benutzung der biometrischen Charakteristika nicht berechtigter Personen verstanden. Dies kann jedoch eine falsche Sicherheit vorspiegeln, denn die Liste weiterer Angriffsmöglichkeiten ist lang. Ein Angriffsversuch ist erfolgreich, wenn das Benutzerinterface der Anwendung eine "Erfolgreich"-Meldung herausgibt oder aber der gewünschte Zutritt/Zugriff gewährt wird. Ein Angriffsversuch gilt als abgelehnt, wenn das Benutzerinterface der Anwendung eine "Ablehnungs"-Meldung ausgibt. In Fällen, in denen keine Reaktion erfolgt, ist zur Sicherstellung der Vergleichbarkeit ein festes Verifizierungszeitintervall anzusetzen, nach dessen Ablauf von einer Ablehnung auszugehen ist.

Wie misst man die Wahrscheinlichkeits-Dichtefunktion eines biometrischen Systems für berechtigte und nichtberechtigte Personen?

Um die Performanz eines biometrischen Verifizierungssystems zu ermitteln, untersucht man die Reaktion des Systems auf eine große Zahl von Anfragen mit den biometrischen Charakteristika sowohl des Berechtigten als auch einer Vielzahl von Nichtberechtigten. Auf Grund natürlicher Schwankungen und messtechnischer Unvollkommenheiten ist das Ergebnis einer solchen Anfrage nie mit absoluter Sicherheit, sondern nur mit begrenzter Genauigkeit vorhersagbar. Um an die Wahrscheinlichkeits-Dichtefunktion der beiden Fehlerarten "Falschakzeptanz" und "Falschrückweisung" zu kommen, nutzt man nicht das Ergebnis der Ja/Nein-Entscheidung "berechtigt - nichtberechtigt" sondern ein dieser Entscheidung zu Grunde liegendes Maß der Ähnlichkeit einer Anfrage mit dem abgespeicherten Referenzmerkmal. In je einer Messreihe sammelt man die Ähnlichkeitswerte für den Berechtigten und die Nichtberechtigten. Sodann wird für jeden Ähnlichkeitswert die Häufigkeit des Auftretens gezählt. Die sich daraus ergebenden beiden Histogramme sind, normiert mit der Gesamtzahl der Anfragen, Annäherungen an die gesuchten Wahrscheinlichkeits-Dichtefunktionen. Sie stellen eine messtechnische Abschätzung der Wahrscheinlichkeit des Auftretens eines bestimmten Ähnlichkeitswerts (n) für den Berechtigten (pB(n)) und die Nichtberechtigten (pN(n)) dar: pB(n) ~  Anzahl der Messungen mit dem Ähnlichkeitswert n für den Berechtigten Gesamtzahl der Messungen für den Berechtigten pN(n) ~  Anzahl der Messungen mit dem Ähnlichkeitswert n für die Nichtberechtigten Gesamtzahl der Messungen für die Nichtberechtigten Je höher die Gesamtzahl der Messungen, desto genauer ist die Abschätzung. (Siehe "Statistische Signifikanz". Eine mathematische Bestimmung der Wahrscheinlichkeiten als Verhältnis der relevanten Möglichkeiten zur Gesamtzahl der Möglichkeiten scheitert in der Biometrie daran, dass es (anders als beim Würfel) einfach zu viele Möglichkeiten gibt, um diese alle erfassen zu können.) Im praktisch leider nicht erreichbaren Idealfall zeigen beide Verteilungskurven keine Überlappung. Das bedeutet, Anfragen Nichtberechtigter erzielen sehr kleine Ähnlichkeitswerte, Anfragen Berechtigter ausschließlich hohe Ähnlichkeitswerte. Damit ließe sich bequem ein Entscheidungsschwellwert definieren, so dass Berechtigte eindeutig von Nichtberechtigten unterscheidbar wären. In der Praxis gibt es jedoch immer eine Überlappung, man muss nur die Zahl der Anfragen groß genug machen. Hier ein typisches Diagramm:

Wie lässt sich das FAR/FRR-Kurvenpaar eines biometrischen Systems bestimmen?

Die Fehlerkurven FAR und FRR sind als die Wahrscheinlichkeiten definiert, dass ein Nichtberechtigter als berechtigt bzw. ein Berechtigter als nichtberechtigt angesehen wird, und zwar in Abhängigkeit einer einstellbaren Entscheidungsschwelle für die Ähnlichkeit der biometrischen Merkmale mit dem gespeicherten Referenztemplate. Die folgenden Ableitungen gelten für die Annahme, dass die Ähnlichkeit ganzzahlige Werte zwischen 0 und K annehmen kann, und dass der Einfachheit halber die Wahrscheinlichkeit für das Auftreten des Werts K gleich 0 ist. Das macht auch in der Praxis Sinn, wenn wir zunächst die FMR und die FNMR betrachten und später zur Gewinnung von FAR und FRR die schwellenunabhängigen Abweisungen auf Grund unzureichender Bildqualität hinzunehmen. Weiterhin gehen wir davon aus, dass für "Berechtigung" die Übereinstimmung zweier biometrischer Merkmalsdatensätze und für Nichtberechtigung die Nichtübereinstimmung zu fordern ist. Ist ganz allgemein eine Wahrscheinlichkeits-Dichtefunktion p für diskrete Ähnlichkeitswerte n gegeben, so ist die Wahrscheinlichkeit PM(th) dafür, dass die biometrischen Merkmale mit ihrem Ähnlichkeitswert n einen Schwellwert th unterschreitet ("Fehltreffer", der Index M bedeutet "miss"), gegeben durch  PM(0) := 0      PM(th)  = th-1 n=0 p(n) th = 1, 2, 3, ..., K  Diese Formel ist nichts weiter als die Anwendung des Additionssatzes der Wahrscheinlichkeit, demzufolge PM(th) die Summe der Wahrscheinlichkeiten p(n) aller Ereignisse n ist, die die Bedingung th < n erfüllen. Da die Summe aus Treffern und Fehltreffern gleich der Zahl der Gesamtereignisse sein muss, gilt für die Wahrscheinlichkeit PH(th), dass die biometrischen Merkmale mit ihrem Ähnlichkeitswert den Schwellwert th erreicht oder überschreitet ("Treffer", der Index H bedeutet "hit"):  PH(th) = 1- PM(th) =  K n=th p(n)  (th = 0, 1, 2, ..., K) Die False Match Rate FMR(th) approximiert die Wahrscheinlichkeit, dass der Ähnlichkeitswert zweier nichtidentischer biometrischer Merkmale die Schwelle th erreicht oder überschreitet. Deshalb gilt  FMR(th) ~ PH(th) = 1 - th-1 n=0  pN(n) (th = 1, 2, 3, ..., K) Für die False Non-Match Rate FNMR(th) gilt dann analog  FNMR(th) ~ PM(th) = th-1 n=0  pB(n) (th = 1, 2, 3, ..., K) wobei pN die Wahrscheinlichkeits-Dichtefunktion für die Nichtberechtigten und pB die für den Berechtigten darstellt. Die Näherung "~" ist ein Hinweis darauf, dass nur der Erwartungswert der gemessenen Fehlerraten FMR und FNMR mit den Wahrscheinlichkeiten PH bzw. PM identisch ist. Für die Randwerte gilt sogar exakt: FMR(0) = 1   FMR(K) = 0       FNMR(0) = 0   FNMR(K) = 1 Zur Berechnung der FAR und FRR ist die schwellenunabhängige Qualitätsrückweisungsrate QRR (je nach Definition gleich der FTA Rate) einzubeziehen. Es gilt dann für den Fall, dass eine fälschliche Akzeptanz einem fehlerhaften Merkmalsvergleich zugeordnet wird: FAR(th) = (1 - QRR) FMR(th)   FRR(th) = QRR + (1 - QRR) FNMR(th) Für die Randwerte bekommen wir entsprechend: FAR(0) = 1 - QRR FAR(K) = 0     FRR(0) = QRR   FRR(K) = 1 Legt man also einen Ähnlichkeitswert th als Schwelle für die Unterscheidung zwischen Berechtigten und Nichtberechtigten fest, so ergibt sich die experimentelle Abschätzung der Falschakzeptanzrate FAR(th) als Anzahl der oberhalb dieser Schwelle liegenden Ähnlichkeitswerte des Nichtberechtigten im Verhältnis zur Gesamtzahl der Versuche/Ähnlichkeitswerte. Umgekehrt setzt sich die Falschrückweisungsrate FRR(th) aus der unterhalb und auf der Schwelle liegenden Anzahl der Ähnlichkeitswerte des Berechtigten im Verhältnis zu dessen Gesamtzahl zusammen. Somit ergeben sich durch Integration (in der Praxis sukzessive Summation) der Wahrscheinlichkeitsdichtekurven die FAR- und FRR-Kurven in Abhängigkeit einer als einstellbar angenommenen Schwelle th. Hier ein typisches Ergebnis in linearer und logarithmischer Darstellung:

Wie ermittelt man die "Receiver Operating Characteristic" (ROC) eines biometrischen Systems?

Das FAR/FRR-Kurvenpaar ist zwar hervorragend geeignet, einen optimalen Schwellwert für das biometrische System festzulegen. Weitere Aussagen über die Leistungsfähigkeit des Gesamtsystems sind jedoch nur beschränkt möglich. Der Grund dafür ist zum Teil die Interpretation des Schwellwerts bzw. des Ähnlichkeitsmaßes. Die Definition des Ähnlichkeitsmaßes ist eine Sache der Realisierung. So sind fast beliebige Skalierungen und Transformationen möglich, die zwar das Aussehen der FAR/FRR-Kurven beeinflussen, nicht aber die Wertepaare FAR-FRR zueinander. Gängiges Beispiel ist die Benutzung eines "Abstandmaßes" zwischen Referenzmerkmal und Anfragemerkmal. Je größer die Ähnlichkeit, desto kleiner der Abstand. Man erhält also eine Spiegelung der FAR/FRR-Kurven. Ein beliebtes Spiel ist es, den Arbeitsbereich der FAR/FRR-Kurven im Bereich der EER (Equal Error Rate: FAR(th) = FRR(th)) etwas zu dehnen, hier also mehr Schwellwerte zu spendieren, um das Verfahren weniger empfindlich gegen Schwellwertänderungen erscheinen zu lassen. Um echte Vergleichbarkeit verschiedener Systeme zu erzielen, ist deshalb eine Darstellung erforderlich, die von Schwellwertskalierungen unabhängig ist. Eine solche Darstellung ist die aus der Radartechnik bekannte Receiver Operating Characteristic (ROC), die nichts weiter als die FRR-Werte gegen die FAR-Werte aufträgt und somit den Schwellenparameter eliminiert. Die ROC kann wie die FRR nur Werte zwischen 0 und 1 annehmen und ist auf den Bereich 0 bis 1 auf der x-Achse (FAR) beschränkt. Sie zeichnet sich durch folgende Eigenschaften aus: Die ideale ROC nimmt nur Werte auf der X (FAR)- und Y (FRR)-Achse an, d.h., wenn die FRR ungleich null ist, ist FAR null und umgekehrt. Der obere Punkt (lineare Darstellung, unter Verwendung der hier gemachten Definitionen) ist für alle Systeme durch FAR=0 und FRR=1 gegeben. Die ROC kann nicht ansteigen. Da sich die ROC-Kurve bei guten Systemen sehr dicht an den Koordinatenachsen bewegt, ist es sinnvoll für eine oder beide Achsen einen logarithmischen Maßstab zu wählen: Anmerkung 1: Anstelle von "ROC" wird auch der Begriff "DET" (Detection Error Tradeoff) benutzt. In diesen Fällen ist der Begriff "ROC" für die komplementäre Darstellung 1 - FRR gegen FAR reserviert. Anmerkung 2: Häufig werden für ROC und DET anstelle der Systemfehlerraten FRR und FAR die Vergleichsfehlerraten FNMR und FMR herangezogen. Dies hat einige mathematische Vorteile, repräsentiert die Praxis aber nur dann vollständig, wenn FTE und FTA tatsächlich 0 sein sollten, so dass FRR = FNMR und FAR = FMR. Somit eignen sich ROCs und DETs auf der Basis von FNMR/FMR nur unter dieser (Ausnahme-) Bedingung als Vergleichmaßstab für Gesamtsysteme! Man beachte weiterhin, dass EER-Werte ebenfalls davon abhängen, ob sie auf der Basis FNMR/FMR oder FRR/FAR definiert sind. Ein Vergleich der EERs unterschiedlicher Systeme ist also nur dann sinnvoll, wenn die Definitionen übereinstimmen.

Wie ändert sich die FAR beim Übergang von Verifizierung zu Identifizierung?

Während bei der Verifizierung nur der Vergleich des biometrischen Merkmals mit einer Referenz erfolgt, sind es bei der Identifizierung N (N>0) unterschiedliche Referenzen. Dies hat auf jeden Fall eine Erhöhung der FAR zur Folge, und zwar im Idealfall wie folgt: FARN = 1 - (1 - FAR1)N Hier ist FARN die Falschakzeptanzrate für N unterschiedliche Referenzen. Die Formel gilt nur, wenn die korrekte Zuordnung der Identität keine Rolle spielt, wie dies z. B. bei der einfachen Zugangskontrolle der Fall ist. Für N·FAR1 deutlich kleiner als 1, gilt näherungsweise FARN ~ N·FAR1 Beispiel: Die Datenbank enthält 100 000 unterschiedliche Referenzen. Im Fall einer Identifizierung würde eine FAR von 10-7 auf ca. 10-2 ansteigen! Für Anwendungen, die auf einer korrekten Zuordnung der Identitätsdaten bestehen (Beispiel Banktransaktionen), gelten andere Formeln, die unter Bestimmung der FIR dargestellt sind.

Wie ändert sich die FRR beim Übergang von Verifizierung zu Identifizierung?

Bei einer Identifizierung erfolgt ein Vergleich zwischen dem biometrischen Merkmal und allen Referenzen. Im Vergleich zur Verifizierung wird auf diese Weise mehr als ein Ähnlichkeitswert erzeugt. Dies macht aber die Entscheidung komplexer, ob ein Merkmal zu akzeptieren ist oder nicht. Insbesondere gibt es mehrere Möglichkeiten, eine Entscheidung durchzuführen, wenn z. B. mehrere Ähnlichkeitswerte eine Schwelle überschreiten. Als Resultat ist für jedes Entscheidungsverfahren genau anzugeben, was man unter einer falschen Rückweisung verstehen will. Dazu nachfolgend zwei Beispiele. Man unterscheidet zwischen Anwendungen, die nach erfolgter Identifizierung die Identifikationsdaten weiterverwerten (Beispiel: Zugriff auf das zugehörige Bankkonto) und Anwendungen, bei denen die Auswertung identitätsneutral ist (Beispiel: Zugang zu einem Raum ohne Protokollierung der Anwesenheit der identifizierten Person). Im ersten Fall kann es passieren, dass eine falsche Zuordnung des biometrischen Merkmals erfolgt. Man spricht hier von einer Falschidentifikation, gekennzeichnet durch die Falschidentifikationsrate FIR. Denkbar ist weiterhin, dass mehrere Referenzen Ähnlichkeitswerte oberhalb des Schwellwerts erzeugen. Dieser Fall wird bei der Bestimmung der FIR behandelt, wobei verschiedene Entscheidungsstrategien zu unterschiedlichen Ergebnissen führen. Im zweiten Fall nimmt mit zunehmender Zahl von unterschiedlichen Referenzen die Falschrückweisungsrate FRR ab! Wie kann das passieren? Ganz einfach: Es steigt die Wahrscheinlichkeit, dass der Berechtigte nicht nur von der eigenen Referenz, sondern auch von einer fremden "erkannt" wird, was unter normalen Umständen eine Falschakzeptanz wäre. Aber nach außen merkt der Benutzer ja nicht, dass hier "Himmel" und "Hölle" kooperieren. Mathematisch sieht das unter idealisierten Bedingungen so aus: FRRN = FRR1 (1 - FAR1)N-1

Wie lässt sich die Falschidentifikationsrate FIR rechnerisch bestimmen?

Da bei einer Identifizierung die biometrischen Merkmale mit vielen Referenzen verglichen werden, kann der Fall auftreten, dass die Ähnlichkeitswerte für mehrere Referenzen die voreingestellte Schwelle überschreiten. Dies ist zwar unkritisch, wenn es um reine Zutrittsberechtigungen geht, führt aber zu großen Problemen, wenn eine korrekte Zuordnung von Identitätsdaten zum biometrischen Merkmal unabdingbar ist (Beispiel: Zugriff auf Bankkonten per Bankautomaten). Die Wahrscheinlichkeit dafür, dass unabhängig von der richtigen Referenz noch weitere (aber per Definition falsche) Kandidaten auftreten, lässt sich aus der FAR berechnen, da diese Kandidaten bei einer Verifikation eben eine Falschakzeptanz darstellen würden. Ihr Wert ist durch 1 - (1 - FAR1)N-1 ~ (N - 1) FAR1 gegeben, wobei FAR1 die Falschakzeptanzrate für ein System mit einer Referenz ist. N stellt die Zahl der Referenzen dar. Die Näherung (rechte Seite) gilt für den Fall, dass der resultierende Wert deutlich unter 1 liegt. Wie groß die Falschidentifikationsrate ist, lässt sich erst bestimmen, wenn aus der Menge der Kandidaten eine Auswahl erfolgt ist. Eine Regel, die sich in vielen praktischen Realisierungen wiederfindet, kann z. B. die Auswahl des Kandidaten mit dem höchsten Ähnlichkeitswert sein (vorausgesetzt, der tritt nur einmal auf). Leider ist in diesem Fall die FIR nur bestimmbar, wenn die Wahrscheinlichkeits-Dichtefunktionen sowohl für die falsche Akzeptanz als auch die falsche Rückweisung vorliegen. Rechnerisch etwas einfacher zu behandeln ist die Regel, dass im Fall von mehreren Kandidaten eine komplette Rückweisung erfolgt, was die FRR erhöht und die FAR reduziert. Hier gelten folgende Definitionen: FAR   Wahrscheinlichkeit, dass eine nicht berechtigte Person identifiziert wird FRR   Wahrscheinlichkeit, dass eine berechtigte Person nicht identifiziert wird FIR   Wahrscheinlichkeit, dass eine berechtigte Person identifiziert, aber einer falschen ID zugeordnet wird Mit diesen Definitionen ergeben sich unter idealisierten Bedingungen (statistische Unabhängigkeit, gleiche Fehlerraten für alle Personen, ...) folgende Formeln, wobei der Index N wieder die Zahl der Referenzen angibt: FARN = N FAR1 (1 - FAR1)N-1 FRRN = 1 - (1 - FRR1 - FAR1 + N FRR1 FAR1) (1 - FAR1)N-2 FIRN = (N - 1) FRR1 FAR1 (1 - FAR1)N-2

Wann sind FAR- und FRR-Messwerte statistisch signifikant?

Statistische Signifikanz bedeutet, dass die angegebenen Performanzwerte in Abhängigkeit von der Versuchszahl mit einer definierten Wahrscheinlichkeit innerhalb eines bestimmten Fehlerintervalls liegen. Da biometrische Größen schwer durch statistische Modelle zu fassen sind, ist das Vorliegen der statistischen Signifikanz schwer abzuschätzen. Als Faustregel ("Doddington's Regel") gilt, dass so viele Versuche zu machen sind, dass mindestens 30 Fehlerfälle auftreten [Porter 1977]. Beispiel: Eine FAR von 10-6 gilt also dann als vertrauenswürdig, wenn es bei 30 Millionen Versuchen höchstens 30 falsche Akzeptanzen gegeben hat. Ein Fehlversuch unter einer Millionen Versuchen gehört zwar auch zu einer FAR von 10-6, hat aber statistisch gesehen weit weniger Aussagekraft. Daran erkennt man insbesondere, wie aufwändig biometrische Tests werden, wenn die spezifizierte Performanz extrem gut sein soll. Etwas einfacher dürfte die Situation sein, wenn an Stelle einfacher Ja/Nein-Entscheidungen zusätzliche Informationen berücksichtigt werden können, wie z. B. die Nähe einer Entscheidung zur Akzeptanzschwelle.

Was ist beim Vergleich der ROC-Performanz von biometrischen Systemen zu beachten?

Die Genauigkeits-Performanz eines Verifizierungssystems lässt sich durch exakt drei statistische Größen beschreiben: FAR, FER und FRR. Da diese drei Größen indirekt über Parameter wie Qualitätsakzeptanzschwellen für Enrolment und Authentifizierung voneinander abhängen, ist ein Vergleich zweier Systeme über eine einzige Größe nur dann sinnvoll, wenn die übrigen zwei Größen jeweils gleich sind. Wenn beispielsweise die FAR zweier Systeme verglichen werden soll, dann müssen sowohl die beiden FRR- als auch die beiden FER-Werte gleich sein. Für ein ROC-Diagramm lässt sich diese Bedingung einfach dadurch erfüllen, dass die FER-Messwerte aller FAR/FRR-Kombinationen gleich sind. Leider wird dies oft nicht berücksichtigt! Eine Lösung dieses Problems zeigt z.B. die Auswertung der Fingerprint Verification Competition FVC2002 auf. Dort wurden verschiedene Algorithmen zur Fingerabdruckerkennung getestet. Die Idee zur Einbeziehung bzw. Eliminierung der FER besteht in der Definition eines virtuellen "FTE-Users" im Falle eines Failure-to Enrol mit folgenden Eigenschaften: Falls der virtuelle "FTE-User" eine (virtuelle!) Authentifizierung versucht, ist das Ergebnis immer eine Ablehnung, wobei sich die FRR erhöht. Falls ein Unberechtigter eine (virtuelle!) Authentifizierung gegen einen "FTE-User" versucht, wird stets von einer Ablehnung ausgegangen, was in diesem Fall zu einer Verminderung der FAR führt. Dies eliminiert tatsächlich die FER mit der Folge, dass sowohl die ROC-Kurve als auch die FAR/FRR-Messwertpaare vergleichbar werden. Mathematisch entspricht dies der Einführung der Generalisierten FRR (GFRR) und der Generalisierten FAR (GFAR). (Es ist die Aufgabe einer Standardisierung, diese Begriffe zu fixieren. Wir werden sie hier benutzen, bis diese abgeschlossen ist.) Die Berechnung der GFRR und GFAR ist relativ einfach, wenn wir annehmen, dass jedem Authentifizierungsversuch ein eigenes Enrolment vorausgeht. Diese Annahme ist deshalb sinnvoll, weil die Authentifizierungsperformanz nicht unabhängig vom Enrolment ist: Ein gutes Enrolment liefert bessere FRR-Werte als ein schlechtes. Deshalb erscheint es statistisch gesehen genauer zu sein, nicht die gesamte FRR-Statistik von einem einzigen Enrolment abhängen zu lassen! GFAR(th) = (1 - FER)FAR(th)   GFRR(th) = FER + (1-FER)FRR(th) Hier kennzeichnet (th) die Abhängigkeit vom Entscheidungsschwellen-Parameter th, der im Bereich 0 bis K (beliebig) liegt, siehe "Wie lässt sich das FAR/FRR-Kurvenpaar eines biometrischen Systems bestimmen?". Diese Formeln zeigen eine deutliche Verwandtschaft zu denen, die für die FAR und FRR unter Berücksichtigung der bei der Authentifizierung auftretenden FTA (Failure-to-Acquire) abgeleitet wurden. Auf ähnliche Weise erhalten wir für die Grenzwerte: GFAR(0) = (1 - FER)(1 - QRR) GFAR(K) = 0       GFRR(0) = FER + (1-FER)QRR   GFRR(K) = 1 Beide Formeln sind symmetrisch in QRR (= FTA) und FER (= FTE), was auf eine starke Verwandtschaft zwischen Nutzerausfallrate und Qualitätsrückweisungsrate hindeutet. In einigen Fällen sind diese Werte sogar gleich. Das ist z.B. dann der Fall, wenn das biometrische System für Enrolment und Authentifizierung die gleichen Qualitätsbewertungsverfahren und -schwellen einsetzt. In der Praxis wird man aber stets von asymmetrischen Anforderungen mit höherer FER ausgehen, um z.B. das Enrolment von Nonsens-Merkmalen auszuschließen. Desweiteren führt eine zu schlechte Enrolmentqualität zu Einbußen im täglichen Gebrauch eines Authentifizierungs-Systems. In vielen Anwendungen ist es nämlich besser, mehr Zeit für das (einmalige) Enrolment zu spendieren als Zeit für mehrfache Authentifizierungsversuche zu verlieren. Konsequenterweise wird ein ROC-Diagramm, das GFAR- und GFRR-Werte nutzt, GROC (Generalized ROC) genannt.

Was versteht man unter Separierbarkeit eines biometrischen Systems?

Die ROC ermöglicht einen objektiven Vergleich verschiedener biometrischer Systeme, allerdings auf Basis einer Kurve. Praktikabler wäre die Angabe einer einzigen Maßzahl, die eine Art Mittelwert über alle Betriebseinstellungen bildet. Damit ist natürlich nur eine globale Beschreibung eines Systems möglich. Man muss sich deshalb darüber im Klaren sein, dass ein System zwar global besser sein kann als ein anderes, dafür aber lokal, z.B. im Arbeitspunkt, unterlegen. Separierbarkeit ist intuitiv die Fähigkeit eines biometrischen Systems, Berechtigte und Nichtberechtigte auf Grund biometrischer Charakteristika voneinander zu unterscheiden. Je höher die Separierbarkeit, desto kleiner der Fehler bei der Zuordnung von Berechtigten und Nichtberechtigten. Das Separierbarkeitsmaß darf ähnlich wie die ROC natürlich nicht von realisierungsspezifischen Skalierungen abhängen. Nicht zuletzt sollte ein Separierbarkeitsmaß einfach zu berechnen sein. Ein bekanntes Maß für die (inverse) Separierbarkeit ist die EER. Leider beschreibt die EER nur einen einzigen Punkt der ROC. Ihre Definition besticht durch Einfachheit, die Berechnung ist nicht ganz so einfach, da der EER-Punkt nicht als Messwert vorliegt, sondern durch Entscheidung und Approximation abzuleiten ist. Ein (inverses) Separierbarkeitsmaß, das auch die Nachteile der EER vermeidet, ist die Fläche unter der ROC-Kurve. Sie lässt sich ganz einfach durch Summation aller ROC-Werte ermitteln. Einzige Schwierigkeit ist die Tatsache, dass die ROC-Werte nicht äquidistant sind. Es muss also zusätzlich eine Gewichtung jedes y-Werts (FAR) durch den Abstand des zughörigen x-Werts von seinem Nachbarwert erfolgen. Dieser Abstand ist für jeden ROC-Punkt gerade die Differenz bzw. Steigung zweier aufeinanderfolgender Werte in der FAR-Kurve. Damit ist dieser Abstand aber durch die Wahrscheinlichkeits-Dichtefunktion des Nichtberechtigten gegeben. (Für kontinuierliche Funktionen, wo man die Summe durch ein Integral ersetzen muss, wäre dies eine Konsequenz aus der Substitutionsregel für Integrale!) Damit lässt sich die ROC-Fläche, hier ROCA genannt, berechnen durch (K+1 ist die Zahl der betrachteten Ähnlichkeitswerte und pN die Wahrscheinlichkeits-Dichtefunktion für Nichtberechtigten) ROCA =  K n=1 FRR(n) pN(n-1) Diese Formel kommt allein mit Additionen und Multiplikationen vorhandener Messwerte aus. Und obwohl hier über realisierungsspezifische Ähnlichkeitswerte n summiert wird, ist die ROCA doch unabhängig von deren Definition. Allerdings muss man hier die Annahme treffen, dass keine schwellenunabhängige Rückweisung stattfindet, d. h., FRR = FNMR und FAR = FMR. Sowohl die EER als auch die ROCA können Werte zwischen 0 und 1 annehmen. Ideale Separierbarkeit eines biometrischen Systems und damit der Verteilungen pB und pN führt offenbar dazu, dass beide Größen null sein müssen. Aber welcher Wert gehört zu idealer Nichtseparierbarkeit? Intuitiv kann ideale Nichtseparierbarkeit eigentlich nichts anderes bedeuten als dass die beiden Verteilungen  pB  und pN  exakt identisch sind. In diesem Fall gilt aber: pN = pB => FAR = 1 - FRR => EER = ½ und pN = pB  => ROCA =  K n=1 FRR(n) pB(n-1) ~ ½ (Beweis für die Näherung: Man ersetze die Summe durch ein Integral und betrachte pB als die Ableitung von FRR. Nun muss man nur noch die Regel für die partielle Integration anwenden.) Vernünftige Werte für EER und ROCA liegen danach zwischen den beiden Extremwerten 0 für perfekte Separierbarkeit und ½ für perfekte Nichtseparierbarkeit. Welche Bedeutung haben dann die Werte zwischen ½ und 1? Dieser Bereich ist offenbar dem Fall überlassen, dass die beiden Verteilungen pB und pN ihre Rolle vertauschen und im Diagramm ihre Plätze wechseln. Für die Separierbarkeit hat dieser Wertebereich in der Biometrie somit keine praktische Bedeutung!

Worauf muss man bei der Angabe von FAR/FRR-Werten achten?

Die Messung biometrischer Charakteristika, aber auch die Charakteristika selbst sind statistischen Schwankungen unterworfen. Jedes biometrische Erkennungssystem hat deshalb eine eingebaute Akzeptanzschwelle, deren Erhöhung die FAR verkleinert und gleichzeitig die FRR erhöht. Aus diesem Grund sollte es eigentlich selbstverständlich sein, dass angegebene FAR- und FRR-Werte zur selben Schwelle gehören. Irreführend sind deshalb auch singuläre Angaben nur der FAR oder nur der FRR. Zusätzlich muss beim Vergleich der FAR/FRR-Werte unterschiedlicher Systeme auch die Nutzerausfallrate FER berücksichtigt werden. Denn das Enrolment ist so parametrisierbar, dass nur Merkmalsproben mit sehr hoher Qualität zur Weiterverarbeitung zu Referenztemplates zugelassen werden, während Merkmalsproben minderer Qualität unter den Tisch fallen und somit zur Erhöhung der FER beitragen. Eine auf diese Weise erhöhte FER trägt nämlich üblicherweise zur Verbesserung der FAR- und FRR-Werte bei (und umgekehrt)! In der Biometrie sind FAR/FRR-Werte nicht theoretisch herleitbar und müssen deshalb als statistische Größen in aufwändigen Tests ermittelt werden. Ebenso schwierig ist die statistische Signifikanz der so ermittelten FAR- und FRR-Werte herleitbar. Derzeit gibt es keine standardisierten Messverfahren. Deshalb kann das Ergebnis je nach Testbedingungen um Größenordnungen schwanken. Klarheit verschafft nur die Offenlegung der Testbedingungen.

Hängt die Performanz eines biometrischen Systems vom Anwender ab?

In aller Regel ja. Dies gilt sowohl für die Falschakzeptanzrate FAR als auch für die Falschrückweisungsrate FRR. Man kennt es aus dem täglichen Leben, dass sich manche Gesichter leicht und andere sehr schwer merken und wiedererkennen lassen. So gesehen, ist die übliche Angabe von Mittelwerten der FAR und FRR für den einzelnen Anwender wenig hilfreich. Diese Anwenderabhängigkeit ist u. a. auch verantwortlich dafür, dass die statistischen Eigenschaften von FAR- und FRR-Messungen so gut wie gar nicht quantifizierbar sind.

Ist die Nutzerausfallrate ein typisch biometrisches Problem?

Jedes biometrische Merkmal kann zeitweise oder permanent ausfallen. Beispiele für temporäre Ausfälle sind abgeschliffene oder verklebte Fingerkuppen bei Fingerprint, Medikamenteneinnahme bei Iris (Atropin, das u. U. eine Lebenderkennung irritieren kann), Heiserkeit bei Stimmerkennung oder der Gipsarm, der die Unterschrift nicht gelingen lässt. Permanente Ausfälle sind bekannt z. B. bei Augenlinsentrübungen, die eine Retinaerkennung unmöglich machen oder seltene Hautkrankheiten, die das Fingerprintmuster auf Dauer zerstören. Deshalb benötigt jedes biometrische System ein Rückfallverfahren. Ein solches braucht man aber auch, wenn jemand seinen Schlüssel verloren oder seine PIN vergessen hat, so dass grundsätzlich nicht nur biometrische Systeme von Nutzerausfällen betroffen sind, sondern alle Authentifizierungsverfahren. Man darf aber davon ausgehen, dass biometrische Verfahren auch hier im Vorteil gegenüber herkömmlichen Methoden sind.

Ist die EER ein verlässliches Maß für die Performanz biometrischer Systeme?

Nein. Unter Benutzung des Schwellwertparameters sind die meisten praktischen biometrischen Systeme nicht so eingestellt, dass FAR = FRR (was die EER definiert), sondern dass FAR << FRR. Da sich ROC-Kurven verschiedener Systeme bei gleicher EER völlig unterschiedlich verhalten können, sind durchaus Unterschiede von mehreren Zehnerpotenzen in anderen ROC-Bereichen möglich. Um solch große Fehler zu verhindern, ist es zwingend erforderlich, ausschließlich FAR - FRR-Wertepaare im Arbeitspunkt zu betrachen, indem man z.B. die FARs bei gleicher FRR vergleicht. Ein Vergleich der EER ist nur in den seltenen Fällen sinnvoll, in denen die EER als Arbeitspunkt gewählt wird.

Wie lassen sich die FAR und die FRR eines biometrischen Authentifizierungs-Systems minimieren?

Die Falschakzeptanzrate FAR ist in den Erkennungsalgorithmen über die Akzeptanzschwelle einstellbar. Je höher die Akzeptanzschwelle, desto niedriger der FAR. Gleichzeitig führt eine Erhöhung der Akzeptanzschwelle aber auch zu einer Erhöhung der Falschrückweisungsrate FRR. Ziel muss es deshalb sein, bei gegebener FRR eine möglichst kleine FAR (und umgekehrt) zu erhalten. Dabei gibt es Einflussfaktoren, die primär auf die FAR wirken und solche, die vorrangig die FRR beeinflussen. Bei fester FAR hängt die FRR von folgenden Faktoren ab: Art der biometrischen Charakteristika Qualität des Sensors Anwenderverhalten Leistungsfähigkeit der Erkennungsalgorithmen Bei Identifizierungssystemen von der Zahl der biometrischen Referenzen Daraus ergeben sich folgende Optimierungsmöglichkeiten: Geeignete biometrische Charakterstika festlegen: Hier ist die Eindeutigkeit des Charakteristikums der wesentliche Beeinflussungsfaktor für die FAR, während sich Konstanz und Messbarkeit primär auf die FRR auswirken. Den Sensor mit der besten (Bild-) Qualität auswählen: Dies reduziert primär die FRR. Fehlbedienungen durch den Anwender ausschließen: Auch dies reduziert primär die FRR. Erkennungsalgorithmen optimieren Zahl der biometrischen Referenzen in einem Identifizierungssystems niedrig halten: Dies reduziert die FAR signifikant bei leicht erhöhter FRR!

Was versteht man unter der "Sicherheit" eines Authentifizierungs-Systems?

Statt "Sicherheit" meint man eigentlich primär die Schutzfähigkeit gegen falsche Authentifikationen. Diese können auftreten durch eine zu hohe Falschakzeptanzrate (FAR), durch gezielte Fälschungsversuche und durch technische Realisierungsfehler. Perfekten Schutz kann es nicht geben, jedoch kann man versuchen, die FAR so klein wie möglich zu machen, die Kosten für Fälschungsversuche so hoch wie möglich zu treiben und Realisierungsfehler durch intensive Tests zu vermeiden. Dabei gilt die alte Regel, dass die Stärke einer Kette durch ihr schwächstes Glied bestimmt wird. Da höhere Schutzfähigkeit auch immer mit höheren Kosten einher geht, gilt es, einen Kompromiss zu finden, der dem möglichen Schadensfall angemessen ist. In den Bereich Sicherheit fällt auch der Schutz der biometrischen und weiteren Anwenderdaten gegen sonstigen Missbrauch.

Was versteht man unter Kompromittierung biometrischer Charakteristika?

Kompromittierung ist in diesem Fall das Bekanntwerden einzelner oder mehrerer biometrischer Charakteristika eines Menschen.

Ist die Kompromittierung biometrischer Charakteristika ein Problem?

Biometrische Charakteristika sollen möglichst einmalig und unveränderbar sein. Deshalb wird mit einer Kompromittierung häufig die Gefahr gesehen, dass die biometrischen Charakteristika missbraucht werden könnten und danach wie ein Passwort unbrauchbar sind, nur dass ein Passwort im Gegensatz zu den meisten anderen biometrischen Charakteristika jederzeit relativ einfach durch ein anderes austauschbar ist. Wie groß diese Gefahr tatsächlich ist, hängt von der Anwendung und den mit ihr verbundenen Vorkehrungen gegen Kompromittierungen ab. Ja - wenn die Kompromittierung statistisch gesehen in einer biometrischen Anwendung einen mittleren Gesamt-Schaden anrichten kann, der größer ist als der zu erwartende mittlere Gesamt-Nutzen. Damit wird allgemein regelmäßig dann zu rechnen sein, wenn Vorkehrungen gegen Kompromittierung in keinem vernünftigen Verhältnis zur Kompromittierbarkeit und zur möglichen Schadenshöhe stehen. Im Speziellen wird dies biometrische Systeme betreffen, die das biometrische Charakteristikum ausschließlich als Geheimnis betrachten, obwohl es leicht zu kompromittieren ist und sich daraus auf einfache Weise ein Plagiat zu Fälschungszwecken herstellen lässt. Ja - wenn aus dem biometrischen Charakteristikum Eigenschaften des Trägers extrahierbar sind, die sich für ihn nachteilig auswirken können. Beispiel: Genetische Krankheitsinformationen aus der DNA. Nein - wenn das biometrische System "zweifelsfrei" den Unterschied zwischen dem Original des biometrischen Charakteristikums und einem aus dem kompromittierten biometrischen Charakteristikum hergestellten Plagiat feststellen kann. Dies lässt sich in biometrischen Systemen bis zu einem gewissen Grad durch eine Vielzahl organisatorischer und technischer Maßnahmen erreichen und hängt stark vom gewählten biometrischen Charakteristikum ab. Vielfach wird zwar viel Wert darauf gelegt, dass sich das körperliche Urbild (z. B. das Fingerlinienbild) nicht aus den Referenzdatensätzen zurückrechnen lasse. Selbst wenn dies stimmte, nützte es allerdings nicht viel, da zum Missbrauch bereits irgend ein Abbild eines Betroffenen ausreicht, das die gleichen biometrischen Merkmalsdaten erzeugt [Bromba 2003].

Was kann man gegen die Kompromittierung seiner biometrischen Charakteristika tun?

Stellen Sie Ihre biometrischen Charakteristika nur vertrauenswürdigen Applikationen vertrauenswürdiger Systembetreiber zur Verfügung. Der Betreiber muss sich verpflichten, die biometrischen Daten nicht weiterzugeben und sie ausreichend geschützt, am besten verschlüsselt, zu speichern. Bevorzugen Sie biometrische Anwendungen, die Ihre biometrischen Daten ausschließlich dann verwerten können, wenn Sie dem System eine Chipkarte präsentieren, die sich in Ihrem Besitz befindet. (Auf dieser Karte könnten die biometrischen Referenzdaten gespeichert sein, oder ein geheimer, persönlicher Schlüssel, der die temporäre Entschlüsselung der beim Betreiber gespeicherten verschlüsselten Referenzdaten ermöglicht.) Veröffentlichen Sie keine biometrischen Charakteristika von sich, die von Natur aus schwer kompromittierbar sind und die deshalb von biometrischen Anwendungen als Geheimnisse betrachtet werden könnten, wie z.B. Fingerprint, Iris oder Venenmuster. Dies ist besonders dann kritisch, wenn ein Fälscher die biometrischen Daten einer konkreten Person zuordnen kann.

Was ist in Bezug auf Sicherheit bei Template-on-Card zu beachten?

Wir betrachten folgende Möglichkeiten der Speicherung von biometrischen Referenzen auf einer Chipkarte: Die Chipkarte ist eine reine Speicherkarte, die Speicherung erfolgt unverschlüsselt Die Chipkarte kann von jedem, der diese Karte findet, ausgelesen werden. Die Chipkarte ist beliebig duplizierbar; den Nutzen daraus hat allerdings nur der Berechtigte. Es lassen sich im Prinzip Karten mit den Referenzen Nichtberechtigter herstellen, die dann auch Zugang zum System haben. Sind die (nichtbiometrischen) Daten des Berechtigten ebenfalls auf der Chipkarte gespeichert, ist die Gefahr einer Kompromittierung im Verlustfall sehr groß. Die Chipkarte ist eine reine Speicherkarte, die Speicherung erfolgt verschlüsselt Die Chipkarte kann von jedem, der diese Karte findet, ausgelesen, aber der Inhalt nicht interpretiert werden. Die Chipkarte ist beliebig duplizierbar; den Nutzen daraus hat allerdings nur der Berechtigte. Die Authentifikation durch Karten mit den Referenzen Nichtberechtigter lässt sich prinzipiell verhindern. Eine Kompromittierung der Daten lässt sich verhindern. Die Chipkarte ist eine Prozessorkarte mit Kryptofunktion Die auf der Chipkarte gespeicherten Daten sind nur von einem vertrauenswürdigen Kommunikationspartner (z. B. abgesicherter PC oder abgesicherter Server über nichtabgesicherten PC) auslesbar und interpretierbar. Eine Duplizierung der Chipkarte ist verhinderbar. Die Authentifikation durch Karten mit den Referenzen Nichtberechtigter lässt sich prinzipiell verhindern. Eine Kompromittierung der Daten lässt sich verhindern. Von der konkreten Anwendung hängt es ab, welche Sicherheitsanforderungen zu stellen sind und welche Lösung deshalb in Frage kommt.

Fördert Biometrie den Datenschutz oder fordert sie ihn heraus?

Bedenken bezüglich des möglichen Missbrauchs biometrischer Daten haben eine Diskussion darüber aufleben lassen, ob Biometrie die Privatsphäre eher schützt oder aber weiter aushöhlt. Nach Woodward (1999) ist eine zentrale Frage die, ob der Anwender die volle Kontrolle über seine Daten hat und weiß, wann, wo und warum seine biometrischen Daten genutzt werden.  Prinzipiell sind biometrische Daten unbemerkt vom Träger auch für nicht beabsichtigte Anwendungen wiederverwertbar, und im Vergleich  zu einfachen ID-Nummern ist die Furcht vor Missbrauch derart persönlicher Charakteristika ungleich höher. Manche biometrischen Daten, die wie z.B. die DNA auch Gesundheits-Informationen enthalten können, könnten an kommerzielle Interessenten, Versicherungsgesellschaften oder staatliche Organisationen weitergeleitet werden. Datenschutzbedenken im Zusammenhang mit der Biometrie umfassen nach Wirtz (2000) folgende Punkte: Nichtautorisierter Zugriff zu biometrischen Daten Nichtautorisierte Weitergabe biometrischer Daten an Dritte Verwendung biometrischer Daten für vom Träger nicht vorgesehene Zwecke Sammlung biometrischer Daten ohne Wissen des Trägers Die Beachtung von Datenschutzbestimmungen und Persönlichkeitsrechten ist eine zentrale Voraussetzung für den Erfolg biometrischer Systeme. Gesetzliche Maßnahmen können dazu beitragen, dass Biometrie im Sinne des Anwenders genutzt wird und dadurch den Schutz des Einzelnen vor Missbrauch erhöhen.

Ist Biometrie "sicherer" als Passwörter?

Diese Frage enthält mindestens zwei Probleme:  Biometrie nicht gleich Biometrie (so lassen sich in Übereinstimmung mit der Definition der Biometrie von Menschen genutzte Passwörter durchaus als Grenzfall der Biometrie auffassen), und der Begriff "sicher" wird zwar in der Umgangssprache gern benutzt, ist aber eigentlich nicht allgemeingültig, sondern eher heuristisch definiert. Jedoch kann man versuchen, Pro- und Kontra-Argumente zu finden, um wenigstens eine intuitive Antwort zu ermöglichen, die mögliche Unterschiede innerhalb der Biometrie aufzeigt. Fakt ist, dass die Sicherheit von passwortgeschützten Werten in besonders starkem Maße vom Anwender abhängt. Wenn der Anwender sich zu viele Passwörter merken muss, wird er versuchen, ein Passwort für möglichst viele Anwendungen zu benutzen. Ist ihm diese Möglichkeit verwehrt, bleibt als nächstes die Konstruktion sehr einfacher Passwörter. Ist auch dies nicht machbar (Beispiele: Der Benutzer bekommt das Passwort vorgegeben oder die Bildungsregeln sind zu komplex), wäre eine nächste Rückfallstufe das Aufschreiben der Passwörter auf Papier, was dann aus "geheimem Wissen" "persönlichen Besitz" macht. Natürlich wird nicht jeder Anwender zwangsläufig so reagieren. Vielmehr spielt die Motivation des Anwenders eine wesentliche Rolle: Ist ihm überhaupt der mögliche Schaden eines leichtfertigen Umgangs mit Passwörtern bewusst? Einfach ist die Sache, wenn der Anwender seinen eigenen Besitz schützen möchte. Häufig geht es aber eher darum, "fremdes" Gut zu schützen (z. B. das des Arbeitgebers), dessen Wert man nicht recht einschätzen kann. Fehlt die Motivation, wird jedes Passwort vor allem als lästig empfunden. In diesem Fall, und das scheint der Normalfall zu sein, kann man davon ausgehen, dass Biometrie klare Vorteile hat. Andererseits zeichnen sich Passwörter durch eine unschlagbare theoretische Schutzfähigkeit aus: Ein achtstelliges Passwort, das alle (Sonder-) Zeichen eines 8-bit-Alphabets enthalten darf, bietet 1020 Kombinationsmöglichkeiten! Da tut sich im direkten Vergleich jedes biometrische Charakteristikum schwer. Die Voraussetzungen sind klar: Solch ein Passwort ist maximal schwer zu erlernen, es darf nicht aufgeschrieben werden, es darf nicht weitergegeben werden, die Eingabe muss absolut geheim erfolgen, es darf nicht erpresst werden, und die technische Realisierung muss perfekt sein. Damit sind wir bei der praktischen Seite: Die Realisierung muss gefeit sein gegen Angriffe wie Replayattacken, Tastaturattrappen (z. B. falsche Geldautomaten), Abhören usw. Auch biometrische Charakteristika haben mit solchen Problemen zu kämpfen. Jedoch kann man davon ausgehen, dass biometrische Daten nicht leichter abzuhören sind als Passwörter, gleichen Realisierungsaufwand vorausgesetzt! Schlussfolgerung: Es gibt sicher Fälle, in denen Passwörter mehr Sicherheit bieten können als 'andere' biometrische Charakteristika. Normalfälle sind dies jedoch nicht!

Publikationen Albrecht, A. "Biometrische Verfahren im Spannungsfeld von Authentizität im elektronischen Rechtsverkehr und Persönlichkeitsschutz", Frankfurter Studien zum Datenschutz, Nomos, 2003. Behrens, M; Roth, R. (Herausgeber) "Biometrische Identifikation - Grundlagen, Verfahren, Perspektiven", Vieweg, 2001.  Bromba, M. U. A. "On the reconstruction of biometric raw data from template data", 2003-04-20 Jain, A.; Bolle. R.; Pankanti; S. (Editors); "Biometrics: Personal Identification in Networked Society", Kluwer Academic Publishers, 1999. Lenz, J.-M.; Schmidt, C.; "Die elektronische Signatur", Deutscher Sparkassenverlag, ISBN 3093057051, 2004. Petermann, Thomas; Sauter, Arnold; "Biometrische Identifikationssysteme", TAB-Arbeitsbericht, 2002. Porter, J. E. "On the "30 error" criterion", in: "National Biometric Test Center - Collected Works - 1997-2000 - San Jose State University ". Wirtz, B. "Biometric Systems 101 and Beyond", in: Secure - The Silicon Trust Quarterly Report, Autumn 2000, 12-17. Woodward, J.D.; "Biometrics: identifying law and policy concerns", in: Jain, A.; Bolle. R.; Pankanti; S. (Editors); "Biometrics: Personal Identification in Networked Society", Kluwer Academic Publishers, 1999, 385-405. Zhang, D.; Jing, X.; Yang, J.; "Biometric Image Discrimination Technologies", Idea Group Publishing, ISBN 159140830X, 2006

Links Informationsquellen Homepage of Jean-François Mainguet (biometrics. mainguet.org) Central USG site for information about biometrics (biometrics.gov) Biometric Bits (biometricbits.com) Harmonized Biometric Vocabulary (ISO/IEC 2382-37, christoph-busch.de/ standards.html) Published standards: JTC 1/SC 37  - Biometrics (iso.org/iso/iso_ catalogue/catalogue_tc/ catalogue_tc_browse.htm? commid=313770&published=on) Reasearch page of Christoph Busch (christoph-busch.de/) Gemeinnützige Organisationen TeleTrusT Deutschland e.V. (teletrust.de/) The Biometrics Discussion Group (biometricbits.com/ biometrics_ discussion_ group.htm) Universitäten und Institute IBIS Institut für Biometrische Identifikationssysteme (Fachhochschule Friedberg-Giessen) (www.biometrie-info.de/) Biometrics Research Homepage at Michigan State University (biometrics.cse.msu. edu/) NIST National Institute of Standards and Technology (nist.gov/biometrics) FBI Biometric Center of Excellence (biometriccoe.gov) Resource Guides findBiometrics (findbiometrics.com/) Evaluierungen, Tests, Zertifizierungen BSI Bundesamt für Sicherheit in der Informationstechnik (bsi.de/)

Autor Manfred U. A. Bromba begann 1968 eine Lehre bei der Nixdorf Computer AG und schloss diese als Elektroniker ab. Es folgten ein Studium der Elektrotechnik und der Physik an der Universität Paderborn. Nach seiner Promotion forschte er noch weitere 2 Jahre auf dem Gebiet der digitalen Signalverarbeitung, bevor er 1983 zum Bereich Halbleiter der Siemens AG wechselte. Dort war er für eine Reihe von Produktinnovationen aus dem Bereich Multimedia verantwortlich: Erster IC-Satz für Flimmerfreies 100 Hz-Fernsehen (1987) Erstes Embedded-DRAM-IC für Fernsehgeräte (1988) Multiport Serial Access Memory for TV (TV-SAM) High-End Grafik-IC für Teletext (MEGATEXTTM) MultiMediaCardTM Erster voll funktionsfähiger Prototyp eines MP3-Players mit Speicherkarte (1995) (beauftragt bei Fa. Pontis) 1986 erfolgte die Gründung der Firma "Dr. Bromba Infrarotindikatoren". 1997 übernahm Bromba im Siemens-Bereich Private Netze die Biometrieaktivitäten. 1999 entstanden die ersten Labormuster eines Mobiltelefons mit Fingerprint-Authentifizierung sowie einer ID-Card mit Fingerprintsensor und kompletter Verarbeitung auf der Karte.  Manfred Bromba ist Autor zahlreicher Veröffentlichungen und Erfindungen. Er wirkte als Mitglied beim TeleTrusT e.V., dem CAST e.V. und in der NI-AHGB/NI-37 des DIN e.V. aktiv bei der Förderung und Standardisierung biometrischer Systeme mit.

Diese FAQ wurde nach bestem Wissen und Gewissen zusammengestellt. Sie erhebt keinen Anspruch auf Fehlerfreiheit. Impressum