BIOIDENTIFIKATION Fragen und Antworten Letzte Änderung: 2011-12-19
Biometrie	Deutsch English   Biometrie Fingerprint Datenschutz

(1) Allgemein: Biometrie oder Biometrik ist die Lehre von der Messung an Lebewesen.

(2) ISO/IEC: Biometrie ist die automatisierte Erkennung von Individuen anhand ihrer verhaltensmäßigen oder biologischen Charakteristika.

Durch Messung geeigneter verhaltensmäßiger oder biologischer Charakteristika während eines Erkennungsvorgangs wird durch Vergleich mit den bei einem "Kennenlernvorgang" (Enrolment) hinterlegten biometrischen Referenzen die Identität einer Person festgestellt.

Ein biometrisches Charakteristikum ist eine biologische oder verhaltensabhängige Eigenschaft eines Individuums, die einerseits gemessen werden kann und aus der sich andererseits zur Unterscheidung verwendbare, reproduzierbare biometrische Merkmale ableiten lassen, die zum Zwecke der automatischen Erkennung von Individuen einsetzbar sind. Beispiel: Gesicht.

Ein biometrisches Sample ist eine analoge oder digitale Repräsentation eines biometrischen Charakteristikums vor dem Prozess der biometrischen Merkmalssextraktion, das durch ein biometrisches Datenerfassungsgerät bzw. ein biometrisches Erfassungssubsystem erzeugt wird. Beispiel: elektronisches Passfoto.

Ein biometrisches Sample wird üblicherweise von einem Sensor geliefert, der Hauptbestandteil des biometrischen Datenerfassungsgeräts ist. Das biometrische Sample enthält in der Regel mehr Informationen als für eine biometrische Erkennung benötigt werden. Man spricht deshalb auch von Rohdaten. In vielen Fällen handelt es sich hier wie beim Foto um direkte Abbilder des biometrischen Charakteristikums.

Biometrische Merkmale sind die aus einem biometrischen Sample extrahierten charakteristischen Informationen, die sich direkt zum Vergleich mit einer biometrischen Referenz heranziehen lässt. Beispiel: aus dem Passfoto extrahierte charakteristische Maße wie Augenabstand, Nasengröße usw.

Die Extraktion der biometrischen Merkmale aus dem biometrischen Sample hat zum Ziel, die biometrischen Daten von allen überflüssigen Informationen zu befreien, die nicht zur biometrischen Erkennung beitragen. Dies ermöglicht einen schnelleren Vergleich, eine höhere biometrische Performanz und kann Datenschutzvorteile haben.

Eine biometrische Referenz besteht aus den in Form eines oder mehrerer biometrischer Samples, biometrischer Templates oder biometrischer Modelle abgespeicherten und einer Person zugeordneten Referenzdaten, die sich zum Vergleich heranziehen lassen.

Von biometrischen Templates spricht man, wenn es sich um abgespeicherte biometrische Merkmale handelt. Ein biometrisches Modell ist eine gespeicherte personenspezifische Funktion, die unter Verwendung von biometrischen Merkmalen bestimmt wurde und beim Vergleich zur Erzeugung des Vergleichsergebnisses auf die biometrischen Merkmale eines biometrischen Erkennungssamples angewendet wird.

Ein biometrisches Template ist ein Sonderfall einer biometrischen Referenz, bei dem biometrische Merkmale zum Zwecke des Vergleichs abgespeichert wurden.

Der Vergleich findet ihm Rahmen eines Erkennungsvorgangs zwischen dem abgespeicherten biometrischen Template und den aktuellen biometrischen Merkmalen statt, die aus den vom biometrischen Datenerfassungsgerät bzw. Sensor kommenden biometrischen Daten gewonnenen wurden.

Um eine Person anhand ihrer biometrischen Charakteristika und den daraus abgeleiteten biometrischen Merkmalen erkennen zu können, muss zunächst ein Kennenlernen stattfinden. Dieser Vorgang des Kennenlernens wird Enrolment genannt und besteht darin, für eine zu erfassende betroffene Person einen mit ihr verbundenen Enrolmentdatensatz zu erstellen und in der biometrische  Enrolment-Datenbank zu speichern. Der Enrolmentdatensatz besteht aus einer oder mehreren biometrischen Referenzen und beliebigen nicht-biometrischen Daten wie Namen oder Personalnummer.

Zur Erkennung präsentiert die betroffene Person dem biometrischen Datenerfassungsgerät sein biometrisches Charakteristikum, das daraus ein biometrisches (Erkennungs-)Sample ableitet. Aus dem Erkennungssample erzeugt die Merkmalsextraktion die biometrischen Merkmale, die mit einem oder mehreren biometrischen Templates aus der biometrischen Enrolment-Datenbank verglichen werden. Aufgrund der statistischen Natur der biometrischen Samples wird es in der Regel keine 100%ige Übereinstimmung geben können. Deshalb wird der auf den Vergleicher folgende Entscheider nur dann von einer Zugehörigkeit der betroffenen Person zu einem biometrischen Template ausgehen und eine Erkennung signalisieren, wenn die Ähnlichkeit einen einstellbaren Schwellwert überschreitet.

Bei der Entwicklung biometrischer Verfahren geht es darum, Körper- und Verhaltenscharakteristika zu finden und zur Erkennung zu nutzen,

• die über möglichst eindeutige biometrische Merkmale bzw. Merkmalsmuster verfügen, die sich bei keiner weiteren Person wiederholen: Eindeutigkeit
• bei möglichst vielen Personen vorkommen: Universalität
• deren biometrischen Merkmale sich zeitlich möglichst wenig verändern: Konstanz
• mit möglichst einfachen technischen Mitteln erfassbar sind: Messbarkeit
• deren Erfassung für den Betroffenen bequem durchführbar ist: Anwenderfreundlichkeit

Biometrische Charakteristika entstehen

• durch Vererbung: genotypisch
• durch Zufallsprozesse in einer Frühphase der embryonalen Entwicklung: randotypisch
• oder sind durch Training bestimmt: konditioniert

In der Regel sind bei biometrischen Charakteristika alle drei Entstehungsarten mit zum Teil stark unterschiedlichen Wichtungen vertreten. Die folgende Tabelle schätzt die Priorität der jeweiligen Anteile (o ist niedrig, ooo hoch):

*Randotypische Muster zeigen häufig ein genotypisches Verhalten in der Grobstruktur, das sich mit zunehmender Verfeinerung immer mehr zurückbildet (Beispiel: Verästelung eines Baums)

**Die meisten Realisierungen reagieren mehr oder weniger stark auf Lerneffekte bei der Bedienung und haben deshalb nicht zu vernachlässigende konditionierte Anteile

Obwohl die Entstehungsart nicht allein über die Brauchbarkeit entscheidet, sind doch ein paar Dinge zu beachten:

• Rein genotypische Charakteristika lassen sich nicht zur Unterscheidung von eineiigen Zwillingen und Klonungen heranziehen
• Rein konditionierte Charakteristika sind per Definition besonders einfach nachzuahmen
• Stark konditionierte Charakteristika hängen stark von äußeren Einflüssen und Stimmungen des Benutzers ab
• Für Identifizierungszwecke sind in der Regel randotypische Anteile unverzichtbar, denn diese sind eine notwendige Voraussetzung für Einmaligkeit

Folgende Bedingungen müssen erfüllt sein:

• Selbst eineiige Zwillinge haben deutlich unterscheidbare Charakteristika
• Faustregel: Randotypische Charakteristika folgen NICHT der Körpersymmetrie. Beispiel: Rechte und linke Iris haben unterschiedliche Feinstrukturen, die nicht etwa spiegelsymmetrisch zueinander sind.

Gründe für eine zeitliche Varianz gibt es viele:

• Wachstum
• Abnutzung
• Alterung
• Verschmutzung
• Verletzung und Art der Regeneration
• etc.

Im Vorteil sind solche biometrischen Charakteristika, die von diesen Varianzen unbeeinflusst bleiben. In welchem Maße das möglich ist, zeigt folgende Tabelle, deren Werte geschätzt sind. Regenerierbare Effekte wie Verschmutzung und regenerierbare Verletzungen sind nicht berücksichtigt.

Um einen Gesamtvergleich verschiedener biometrischer Charakteristika zu ermöglichen, sind zunächst die Bewertungskriterien festzulegen. In unserem Fall gehen wir von vier Faktoren aus:

• Komfort: ergibt sich aus Dauer einer Erkennung und dem nutzerseitigen Aufwand (Anwenderfreundlichkeit).
• Genauigkeit: bestimmt die Fehlerraten im praktischen Einsatz (Eindeutigkeit, Konstanz, Messbarkeit).
• Verfügbarkeit: beschreibt den Anteil einer potentiellen Nutzergruppe, der ein biometrisches Charakteristikum für technische Erkennungszwecke nutzen kann (Universalität, Messbarkeit).
• Kosten: werden im Wesentlichen durch das Datenerfassungsgerät bestimmt.

Man beachte, dass es sich bei dieser Wertung zum Teil um durch heutige Realisierungen bedingte Einschätzungen handelt, die sich mit neuen Lösungen deutlich verschieben können.

Wie man sieht, ist eine eindeutige Entscheidung zugunsten eines einzigen biometrischen Charakteristikums schwer möglich! Von den biometrischen Charakteristika mit hoher Genauigkeit weist Fingerprint heute die niedrigsten Kosten auf. Die Iris zeigt überall Spitzenwerte, leider auch bei den Kosten. Wenn es gelänge, die Kosten deutlich zu senken, wäre die Iris eindeutig der Spitzenreiter!
DNA erhält bei der Genauigkeit einen Punktabzug, da dieses Charakteristikum keine Unterscheidung von eineiigen Zwillingen ermöglicht.

Hier definieren wir Authentifizierung als den Prozess oder Vorgang zur Bestimmung der Identität einer Person und Bestätigung ihrer Authentizität (Echtheit). Eine erfolgreiche Authentifizierung wird Authentifikation genannt.

In Multiuser-Systemen setzt sich eine Authentifizierung in der Regel aus einer Identifizierung mit nachfolgender Verifizierung zusammen. Der Identifizierungsteil bestätigt, dass die Identität, die dem System überlicherweise als Identifikator wie z.B. einem Usernamen mitgeteilt wird, bekannt ist. Falls die Identifizierung erfolgreich war, spricht man von Identifikation. In einer nächsten Stufe wird die Identität mittels Verifikator verifiziert. Der Verifikator ist z.B. ein Geheimnis, das die zu authentifizierende Person mit dem authentifizierenden System teilt. War die Verifizierung erfolgreich, spricht man von Verifikation.

Überlicherweise werden Identifikatoren als öffentlich und Verifikatoren als Geheimnisse betrachtet. Beispiele für Verifikatoren sind das Bartmuster eines Schlüssels oder ein Passwort.

Im Zusammenspiel mit einer Authentifizierung ist die Autorisierung der Prozess, einer Person bestimmte Rechte und Erlaubnisse zuzuordnen.

Es gibt zwei Möglichkeiten, biometrische Charakteristika vorteilhaft zur Authentifizierung zu nutzen, nämlich als Identifikator oder als Verifikator. Beim Einsatz von Biometrie als Identifikator ist die Einmaligkeit (sehr niedrige FAR) von wesentlicher Bedeutung, besonders wenn die Zahl der User sehr hoch ist. Kommt die Biometrie als Verifikator zum Einsatz, sind die biometrischen Charakteristika als geheim zu betrachten. Ist dies nicht sinnvoll, kann eine Fälschungserkennung zur Abwehr mechanischer Kopien des biometrischen Charakteristikums wichtig sein.

Biometrie "Wer ich bin"

Die Biometrie liefert von Natur aus das älteste Verfahren zur Erkennung von Menschen, und zwar durch unvergessbare und unverlierbare Körpercharakteristika. Nachdem der Mensch die Erkennung seit Urzeiten selber durchführen musste, ist die Technik heute so leistungsfähig, dass sie ihm diese Aufgabe abnehmen kann.

Geheimes Wissen "Was ich weiß"

Hier erfolgt die Authentifizierung durch geheime PINs und Passwörter, die sich der Berechtigte merken und mit dem Authentifizierenden als geheimes Wissen teilen muss. Dies war für die Authentifizierung gegenüber Automaten bislang die am einfachsten zu realisierende Methode. Anwendung findet geheimes Wissen vielfach auch dort, wo mehrere Personen auf einfache Weise authentifiziert werden sollen ohne unterschieden werden zu müssen.

Persönlicher Besitz "Was ich habe"

Beispiele für Authentifizierung durch Besitz sind Schlüssel, Karte/Ausweis (mit und ohne Chip) oder allgemein ein Token, mit dem ich mir z. B. Zugang zu nichtöffentlichen Räumen verschaffe. Das Wesentliche für diese Methode ist der Austausch geheimer Merkmale nicht zwischen Person und Authentifizierer, sondern zwischen Token und Authentifizierer. (Theoretisch könnte man auf ein Geheimnis verzichten, wenn der Token nicht kopierbar ist und der Authentifizierer die Echtheit überprüfen kann.)

Kombinationsverfahren

Aus Sicherheitsgründen ist es oft üblich, zwei oder drei der genannten Verfahren zu kombinieren, z. B. Bankkarte mit PIN. Nur mit solchen "Mehrfaktorsystemen" lassen sich auch die Anforderungen an "starke Authentifizierung" erfüllen.

Die fortschreitende Automatisierung und die Entwicklung neuartiger technischer Systeme wie Internet und Handy haben dazu geführt, dass sich der Anwender nicht mehr gegenüber Menschen sondern gegenüber einer technischen Einrichtung authentifizieren muss. Zur persönlichen Verifizierung hat sich dabei das geheime Passwort bzw. die PIN durchgesetzt. Beispiele aus dem täglichen Leben sind der Geldautomat, das Handy oder der Internetzugang am heimischen PC. Damit ein Passwort nicht erraten werden kann, sollte es möglichst lang sein, möglichst in keinem Wörterbuch vorkommen und am besten noch Sonderzeichen wie +, -, § oder so enthalten. Außerdem sollte der Anwender das Geheimwort aus Sicherheitsgründen nicht aufschreiben, auf keinen Fall an Dritte weitergeben und spätestens alle drei Monate wechseln. Wenn man jetzt noch berücksichtigt, dass viele Anwender mit gut 30 Passwörtern umgehen müssen, von denen die meisten nur selten benutzt werden, ist klar, dass der Aufwand für vergessene Passwörter enorm ist und den Anwender geradezu zwingt, Abstriche bei der Sicherheit zu machen. Das Passwort ist eben sehr maschinen-, dafür aber wenig benutzerfreundlich.

Was liegt also näher, als sich auf die Natur zurückzubesinnen. Der Mensch benutzt zur Erkennung seiner Mitmenschen charakteristische körperliche Merkmale wie Gesichtsform oder Klang der Stimme. Die Biometrie als Lehre von der Erfassung und Vermessung körperlicher Merkmale kennt inzwischen eine Vielzahl von weiteren Charakteristika, die sich ideal zur eindeutigen Erkennung sogar von Zwillingen heranziehen lassen. Beispiele sind Fingerprint, Iris und Blutgefäßstrukturen. Um mit der Erkennungsleistung des menschlichen Gehirns mithalten zu können (vorausgesetzt man beschränkt sich auf ein einziges biometrisches Erkennungverfahren), sind allerdings gut 100 Mio. Rechenoperationen pro Sekunde zu leisten. Da Standard-PCs diese hohe Rechenleistung heute spielend erreichen und andererseits geeignete Sensoren zur Aufnahme der menschlichen Körpermerkmale immer kostengünstiger werden, ist jetzt die Zeit gekommen, das Passwort flächendeckend durch eine benutzerfreundliche Alternative zu ergänzen: die Biometrie.

Auf Basis der Benutzerfreundlichkeit bietet Biometrie als alternativer Authentifizierungsbestandteil die Chance zur deutlichen Kostenreduktion ohne Sicherheitseinbußen. Als Ergänzung zu herkömmlichen Verfahren bietet sich Biometrie sogar zum Einsatz in besonders gefährdeten Bereichen an.

Bei einer biometrischen Identifizierung werden die biometrischen Erkennungsmerkmale mit mehreren oder allen im biometrischen System gespeicherten biometrischen Referenzen verglichen.

Bei einer biometrischen Verifizierung werden die biometrischen Erkennungsmerkmale mit einer im biometrischen System gespeicherten biometrischen Referenz verglichen.

Ist im System nur eine biometrischen Referenz gespeichert, verhält sich die biometrische Identifizierung wie eine biometrische Verifizierung. Beispiel: Einsatz im Handy, das nur von seinem Besitzer genutzt werden soll. Andernfalls lässt sich die biometrische Verifizierung als Grenzfall der biometrischen Identifizierung betrachten.

1. Die biometrische Verifizierung ist wesentlich schneller als die biometrische Identifizierung, wenn die Zahl der biometrischen Referenzen sehr hoch ist.
2. Die biometriche Verifizierung ist biometrisch deutlich performanter als die biometrische Identifizierung, insbesondere, wenn die Zahl der biometrischen Referenzen sehr hoch ist.

Bei einer positiven Identifizierung ist der Nutzer an einer Identifikation interessiert, bei einer negativen Identifizierung versucht er sie zu vermeiden. Beispielsweise ist ein Dieb nicht daran interessiert, durch Vergleich von am Tatort hinterlassenen Latenzfingerabdrücken mit seinen Fingerabdrücken identifiziert zu werden. Dies wäre eine negative Identifizierung. Wenn ich hingegen berechtigt bin, mein Büro zu betreten, bin ich stark an einer Identifikation z.B. durch ein Iriserkennungssystem interessiert. Dies ist ein Beispiel für eine positive Identifizierung.

Der Unterschied zwischen positiver und negativer Identifizierung wirkt sich vor allem hinsichtlich der Nutzerkooperation aus. Im negativen Fall kann man selbst dann nicht von einer kooperativen Haltung des zu Identifizierenden bei der Merkmalsaufnahme ausgehen, wenn er "unschuldig" ist. Deshalb ist eine negative Identifizierung oft unter Beobachtung durchzuführen. Sogar der Sensor kann von der Art der Identifizierung betroffen sein: Negative Fingerabdruckidentifizierung benötigt wenigstens für den Enrolmentprozess einen Sensor, der den vollen Fingerabdruck aller 10 Finger aufnehmen kann.

Kriminalistik

• Vergleich  von Tatortspuren mit hinterlegten oder nachträglich erfassten biometrischen Daten
• Beispiele: Fingerprint, DNS

Sicherung

Authentifizierung eines Users und daraus abgeleitete Berechtigungen

Beispiel: Zutrittsberechtigung per Stimme und Ausweis

Komfort

• Identifizierung einer Person und daraus abgeleitete persönliche Einstellungen
• Beispiel: Einstellung der Autositze, -spiegel usw. per Gesichtserkennung

ISO/IEC JTC1 SC 37 (Welt)

DIN NI-37 (Deutschland)

Biometriespezifische Normen sind zum Teil noch in Arbeit oder wurden zur Standardisierung bei ISO eingereicht. Abgeschlossene Projekte mit IS-Status (International Standard) sind fett gedruckt. Zu den zu bearbeitenden Themen gehören u.a. (Stand 2010-08-07):
 

Working number	Titel
19784-1	Biometric Application Programming Interface Part 1: The BioAPI Specification
19784-2	Biometric Application Programming Interface Part 2: Biometric Archive Function Provider Interface
19784-3	Biometric Application Programming Interface Part 3: BioAPI Lite
19784-4	Biometric Application Programming Interface Part 4: Biometric Sensor Function Provider Interface.
19785-1	Common Biometric Exchange Framework Format - Part 1: Data Element Specification
19785-2	Common Biometric Exchange Framework Format - Part 2: Procedures for the operation of the biometric registration authority
19785-3	Common Biometric Exchange Framework Format - Part 3: Patron Format Specification
19785-4	Common Biometric Exchange Framework Format - Part 4: Security Block Format Specification
19794-1	Biometric data interchange formats Part 1: Framework
19794-2	Biometric data interchange formats Part 2: Finger Minutiae Data
19794-3	Biometric data interchange formats Part 3: Finger Pattern Spectral Data
19794-4	Biometric data interchange formats Part 4: Finger Image Data
19794-5	Biometric data interchange formats Part 5: Face Image Data
19794-6	Biometric data interchange formats Part 6: Iris Image Data
19794-7	Biometric data interchange formats Part 7: Signature/Sign Time Series Data
19794-8	Biometric data interchange formats Part 8: Finger Pattern Skeletal Data
19794-9	Biometric data interchange formats Part 9: Vascular Biometric Image Data
19794-10	Biometric data interchange formats Part 10: Hand Geometry Silhouette Data
19794-11	Biometric data interchange formats Part 11: Signature/Sign Processed Dynamic Data
19794-12	Biometric data interchange formats Part 12: Face Identity Data
19794-13	Biometric data interchange formats Part 13: Voice Data
19794-14	Biometric data interchange formats Part 14: DNA Data
19795-1	Biometric Performance Testing and Reporting - Part 1: Principles and Framework
19795-2	Biometric Performance Testing and Reporting - Part 2: Testing Methodologies for Technology and Scenario Testing
19795-3	Biometric Performance Testing and Reporting - Part 3: Modality-Specific Testing
19795-4	Biometric Performance Testing and Reporting - Part 4: Interoperability Performance Testing
19795-5	Biometric Performance Testing and Reporting - Part 5: Scenario Evaluation of Biometric Access Control Systems
19795-6	Biometric Performance Testing and Reporting - Part 6: Testing Methodologies for Operational Evaluation
19795-7	Biometric Performance Testing and Reporting - Part 7: Testing of ISO/IEC 7816-based Verification Algorithms
24708	Biometric Interworking Protocol (BIP)
24709-1	BioAPI Conformance Testing – Part 1: Methods and Procedures
24709-2	BioAPI Conformance Testing – Part 2: Test Assertions for Biometric Service Providers
24709-3	BioAPI Conformance Testing – Part 3: Test Assertions for BioAPI Frameworks
24709-4	BioAPI Conformance Testing – Part 4: Test Assertions for Biometric Applications
24713-1	Biometric Profiles for Interoperability and Data Interchange - Part 1: Overview of biometric systems and biometric profiles
24713-2	Biometric Profiles for Interoperability and Data Interchange - Part 2: Physical Access Control for Employees at Airports
24713-3	Biometric Profiles for Interoperability and Data Interchange - Part 3: Biometric-Based Verification and Identification of Seafarers
24714-1	Technical Report on Cross-Jurisdictional and Societal Aspects of Implementation of Biometric Technologies - Part 1: General guidance
24714-2	Technical Report on Cross-Jurisdictional and Societal Aspects of Implementation of Biometric Technologies - Part 2: Practical Application to Specific Contexts
24722	Technical Report on Multi-Modal and Other Multi-Biometric Fusion
24741	Technical Report For a Biometric Tutorial
24745	Biometric template protection
24779-1	Cross-Jurisdictional and Societal Aspects of Implementation of Biometric Technologies - Pictograms, Icons and Symbols for Use with Biometric Systems - Part 1
24779-2	Cross-Jurisdictional and Societal Aspects of Implementation of Biometric Technologies - Pictograms, Icons and Symbols for Use with Biometric Systems – Part 2: Fingerprint applications
29109-1	Conformance Testing Methodology for Biometric Data Interchange Records as defined in ISO/IEC 19794 Biometric Data Interchange Format Standard - Part 1: Generalized Conformance Testing Methodology
29109-2	Conformance Testing Methodology for Biometric Data Interchange Records as defined in ISO/IEC 19794 Biometric Data Interchange Format Standard - Part 2: Finger Minutiae Data
29109-4	Conformance Testing Methodology for Biometric Data Interchange Records as defined in ISO/IEC 19794 Biometric Data Interchange Format Standard - Part 4: Finger Image Data
29109-5	Conformance Testing Methodology for Biometric Data Interchange Records as defined in ISO/IEC 19794 Biometric Data Interchange Format Standard - Part 5: Face Image Data
29109-6	Conformance Testing Methodology for Biometric Data Interchange Records as defined in ISO/IEC 19794 Biometric Data Interchange Format Standard - Part 6: Iris Image Data
29109-7	Conformance Testing Methodology for Biometric Data Interchange Records as defined in ISO/IEC 19794 Biometric Data Interchange Format Standard - Part 7: Signature/Sign Series Data
29109-8	Conformance Testing Methodology for Biometric Data Interchange Records as defined in ISO/IEC 19794 Biometric Data Interchange Format Standard - Part 8: Finger Pattern Skeletal Data
29109-9	Conformance Testing Methodology for Biometric Data Interchange Records as defined in ISO/IEC 19794 Biometric Data Interchange Format Standard - Part 9: Vascular image data
29109-10	Conformance Testing Methodology for Biometric Data Interchange Records as defined in ISO/IEC 19794 Biometric Data Interchange Format Standard - Part 10: Hand Geometry Silhouette Data
29109-13	Conformance Testing Methodology for Biometric Data Interchange Records as defined in ISO/IEC 19794 Biometric Data Interchange Format Standard - Part 13: Voice Data
29109-14	Conformance Testing Methodology for Biometric Data Interchange Records as defined in ISO/IEC 19794 Biometric Data Interchange Format Standard - Part 14: DNA Data
29120-1	Machine readable test data for biometric testing and reporting
29129	Tenprint Capture Using BioAPI
29141	Tenprint capture using biometric application programming interface (BioAPI)
29159-1	Biometric Calibration and Augmentation Data - Part 1: Fusion Information Format
29164	BioAPI Lite
29794-1	Biometric Sample Quality Standard Part 1: Framework
29794-4	Biometric Sample Quality Standard Part 4: Finger Image
29794-5	Biometric Sample Quality Standard Part 5: Face Image

Nein. Innerhalb der Arbeitsgruppe 1 von ISO/IEC JTC 1/ SC37 wird derzeit allerdings ein englischsprachiges Dokument namens "Harmonized Biometric Vocabulary" erarbeitet. Eine gelegentlich aktualisierte Zwischenversion dieses Vokabulars findet sich unter Informationsquellen. Für die Übersetzungen sind die nationalen Normungsgremien zuständig.

Zur Erfassung und Umwandlung der biometrischen Charakteristika in computergerechte Informationen benötigt man geeignete Datenerfassungsgeräte bzw. Sensoren, siehe Tabelle.

Sicherlich gibt es mehr oder weniger große Unterschiede in den Kosten der einzelnen Sensoren. Jedoch darf man nicht vergessen, dass in vielen technischen Geräten bereits Sensoren eingebaut sind, die sich dann fast zum Nulltarif für die Messung der biometrischen Charakteristika nutzen lassen.

Woraus besteht ein biometrisches Authentifizierungssystem?

Grundsätzlich besteht ein biometrisches Authentifizierungssystem aus

• einem Sensor zur Aufnahme des biometrischen Charakteristikums
• einer Recheneinheit zur Verarbeitung und evtl. zur Speicherung der biometrischen Daten
• und der Anwendung, für die der Betroffene die Berechtigung nachweisen bzw. sich authentifizieren lassen möchte


Die Verarbeitungseinheit setzt sich im Detail zusammen aus (vgl. biometrische Erkennung)
 

• einem Merkmalsextrahierer, der aus den vom Sensor gelieferten Rohdaten (biometrisches Sample) die Einmaligkeitsdaten herausfiltert und in einem biometrischen Merkmalsdatensatz zusammenfasst,
• einem "Vergleicher", der die biometrischen Merkmale mit einem oder mehreren biometrischen Referenzen vergleicht und das Ergebnis als "Score"-Werte weitergibt,
• sowie einem Entscheider, der den oder die Scorewerte in Bezug zu einem Schwellwert setzt und daraus im Fall der Authentifizierung eine zweiwertige Entscheidung ableitet (berechtigt oder nicht berechtigt).

Die Rechenleistung ist prinzipiell für den Prozess der Mustererkennung [Wikipedia] erforderlich. Sie bewegt sich für alle biometrischen Charakteristika typischerweise im Bereich von 100 Mill. Operationen pro Sekunde und ist deshalb problemlos von moderner, kostengünstiger Hardware (PC, DSP [Wikipedia]) aufzubringen.

Voraussetzung für eine Authentifizierung ist das so genannte Enrolment, bei dem die biometrischen Merkmale einer Person als Referenz entweder dezentral auf einer Chipkarte oder im PC oder zentral in einer Datenbank abgespeichert und bei Bedarf einem Namen zugeordnet wird. Da die Qualität des Enrolmentergebnisses ganz wesentlich über die Leistungsfähigkeit der Authentifizierung entscheidet, muss die Durchführung besonders sorgfältig erfolgen. Es versteht sich von selbst, dass das Enrolment in einer vertrauenswürdigen Umgebung stattfinden muss.

Bei einer Authentifizierung erfolgt eine erneute Aufnahme des biometrischen Charakteristikums. Diesmal wird es nicht abgespeichert, sondern mit einer oder mehreren Referenzen verglichen. Ergibt der Vergleich eine ausreichende Ähnlichkeit, kann z.B. eine Freigabe der zugehörigen Anwendung erfolgen.

Die meisten biometrischen Systeme führen im Detail folgende Arbeitsschritte durch:

• Aufnahme eines die zu extrahierenden biometrischen Merkmale enthaltenden Datensatzes (z.B. Bild oder Ton), genannt biometrisches Sample, mittels Datenerfassungseinheit incl. Sensor
• Überprüfung der Datenqualität; bei unzureichender Qualität sofortige Abweisung oder Ausgabe geeigneter Nutzerhinweise zur Verbesserung der Datenaufnahme
• Extraktion der biometrischen Merkmale aus dem Datensatz und Bildung eines biometrischen Merkmalsdatensatzes
• Beim Enrolment: Speicherung der biometrischen Merkmale als "Referenz" im "Referenzarchiv"
• Bei der Authentifizierung: Vergleich des aktuellen biometrischen Merkmals mit der Referenz und Bildung eines Wertes zur Angabe der Übereinstimmung ("Score")
• Bei der Authentifizierung: Überschreitet der Scorewert eine voreingestellte Schwelle, erfolgt Authentifikation, andernfalls wird die Anfrage abgelehnt

In der Biometrie bietet sich der Einsatz von Chipkarten an, um durch Kombination mit "Besitz" die Wahrscheinlichkeit von Falsch-Authentifikationen weiter zu reduzieren. Dazu werden in der Chipkarte nicht nur die biometrischen Referenzen abgespeichert, sondern auch die Identitätsdaten des Anwenders. Zur Authentifizierung ist die Karte dann zwingend zusammen mit der Erfassung des biometrischen Charakteristikums erforderlich. Es ergeben sich folgende Vorteile:

• Keine Eingabe der Anwender-ID über Tastatur erforderlich
• Keine zentrale Referenzdatenbank erforderlich
• Kompromittierung der biometrischen Charakteristika ohne Besitz der Karte unkritisch
• Bei Anwendung einer Chipkarte mit integriertem Kryptoprozessor und Vergleicher sind Systeme konzipierbar, die eine Kompromittierbarkeit durch Auslesen und Entschlüsseln der biometrischen Daten fast vollständig ausschließen.
• Bei Kartendiebstahl kann Kartensperrung und Ausstellung einer neuen Karte veranlasst werden. Dazu ist lediglich ein auf der (Krypto-) Karte nicht auslesbar abgespeicherter geheimer Schlüssel zu wechseln.


Ein noch höherer Schutz gegen Falschauthentifikation als durch Einsatz einer Kryptokarte lässt sich durch Integration des biometrischen Sensors in die Karte erzielen. Dies ermöglicht einen wirksameren Schutz gegen das Einspielen von kompromittierten Datensätzen, wenn der Sensor kartenextern nicht "abhörbar" ist und die einzige Schnittstelle für die Eingabe biometrischer Daten darstellt. Allerdings liefern heutige Chipkarten noch nicht die hohe Rechenleistung, die für die dann auf der Karte erforderliche Merkmalsextraktion benötigt wird.

Bei "Template on Card" ist die biometrische Referenz als biometrisches Template elektronisch in einer Chipkarte gespeichert. Hier gibt es verschiedene Möglichkeiten:

1. Die Chipkarte ist eine reine Speicherkarte, die Speicherung erfolgt unverschlüsselt
2. wie 1, jedoch mit verschlüsselter Speicherung
3. Die Chipkarte ist eine Prozessorkarte (und bietet geheime Speicherungsmöglichkeiten)
4. Die Chipkarte ist eine Prozessorkarte mit Kryptofunktion

Die genannten Möglichkeiten erfüllen in aufsteigender Reihenfolge steigende Sicherheitsanforderungen. In allen Fällen ist zu beachten, dass die Kommunikationspartner der Chipkarte die Sicherheit des Gesamtsystems mitbestimmen.

Wir betrachten folgende Implementierungsmöglichkeiten:

Die Chipkarte ist eine reine Speicherkarte, die Speicherung erfolgt unverschlüsselt

Über einen biometrischen Sensor erfolgt im Rahmen des Enrolments zunächst die Merkmalsextraktion innerhalb des PCs mit anschließender Abspeicherung der extrahierten Referenz auf der Chipkarte. Zum Zwecke der Authentifizierung steckt der Zugangssuchende seine Chipkarte in den Chipkartenleser und lässt sein biometrisches Charakteristikum erneut erfassen. Das erfasste Charakteristikum wird nach Extraktion im PC mit der von der Chipkarte ausgelesenen biometrischen Referenz im PC verglichen. Ergibt der Vergleich ausreichende Übereinstimmung, erfolgt die volle Freigabe zum Netzzugang, indem der PC das auf dem PC verschlüsselt abgespeicherte Passwort dem Server entschlüsselt zuschickt.

Die Chipkarte ist eine reine Speicherkarte, die Speicherung erfolgt verschlüsselt

Siehe oben. Zusätzlich erfolgt jedoch eine Entschlüsselung der Referenz von der Karte auf dem PC oder besser auf dem Server mit einem dort geschützt abgelegten Schlüssel. Alternativ sollte der Vergleichsvorgang ebenfalls auf dem Server erfolgen.  Dazu werden die aktuell erfassten extrahierten biometrischen Merkmale gesichert vom PC zum Server übertragen.

Die Chipkarte ist eine Prozessorkarte mit Kryptofunktion

Der Kommunikationspartner der Kryptokarte sind der PC, der biometrische Sensor und ein geschützter Server. Bei einem Anmeldeversuch bauen Kryptokarte und Server eine gesicherte Verbindung auf. Der Server holt sich den Referenzdatensatz von der Kryptokarte. Parallel extrahiert der PC die biometrischen Merkmale des vom Sensor kommenden biometrischen Samples und sendet sie (eventuell über Einmalschlüssel abgesichert) zum Server, wo sie mit den biometrischen Referenzen von der Karte verglichen werden. Ist der Vergleich positiv, erfolgt die PC-Freigabe auf die Netz-Laufwerke.

Bei Chipkarten mit integriertem Matcher erfolgt nicht nur die Speicherung, sondern auch der Vergleich der biometrischen Referenz mit den Anfragemerkmalsdaten auf der Karte. Die Karte benötigt deshalb einen integrierten Prozessor ("Smartcard").

Vorteile gegenüber allen anderen Lösungen

• Anwendungen, die bisher mit PIN-Authentifizierung auf einer Smartcard gearbeitet haben, lassen sich ohne Umstellung der Infrastruktur auf Biometrie erweitern. Beispiel: SIM-Karte beim GSM-Mobiltelefon. Selbst bei Verlust des Mobiltelefons und/oder der SIM-Karte ist kein unberechtigter Zugang zum Netz zu befürchten.
• Da das Template die Karte nicht verlassen muss, ist ein besserer Datenschutz gewährleistet - aber nur dann, wenn der Nutzer auch die Datenaufnahme unter seiner vollständigen Kontrolle hat (Beispiel: Handy).

Nachteile

Auf der Smartcard steht nur eine sehr begrenzte Rechen- und Speicherleistung zur Verfügung. Dies bedingt Abstriche bei der biometrischen Performanz der Verifizierung.

Falschakzeptanzrate (FAR)

Die FAR ist die Häufigkeit, mit der nichtberechtigte Personen als berechtigt akzeptiert werden. Da eine falsche Akzeptanz in der Regel zu Schäden führt, ist die FAR ein sicherheitsrelevantes Maß. FAR ist eine nichtstationäre statistische Größe, die eine starke individuelle Abhängigkeit aufweist. Sie lässt sich für jedes einzelne biometrische Charakteristikum separat bestimmen und wird in diesem Fall "persönliche FAR" genannt.

Falschrückweisungsrate (FRR)

Die FRR ist die Häufigkeit, mit der berechtigte Personen unberechtigterweise zurückgewiesen werden. Die FRR ist in der Regel ein Komfortmerkmal, da falsche Abweisungen vor allem lästig sind. FRR ist eine nichtstationäre statistische Größe, die eine starke individuelle Abhängigkeit aufweist. Sie lässt sich für jedes einzelne Charakteristikum separat bestimmen und wird in diesem Fall "persönliche FRR" genannt.

Nutzerausfallrate (FTE = Failure To Enrol, auch FER)

Die Nutzerausfallrate ist der Anteil an Personen, die (auch temporär) nicht enrolt werden können. FER ist eine nichtstationäre statistische Größe, die eine starke individuelle Abhängigkeit aufweist. Sie lässt sich für jedes einzelne biometrische Charakteristikum separat bestimmen und wird in diesem Fall "persönliche FER" genannt.

Werden bereits enrolte Personen auch nach mehreren Verifizierungsversuchen fälschlicherweise zurückgewiesen, spricht man von Failure To Acquire (FTA). FTA kann durch temporär nicht messbare biometrische Charakteristika verursacht sein ("Verband", unzureichende Sensorbildqualität etc.). FTA-Raten tragen zur FRR bei und müssen nicht gesondert aufgeführt werden, siehe FNMR und FMR.

Falschidentifikationsrate (FIR)

Die Falschidentifikationsrate ist die Häufigkeit, mit der im Fall einer Identifizierung eine falsche Zuordnung des biometrischen Merkmals zu einer Referenz erfolgt. Die genaue Definition hängt von der Zuordnungsstrategie ab, da bei einer Identifizierung nach dem Merkmalsvergleich oft mehrere Referenzmerkmale zur Endauswahl stehen.

Weitere implizite Messgrößen

False Match Rate (FMR). Die FMR gibt den Anteil der beim Merkmalsvergleich fälschlicherweise erkannten Personen an. Vorher auf Grund schlechter (Bild-)qualität abgewiesene Versuche (Failure to Acquire, FTA) werden im Gegensatz zur FAR nicht berücksichtigt. Man beachte, dass es von der Anwendung abhängt, ob ein falsch erkanntes biometrisches Charakteristikum zur Erhöhung der FAR oder der FRR beiträgt. (Es gibt Anwendungen, die eine erfolgreiche Erkennung als Rückweisung definieren, wenn z.B. die Doppelausstellung eines Ausweises für eine Person mit falscher Identität durch Vergleich der aktuellen Referenzmerkmale mit den zentral gespeicherten aller bisher ausgestellten Ausweise verhindert wird.)
False Non-Match Rate (FNMR). Die FNMR gibt den Anteil der beim Merkmalsvergleich fälschlicherweise nicht erkannten Personen an. Vorher auf Grund schlechter (Bild-)qualität abgewiesene Versuche (Failure to Acquire, FTA) werden im Gegensatz zur FRR nicht berücksichtigt. Von der Anwendung hängt es wiederum ab, ob ein falsch nicht erkanntes biometrisches Charakteristikum zur Erhöhung der FRR oder der FAR beiträgt.

Auf Grund der statistischen Natur der Nutzerausfallrate ist zur Sicherstellung brauchbarer Ergebnisse eine große Zahl von Enrolmentversuchen durchzuführen. Ein Enrolment kann erfolgreich oder nicht erfolgreich sein. Die Wahrscheinlichkeit für einen Misserfolg FER(n) für eine bestimmte Person (oder ein bestimmtes Feature) n ist gegeben durch:
 

FER(n) =

Zahl der misslungenen Enrolmentversuche für eine Person (oder Merkmal) n  Gesamtzahl der Enrolmentversuche für eine Person (oder Merkmal) n

Die Genauigkeit steigt dabei mit zunehmender Zahl unabhängiger Versuche pro Person/Merkmal n. Die globale FER für N Versuchsteilnehmer ist definiert als der Mittelwert über alle FER(n):
 

FER =

1 N

N n=1

FER(n)

Die Genauigkeit steigt wiederum mit der Zahl der Versuchsteilnehmer (N). Alternativ lässt sich auch der Medianwert angeben.

Schließlich ist noch das Ergebnis eines Enrolmentversuchs genau zu definieren:

Ein Enrolmentversuch ist erfolgreich, wenn das Benutzerinterface der Anwendung eine "Erfolgreich"- oder "Beendigungs"-Meldung herausgibt.
Ein Enrolmentversuch gilt als fehlgeschlagen, wenn das Benutzerinterface eine "Misserfolgs"-Meldung ausgibt. In Fällen, in denen kein definierter Abschluss erfolgt, ist zur Sicherstellung der Vergleichbarkeit ein festes Enrolmentzeitintervall anzusetzen, nach dessen Ablauf von einem Misserfolg auszugehen ist.

Obwohl die Falschrückweisungsrate FRR intuitiv einfach zu verstehen ist, kann eine eindeutige oder zumindest universelle Definition große Schwierigkeiten bereiten. Folgende Dinge sind zu berücksichtigen:

• Die FRR ist eine statistische Größe, deren Bestimmungsgenauigkeit von der Zahl der Messungen abhängt. Sie ist nicht nur vom biometrischen System, sondern auch vom Nutzer abhängig. Es gibt also eine persönliche FRR. Will man über eine große Zahl von Personen mitteln, ist zu beachten, dass das Endergebnis nicht durch einzelne Personen verfälscht wird. Dies könnte dadurch geschehen, dass die Zahl der Versuche nicht für alle Personen gleich ist. Man umgeht das Problem, indem man zunächst die persönlichen FRRs bestimmt und dann über diese mittelt (oder den Medianwert bestimmt, was aber andere Werte liefert!).
• Es ist genau zu klären, was man unter Zurückweisung verstehen will. Hier spielt z. B. die Zahl der Erkennungsversuche bis zur endgültigen Feststellung einer fehlgeschlagenen Erkennung eine Rolle. Es gibt Systeme, die eine Verifizierung in Echtzeit kontinuierlich durchführen können. Hier bietet sich an, ein Verifizierungszeitfenster festzulegen.
• Viele biometrischen Systeme lehnen eine Verifikation auf Grund schlechter Bildqualität ab (Beispiele: verschmutzte oder glattgeschliffene Finger bei der Fingerprintverifizierung, starke Umgebungsgeräusche bei der Stimmerkennung oder ungünstige Beleuchtung bei der Gesichtserkennung, Sensorprobleme). Soweit sich solche Probleme nicht auf Fehlbedienung zurückführen lassen, sind auch Bildqualitätsabweisungen falsche Rückweisungen, denn dem Anwender ist es gleich, warum er nicht erkannt wurde.
• Selbst die persönliche FRR kann mit der Zeit variieren. Sie sinkt z. B. im Laufe der Zeit, wenn der Anwender das System häufig nutzt und dadurch lernt, falsche Rückweisungen zu vermeiden. In solchen Fällen ist es höchstens für Vergleiche sinnvoll, die FRR während der Lernphase zu ermitteln.
• Falls eine Lebend-/Fälschungserkennung zum Einsatz kommt, ist diese bei der Bestimmung der FRR zu berücksichtigen!

Auf Grund der statistischen Natur der Falschrückweisungsrate ist zur Sicherstellung brauchbarer Ergebnisse eine große Zahl von Verifizierungen durchzuführen. Eine Verifizierung kann erfolgreich oder nicht erfolgreich sein. Bei der Bestimmung der FRR werden nur erfolgreich enrolte Nutzer berücksichtigt. Die Wahrscheinlichkeit für einen Misserfolg FRR(n) für eine bestimmte Person (oder ein bestimmtes Feature) n ist gegeben durch:
 

FRR(n) =

Zahl der zurückgewiesenen Verifizierungsversuche für eine berechtigte Person (oder Merkmal) n  Zahl aller Verifizierungsversuche einer berechtigten Person (oder Merkmal) n

Die Genauigkeit steigt dabei mit zunehmender Zahl unabhängiger Versuche pro Person/Merkmal n. Die globale FRR für N Versuchsteilnehmer ist definiert als der Mittelwert über alle FRR(n):
 

FRR =

1 N

N n=1

FRR(n)

Die Genauigkeit steigt wiederum mit der Zahl der Versuchsteilnehmer (N). Alternativ lässt sich auch der Medianwert angeben.

Wichtig: Die auf diese Weise bestimmte FRR beinhaltet sowohl schlechte Bildqualität vom Sensor als auch andere Ablehnunggründe wie Merkmalspositionierung, -verdrehung. In vielen Systemen sind Ablehnungen auf Grund mangelhafter Qualität unabhängig vom Schwellwert.

Die FRR nach der Qualitätsauslese (das heißt, ohne Berücksichtigung der Qualitätsablehnungen!) ließe sich auch definieren als
 

Zahl der zurückgewiesenen  "qualifizierten" Versuche  Gesamtzahl der "qualifizierten" Versuche

Eine derartig definierte FRR liefert zwar im Allgemeinen bessere Datenblattwerte, aber diese Zahlen spiegeln nicht die Wirklichkeit aus Sicht des Anwenders wider, dem es egal ist, ob er wegen unzureichender Merkmalsqualität oder wegen einer falschen Vergleichs-Entscheidung abgelehnt wird.

Schließlich ist noch das Ergebnis eines Verifizierungsversuchs genau zu definieren:

Ein Verifizierungsversuch ist erfolgreich, wenn das Benutzerinterface der Anwendung eine "Erfolgreich"-Meldung herausgibt oder aber der gewünschte Zutritt/Zugriff gewährt wird.
Ein Verifizierungsversuch zählt als abgelehnt, wenn das Benutzerinterface eine "Ablehnungs"-Meldung ausgibt. In Fällen, in denen keine Reaktion erfolgt, ist zur Sicherstellung der Vergleichbarkeit ein festes Verifizierungszeitintervall anzusetzen, nach dessen Ablauf von einer Ablehnung auszugehen ist.

Ähnlich wie die FRR, kann auch die Falschakzeptanzrate unterschiedlich festgelegt sein:

• Die FAR ist eine statistische Größe, deren Bestimmungsgenauigkeit von der Zahl der Messungen abhängt. Sie ist nicht nur vom biometrischen System, sondern auch vom Nutzer abhängig. Es gibt also eine persönliche FAR. Will man über eine große Zahl von Personen mitteln, ist zu beachten, dass das Endergebnis nicht durch einzelne Personen verfälscht wird. Dies könnte dadurch geschehen, dass die Zahl der Versuche nicht für alle Personen gleich ist. Man umgeht das Problem, indem man zunächst die persönlichen FARs bestimmt und dann über diese mittelt (oder den Medianwert bestimmt, was aber andere Werte liefert!). Bei der FAR-Bestimmung ist es in der Regel einfacher, die Zahl der Erkennungsversuche auf eins zu beschränken, da weitere Versuche pro Person zwar die ROC-Kurven glätten, aber wenig zur statistischen Signifikanz beitragen.
• Hat das biometrische System ein Bildqualitätsmanagement, das einen fremden Nutzer bei schlechter Bildqualität bereits vor einem biometrischen Vergleich abweist (Beispiele siehe hier), so ist dies natürlich ebenfalls eine berechtigte Ablehnung, die zur Verbesserung der FAR beiträgt.

Stark konditionierte biometrische Charakteristika (Stimme, Unterschrift) laden zur bewussten Fälschung durch Nachahmung ein. Bei der Bestimmung der FAR ist festzulegen, ob der Test einfach nur gegen fremde biometrische Charakteristika erfolgt oder aber gegen bewusste Fälschungen. Die Unterschiede können gravierend sein.

Auf Grund der statistischen Natur der Falschakzeptanzrate ist zur Sicherstellung brauchbarer Ergebnisse eine große Zahl von "Angriffen" durchzuführen. Eine Angriff kann erfolgreich oder nicht erfolgreich sein. Die Wahrscheinlichkeit für einen Erfolg (FAR(n)) für einen Angriff gegen eine bestimmte enrolte Person n (oder ein bestimmtes Charakteristikum n) ist gegeben durch:
 

FAR(n) =

Zahl der erfolgreichen unabhängigen Angriffe gegen eine Person (oder Charakteristikum) n  Gesamtzahl der unabhängigen Angriffe gegen eine Person (oder Charakteristikum) n

Die Genauigkeit steigt dabei mit zunehmender Zahl unabhängiger Angriffe pro Person/Charakteristikum n. Unabhängigkeit bedeutet in diesem Zusammenhang, dass die Angriffe mit unterschiedlichen Personen bzw. Charakteristika durchzuführen sind! Die globale FAR für N enrolte Versuchsteilnehmer ist definiert als der Mittelwert über alle FAR(n):
 

FAR =

1 N

N n=1

FAR(n)

Die Genauigkeit steigt wiederum mit der Zahl der Versuchsteilnehmer (N). Alternativ lässt sich auch der Medianwert angeben.

Ob eine korrekte Ablehnung auf Grund schlechter Merkmalsqualität oder wegen der Nichtberechtigung des Angreifers erfolgte, bleibt nach dieser Definition (wie auch im wirklichen Leben) ohne Belang.

Die entscheidende Zahl zur Abschätzung der statistischen Signifikanz ist die Zahl der unabhängigen Versuche. Offensichtlich sind 2 Versuche, bei denen wechselweise eine Person die Referenz und die andere Person die Anfrage stellt, nicht unabhängig voneinander. Diese doppelten Versuche sind von der Anzahl aller Anfragen nichtberechtigter Personen abzuziehen. Ebenso gelten Mehrfach-Versuche einer nichtberechtigten Person bzw. mit dem selben Charakteristikum als abhängig und sind deshalb für die statistische Signifikanz ohne Bedeutung.

Schließlich noch folgendes zu klären bzw. zu definieren:

• Was ist ein Angriff?
• Wie ist das Ergebnis eines Angriffs genau definiert?

Üblicherweise wird bei der FAR-Bestimmung unter Angriff nur die Benutzung der biometrischen Charakteristika nicht berechtigter Personen verstanden. Dies kann jedoch eine falsche Sicherheit vorspiegeln, denn die Liste weiterer Angriffsmöglichkeiten ist lang.

Ein Angriffsversuch ist erfolgreich, wenn das Benutzerinterface der Anwendung eine "Erfolgreich"-Meldung herausgibt oder aber der gewünschte Zutritt/Zugriff gewährt wird.
Ein Angriffsversuch gilt als abgelehnt, wenn das Benutzerinterface der Anwendung eine "Ablehnungs"-Meldung ausgibt. In Fällen, in denen keine Reaktion erfolgt, ist zur Sicherstellung der Vergleichbarkeit ein festes Verifizierungszeitintervall anzusetzen, nach dessen Ablauf von einer Ablehnung auszugehen ist.

Um die Performanz eines biometrischen Verifizierungssystems zu ermitteln, untersucht man die Reaktion des Systems auf eine große Zahl von Anfragen mit den biometrischen Charakteristika sowohl des Berechtigten als auch einer Vielzahl von Nichtberechtigten. Auf Grund natürlicher Schwankungen und messtechnischer Unvollkommenheiten ist das Ergebnis einer solchen Anfrage nie mit absoluter Sicherheit, sondern nur mit begrenzter Genauigkeit vorhersagbar. Um an die Wahrscheinlichkeitsdichtefunktion der beiden Fehlerarten "Falschakzeptanz" und "Falschrückweisung" zu kommen, nutzt man nicht das Ergebnis der Ja/Nein-Entscheidung "berechtigt - nichtberechtigt" sondern ein dieser Entscheidung zu Grunde liegendes Maß der Ähnlichkeit einer Anfrage mit dem abgespeicherten Referenzmerkmal. In je einer Messreihe sammelt man die Ähnlichkeitswerte für den Berechtigten und die Nichtberechtigten. Sodann wird für jeden Ähnlichkeitswert die Häufigkeit des Auftretens gezählt. Die sich daraus ergebenden beiden Histogramme sind, normiert mit der Gesamtzahl der Anfragen, Annäherungen an die gesuchten Wahrscheinlichkeitsdichtefunktionen. Sie stellen eine messtechnische Abschätzung der Wahrscheinlichkeit des Auftretens eines bestimmten Ähnlichkeitswerts (n) für den Berechtigten (p_B(n)) und die Nichtberechtigten (p_N(n)) dar:
 

pB(n) ~

Anzahl der Messungen mit dem Ähnlichkeitswert n für den Berechtigten Gesamtzahl der Messungen für den Berechtigten

 
 

pN(n) ~

Anzahl der Messungen mit dem Ähnlichkeitswert n für die Nichtberechtigten Gesamtzahl der Messungen für die Nichtberechtigten

Je höher die Gesamtzahl der Messungen, desto genauer ist die Abschätzung. (Siehe "Statistische Signifikanz". Eine mathematische Bestimmung der Wahrscheinlichkeiten als Verhältnis der relevanten Möglichkeiten zur Gesamtzahl der Möglichkeiten scheitert in der Biometrie daran, dass es (anders als beim Würfel) einfach zu viele Möglichkeiten gibt, um diese alle erfassen zu können.)

Im praktisch leider nicht erreichbaren Idealfall zeigen beide Verteilungskurven keine Überlappung. Das bedeutet, Anfragen Nichtberechtigter erzielen sehr kleine Ähnlichkeitswerte, Anfragen Berechtigter ausschließlich hohe Ähnlichkeitswerte. Damit ließe sich bequem ein Entscheidungsschwellwert definieren, so dass Berechtigte eindeutig von Nichtberechtigten unterscheidbar wären. In der Praxis gibt es jedoch immer eine Überlappung, man muss nur die Zahl der Anfragen groß genug machen. Hier ein typisches Diagramm:

Die Fehlerkurven FAR und FRR sind als die Wahrscheinlichkeiten definiert, dass ein Nichtberechtigter als berechtigt bzw. ein Berechtigter als nichtberechtigt angesehen wird, und zwar in Abhängigkeit einer einstellbaren Entscheidungsschwelle für die Ähnlichkeit der biometrischen Merkmale mit dem gespeicherten Referenztemplate. Die folgenden Ableitungen gelten für die Annahme, dass die Ähnlichkeit ganzzahlige Werte zwischen 0 und K annehmen kann, und dass der Einfachheit halber die Wahrscheinlichkeit für das Auftreten des Werts K gleich 0 ist. Das macht auch in der Praxis Sinn, wenn wir zunächst die FMR und die FNMR betrachten und später zur Gewinnung von FAR und FRR die schwellenunabhängigen Abweisungen auf Grund unzureichender Bildqualität hinzunehmen. Weiterhin gehen wir davon aus, dass für "Berechtigung" die Übereinstimmung zweier biometrischer Merkmalsdatensätze und für Nichtberechtigung die Nichtübereinstimmung zu fordern ist.

Ist ganz allgemein eine Wahrscheinlichkeitsdichtefunktion p für diskrete Ähnlichkeitswerte n gegeben, so ist die Wahrscheinlichkeit P_M(th) dafür, dass die biometrischen Merkmale mit ihrem Ähnlichkeitswert n einen Schwellwert th unterschreitet ("Fehltreffer", der Index M bedeutet "miss"), gegeben durch
 

PM(0)	:=	0
PM(th)	=	th-1 n=0	p(n)	th = 1, 2, 3, ..., K

Diese Formel ist nichts weiter als die Anwendung des Additionssatzes der Wahrscheinlichkeit, demzufolge P_M(th) die Summe der Wahrscheinlichkeiten p(n) aller Ereignisse n ist, die die Bedingung th < n erfüllen.

Da die Summe aus Treffern und Fehltreffern gleich der Zahl der Gesamtereignisse sein muss, gilt für die Wahrscheinlichkeit P_H(th), dass die biometrischen Merkmale mit ihrem Ähnlichkeitswert den Schwellwert th erreicht oder überschreitet ("Treffer", der Index H bedeutet "hit"):
 

PH(th) = 1- PM(th) =

K n=th

p(n)

th = 0, 1, 2, ..., K

Die False Match Rate FMR(th) approximiert die Wahrscheinlichkeit, dass der Ähnlichkeitswert zweier nichtidentischer biometrischer Merkmale die Schwelle th erreicht oder überschreitet. Deshalb gilt
 

FMR(th) ~ PH(th) = 1 -

th-1 n=0

pN(n)

th = 1, 2, 3, ..., K

Für die False Non-Match Rate FNMR(th) gilt dann analog
 

FNMR(th) ~ PM(th) =

th-1 n=0

pB(n)

th = 1, 2, 3, ..., K

wobei p_N die Wahrscheinlichkeitsdichtefunktion für die Nichtberechtigten und p_B die für den Berechtigten darstellt. Die Näherung "~" ist ein Hinweis darauf, dass nur der Erwartungswert der gemessenen Fehlerraten FMR und FNMR mit den Wahrscheinlichkeiten P_H bzw. P_M identisch ist. Für die Randwerte gilt sogar exakt:
 

FMR(0) = 1		FMR(K) = 0
FNMR(0) = 0		FNMR(K) = 1

Zur Berechnung der FAR und FRR ist die schwellenunabhängige Qualitätsrückweisungsrate QRR (je nach Definition gleich der FTA Rate) einzubeziehen. Es gilt dann für den Fall, dass eine fälschliche Akzeptanz einem fehlerhaften Merkmalsvergleich zugeordnet wird:
 
 

FAR(th) = (1 - QRR) FMR(th)

FRR(th) = QRR + (1 - QRR) FNMR(th)

Für die Randwerte bekommen wir entsprechend:
 

FAR(0) = 1 - QRR		FAR(K) = 0
FRR(0) = QRR		FRR(K) = 1

Legt man also einen Ähnlichkeitswert th als Schwelle für die Unterscheidung zwischen Berechtigten und Nichtberechtigten fest, so ergibt sich die experimentelle Abschätzung der Falschakzeptanzrate FAR(th) als Anzahl der oberhalb dieser Schwelle liegenden Ähnlichkeitswerte des Nichtberechtigten im Verhältnis zur Gesamtzahl der Versuche/Ähnlichkeitswerte. Umgekehrt setzt sich die Falschrückweisungsrate FRR(th) aus der unterhalb und auf der Schwelle liegenden Anzahl der Ähnlichkeitswerte des Berechtigten im Verhältnis zu dessen Gesamtzahl zusammen. Somit ergeben sich durch Integration (in der Praxis sukzessive Summation) der Wahrscheinlichkeitsdichtekurven die FAR- und FRR-Kurven in Abhängigkeit einer als einstellbar angenommenen Schwelle th. Hier ein typisches Ergebnis in linearer und logarithmischer Darstellung:

Das FAR/FRR-Kurvenpaar ist zwar hervorragend geeignet, einen optimalen Schwellwert für das biometrische System festzulegen. Weitere Aussagen über die Leistungsfähigkeit des Gesamtsystems sind jedoch nur beschränkt möglich. Der Grund dafür ist zum Teil die Interpretation des Schwellwerts bzw. des Ähnlichkeitsmaßes. Die Definition des Ähnlichkeitsmaßes ist eine Sache der Realisierung. So sind fast beliebige Skalierungen und Transformationen möglich, die zwar das Aussehen der FAR/FRR-Kurven beeinflussen, nicht aber die Wertepaare FAR-FRR zueinander. Gängiges Beispiel ist die Benutzung eines "Abstandmaßes" zwischen Referenzmerkmal und Anfragemerkmal. Je größer die Ähnlichkeit, desto kleiner der Abstand. Man erhält also eine Spiegelung der FAR/FRR-Kurven. Ein beliebtes Spiel ist es, den Arbeitsbereich der FAR/FRR-Kurven im Bereich der EER (Equal Error Rate: FAR(th) = FRR(th)) etwas zu dehnen, hier also mehr Schwellwerte zu spendieren, um das Verfahren weniger empfindlich gegen Schwellwertänderungen erscheinen zu lassen.

Um echte Vergleichbarkeit verschiedener Systeme zu erzielen, ist deshalb eine Darstellung erforderlich, die von Schwellwertskalierungen unabhängig ist. Eine solche Darstellung ist die aus der Radartechnik bekannte Receiver Operating Characteristic (ROC), die nichts weiter als die FRR-Werte gegen die FAR-Werte aufträgt und somit den Schwellenparameter eliminiert. Die ROC kann wie die FRR nur Werte zwischen 0 und 1 annehmen und ist auf den Bereich 0 bis 1 auf der x-Achse (FAR) beschränkt. Sie zeichnet sich durch folgende Eigenschaften aus:

• Die ideale ROC nimmt nur Werte auf der X (FAR)- und Y (FRR)-Achse an, d.h., wenn die FRR ungleich null ist, ist FAR null und umgekehrt.
• Der obere Punkt (lineare Darstellung, unter Verwendung der hier gemachten Definitionen) ist für alle Systeme durch FAR=0 und FRR=1 gegeben.
• Die ROC kann nicht ansteigen.

Da sich die ROC-Kurve bei guten Systemen sehr dicht an den Koordinatenachsen bewegt, ist es sinnvoll für eine oder beide Achsen einen logarithmischen Maßstab zu wählen:

Anmerkung 1: Anstelle von "ROC" wird auch der Begriff "DET" (Detection Error Tradeoff) benutzt. In diesen Fällen ist der Begriff "ROC" für die komplementäre Darstellung 1 - FRR gegen FAR reserviert.

Anmerkung 2: Häufig werden für ROC und DET anstelle der Systemfehlerraten FRR und FAR die Vergleichsfehlerraten FNMR und FMR herangezogen. Dies hat einige mathematische Vorteile, repräsentiert die Praxis aber nur dann vollständig, wenn FTE und FTA tatsächlich 0 sein sollten, so dass FRR = FNMR und FAR = FMR. Somit eignen sich ROCs und DETs auf der Basis von FNMR/FMR nur unter dieser (Ausnahme-) Bedingung als Vergleichmaßstab für Gesamtsysteme! Man beachte weiterhin, dass EER-Werte ebenfalls davon abhängen, ob sie auf der Basis FNMR/FMR oder FRR/FAR definiert sind. Ein Vergleich der EERs unterschiedlicher Systeme ist also nur dann sinnvoll, wenn die Definitionen übereinstimmen.

Während bei der Verifizierung nur der Vergleich des biometrischen Merkmals mit einer Referenz erfolgt, sind es bei der Identifizierung N (N>0) unterschiedliche Referenzen. Dies hat auf jeden Fall eine Erhöhung der FAR zur Folge, und zwar im Idealfall wie folgt:
 

FARN = 1 - (1 - FAR1)N

Hier ist FAR_N die Falschakzeptanzrate für N unterschiedliche Referenzen. Die Formel gilt nur, wenn die korrekte Zuordnung der Identität keine Rolle spielt, wie dies z. B. bei der einfachen Zugangskontrolle der Fall ist. Für N·FAR₁ deutlich kleiner als 1, gilt näherungsweise
 

FARN ~ N·FAR1

Beispiel: Die Datenbank enthält 100 000 unterschiedliche Referenzen. Im Fall einer Identifizierung würde eine FAR von 10^-7 auf ca. 10^-2ansteigen!

Für Anwendungen, die auf einer korrekten Zuordnung der Identitätsdaten bestehen (Beispiel Banktransaktionen), gelten andere Formeln, die unter Bestimmung der FIR dargestellt sind.

Bei einer Identifizierung erfolgt ein Vergleich zwischen dem biometrischen Merkmal und allen Referenzen. Im Vergleich zur Verifizierung wird auf diese Weise mehr als ein Ähnlichkeitswert erzeugt. Dies macht aber die Entscheidung komplexer, ob ein Merkmal zu akzeptieren ist oder nicht. Insbesondere gibt es mehrere Möglichkeiten, eine Entscheidung durchzuführen, wenn z. B. mehrere Ähnlichkeitswerte eine Schwelle überschreiten. Als Resultat ist für jedes Entscheidungsverfahren genau anzugeben, was man unter einer falschen Rückweisung verstehen will. Dazu nachfolgend zwei Beispiele.

Man unterscheidet zwischen Anwendungen, die nach erfolgter Identifizierung die Identifikationsdaten weiterverwerten (Beispiel: Zugriff auf das zugehörige Bankkonto) und Anwendungen, bei denen die Auswertung identitätsneutral ist (Beispiel: Zugang zu einem Raum ohne Protokollierung der Anwesenheit der identifizierten Person). Im ersten Fall kann es passieren, dass eine falsche Zuordnung des biometrischen Merkmals erfolgt. Man spricht hier von einer Falschidentifikation, gekennzeichnet durch die Falschidentifikationsrate FIR. Denkbar ist weiterhin, dass mehrere Referenzen Ähnlichkeitswerte oberhalb des Schwellwerts erzeugen. Dieser Fall wird bei der Bestimmung der FIR behandelt, wobei verschiedene Entscheidungsstrategien zu unterschiedlichen Ergebnissen führen.

Im zweiten Fall nimmt mit zunehmender Zahl von unterschiedlichen Referenzen die Falschrückweisungsrate FRR ab! Wie kann das passieren? Ganz einfach: Es steigt die Wahrscheinlichkeit, dass der Berechtigte nicht nur von der eigenen Referenz, sondern auch von einer fremden "erkannt" wird, was unter normalen Umständen eine Falschakzeptanz wäre. Aber nach außen merkt der Benutzer ja nicht, dass hier "Himmel" und "Hölle" kooperieren. Mathematisch sieht das unter idealisierten Bedingungen so aus:
 

FRRN = FRR1 (1 - FAR1)N-1

Da bei einer Identifizierung die biometrischen Merkmale mit vielen Referenzen verglichen werden, kann der Fall auftreten, dass die Ähnlichkeitswerte für mehrere Referenzen die voreingestellte Schwelle überschreiten. Dies ist zwar unkritisch, wenn es um reine Zutrittsberechtigungen geht, führt aber zu großen Problemen, wenn eine korrekte Zuordnung von Identitätsdaten zum biometrischen Merkmal unabdingbar ist (Beispiel: Zugriff auf Bankkonten per Bankautomaten).

Die Wahrscheinlichkeit dafür, dass unabhängig von der richtigen Referenz noch weitere (aber per Definition falsche) Kandidaten auftreten, lässt sich aus der FAR berechnen, da diese Kandidaten bei einer Verifikation eben eine Falschakzeptanz darstellen würden. Ihr Wert ist durch
 

1 - (1 - FAR1)N-1 ~ (N - 1) FAR1

gegeben, wobei FAR₁ die Falschakzeptanzrate für ein System mit einer Referenz ist. N stellt die Zahl der Referenzen dar. Die Näherung (rechte Seite) gilt für den Fall, dass der resultierende Wert deutlich unter 1 liegt.

Wie groß die Falschidentifikationsrate ist, lässt sich erst bestimmen, wenn aus der Menge der Kandidaten eine Auswahl erfolgt ist. Eine Regel, die sich in vielen praktischen Realisierungen wiederfindet, kann z. B. die Auswahl des Kandidaten mit dem höchsten Ähnlichkeitswert sein (vorausgesetzt, der tritt nur einmal auf). Leider ist in diesem Fall die FIR nur bestimmbar, wenn die Wahrscheinlichkeitsdichtefunktionen sowohl für die falsche Akzeptanz als auch die falsche Rückweisung vorliegen.

Rechnerisch etwas einfacher zu behandeln ist die Regel, dass im Fall von mehreren Kandidaten eine komplette Rückweisung erfolgt, was die FRR erhöht und die FAR reduziert. Hier gelten folgende Definitionen:
 

FAR		Wahrscheinlichkeit, dass eine nicht berechtigte Person identifiziert wird
FRR		Wahrscheinlichkeit, dass eine berechtigte Person nicht identifiziert wird
FIR		Wahrscheinlichkeit, dass eine berechtigte Person identifiziert, aber einer falschen ID zugeordnet wird

Mit diesen Definitionen ergeben sich unter idealisierten Bedingungen (statistische Unabhängigkeit, gleiche Fehlerraten für alle Personen, ...) folgende Formeln, wobei der Index N wieder die Zahl der Referenzen angibt:
 

FARN = N FAR1 (1 - FAR1)N-1

 

FRRN = 1 - (1 - FRR1 - FAR1 + N FRR1 FAR1) (1 - FAR1)N-2

 

FIRN = (N - 1) FRR1 FAR1 (1 - FAR1)N-2

Statistische Signifikanz bedeutet, dass die angegebenen Performanzwerte in Abhängigkeit von der Versuchszahl mit einer definierten Wahrscheinlichkeit innerhalb eines bestimmten Fehlerintervalls liegen. Da biometrische Größen schwer durch statistische Modelle zu fassen sind, ist das Vorliegen der statistischen Signifikanz schwer abzuschätzen. Als Faustregel ("Doddington's Regel") gilt, dass so viele Versuche zu machen sind, dass mindestens 30 Fehlerfälle auftreten [Porter 1977]. Beispiel: Eine FAR von 10^-6 gilt also dann als vertrauenswürdig, wenn es bei 30 Millionen Versuchen höchstens 30 falsche Akzeptanzen gegeben hat. Ein Fehlversuch unter einer Millionen Versuchen gehört zwar auch zu einer FAR von 10^-6, hat aber statistisch gesehen weit weniger Aussagekraft. Daran erkennt man insbesondere, wie aufwändig biometrische Tests werden, wenn die spezifizierte Performanz extrem gut sein soll. Etwas einfacher dürfte die Situation sein, wenn an Stelle einfacher Ja/Nein-Entscheidungen zusätzliche Informationen berücksichtigt werden können, wie z. B. die Nähe einer Entscheidung zur Akzeptanzschwelle.

Die Genauigkeits-Performanz eines Verifizierungssystems lässt sich durch exakt drei statistische Größen beschreiben: FAR, FER und FRR. Da diese drei Größen indirekt über Parameter wie Qualitätsakzeptanzschwellen für Enrolment und Authentifizierung voneinander abhängen, ist ein Vergleich zweier Systeme über eine einzige Größe nur dann sinnvoll, wenn die übrigen zwei Größen jeweils gleich sind. Wenn beispielsweise die FAR zweier Systeme verglichen werden soll, dann müssen sowohl die beiden FRR- als auch die beiden FER-Werte gleich sein. Für ein ROC-Diagramm lässt sich diese Bedingung einfach dadurch erfüllen, dass die FER-Messwerte aller FAR/FRR-Kombinationen gleich sind. Leider wird dies oft nicht berücksichtigt!

Eine Lösung dieses Problems zeigt z.B. die Auswertung der Fingerprint Verification Competition FVC2002 auf. Dort wurden verschiedene Algorithmen zur Fingerabdruckerkennung getestet. Die Idee zur Einbeziehung bzw. Eliminierung der FER besteht in der Definition eines virtuellen "FTE-Users" im Falle eines Failure-to Enrol mit folgenden Eigenschaften:

• Falls der virtuelle "FTE-User" eine (virtuelle!) Authentifizierung versucht, ist das Ergebnis immer eine Ablehnung, wobei sich die FRR erhöht.
• Falls ein Unberechtigter eine (virtuelle!) Authentifizierung gegen einen "FTE-User" versucht, wird stets von einer Ablehnung ausgegangen, was in diesem Fall zu einer Verminderung der FAR führt.

Dies eliminiert tatsächlich die FER mit der Folge, dass sowohl die ROC-Kurve als auch die FAR/FRR-Messwertpaare vergleichbar werden. Mathematisch entspricht dies der Einführung der Generalisierten FRR (GFRR) und der Generalisierten FAR (GFAR). (Es ist die Aufgabe einer Standardisierung, diese Begriffe zu fixieren. Wir werden sie hier benutzen, bis diese abgeschlossen ist.) Die Berechnung der GFRR und GFAR ist relativ einfach, wenn wir annehmen, dass jedem Authentifizierungsversuch ein eigenes Enrolment vorausgeht. Diese Annahme ist deshalb sinnvoll, weil die Authentifizierungsperformanz nicht unabhängig vom Enrolment ist: Ein gutes Enrolment liefert bessere FRR-Werte als ein schlechtes. Deshalb erscheint es statistisch gesehen genauer zu sein, nicht die gesamte FRR-Statistik von einem einzigen Enrolment abhängen zu lassen!
 

GFAR(th) = (1 - FER) FAR(th)

GFRR(th) = FER + (1 - FER) FRR(th)

Hier kennzeichnet (th) die Abhängigkeit vom Entscheidungsschwellen-Parameter th, der im Bereich 0 bis K (beliebig) liegt, siehe "Wie lässt sich das FAR/FRR-Kurvenpaar eines biometrischen Systems bestimmen?". Diese Formeln zeigen eine deutliche Verwandtschaft zu denen, die für die FAR und FRR unter Berücksichtigung der bei der Authentifizierung auftretenden FTA (Failure-to-Acquire) abgeleitet wurden.

Auf ähnliche Weise erhalten wir für die Grenzwerte:
 

GFAR(0) = (1 - FER)(1 - QRR)		GFAR(K) = 0
GFRR(0) = FER + (1 - FER) QRR		GFRR(K) = 1

Beide Formeln sind symmetrisch in QRR (= FTA) und FER (= FTE), was auf eine starke Verwandtschaft zwischen Nutzerausfallrate und Qualitätsrückweisungsrate hindeutet. In einigen Fällen sind diese Werte sogar gleich. Das ist z.B. dann der Fall, wenn das biometrische System für Enrolment und Authentifizierung die gleichen Qualitätsbewertungsverfahren und -schwellen einsetzt. In der Praxis wird man aber stets von asymmetrischen Anforderungen mit höherer FER ausgehen, um z.B. das Enrolment von Nonsens-Merkmalen auszuschließen. Desweiteren führt eine zu schlechte Enrolmentqualität zu Einbußen im täglichen Gebrauch eines Authentifizierungssystems. In vielen Anwendungen ist es nämlich besser, mehr Zeit für das (einmalige) Enrolment zu spendieren als Zeit für mehrfache Authentifizierungsversuche zu verlieren.

Konsequenterweise wird ein ROC-Diagramm, das GFAR- und GFRR-Werte nutzt, GROC (Generalized ROC) genannt.

Die ROC ermöglicht einen objektiven Vergleich verschiedener biometrischer Systeme, allerdings auf Basis einer Kurve. Praktikabler wäre die Angabe einer einzigen Maßzahl, die eine Art Mittelwert über alle Betriebseinstellungen bildet. Damit ist natürlich nur eine globale Beschreibung eines Systems möglich. Man muss sich deshalb darüber im Klaren sein, dass ein System zwar global besser sein kann als ein anderes, dafür aber lokal, z.B. im Arbeitspunkt, unterlegen.

Separierbarkeit ist intuitiv die Fähigkeit eines biometrischen Systems, Berechtigte und Nichtberechtigte auf Grund biometrischer Charakteristika voneinander zu unterscheiden. Je höher die Separierbarkeit, desto kleiner der Fehler bei der Zuordnung von Berechtigten und Nichtberechtigten. Das Separierbarkeitsmaß darf ähnlich wie die ROC natürlich nicht von realisierungsspezifischen Skalierungen abhängen. Nicht zuletzt sollte ein Separierbarkeitsmaß einfach zu berechnen sein.

Ein bekanntes Maß für die (inverse) Separierbarkeit ist die EER. Leider beschreibt die EER nur einen einzigen Punkt der ROC. Ihre Definition besticht durch Einfachheit, die Berechnung ist nicht ganz so einfach, da der EER-Punkt nicht als Messwert vorliegt, sondern durch Entscheidung und Approximation abzuleiten ist.

Ein (inverses) Separierbarkeitsmaß, das auch die Nachteile der EER vermeidet, ist die Fläche unter der ROC-Kurve. Sie lässt sich ganz einfach durch Summation aller ROC-Werte ermitteln. Einzige Schwierigkeit ist die Tatsache, dass die ROC-Werte nicht äquidistant sind. Es muss also zusätzlich eine Gewichtung jedes y-Werts (FAR) durch den Abstand des zughörigen x-Werts von seinem Nachbarwert erfolgen. Dieser Abstand ist für jeden ROC-Punkt gerade die Differenz bzw. Steigung zweier aufeinanderfolgender Werte in der FAR-Kurve. Damit ist dieser Abstand aber durch die Wahrscheinlichkeitsdichtefunktion des Nichtberechtigten gegeben. (Für kontinuierliche Funktionen, wo man die Summe durch ein Integral ersetzen muss, wäre dies eine Konsequenz aus der Substitutionsregel für Integrale!) Damit lässt sich die ROC-Fläche, hier ROCA genannt, berechnen durch (K+1 ist die Zahl der betrachteten Ähnlichkeitswerte)
 

ROCA =

K n=1

FRR(n) pN(n-1)

pN: Wahrscheinlichkeitsdichtefunktion für Nichtberechtigten

Diese Formel kommt allein mit Additionen und Multiplikationen vorhandener Messwerte aus. Und obwohl hier über realisierungsspezifische Ähnlichkeitswerte n summiert wird, ist die ROCA doch unabhängig von deren Definition. Allerdings muss man hier die Annahme treffen, dass keine schwellenunabhängige Rückweisung stattfindet, d. h., FRR = FNMR und FAR = FMR.

Sowohl die EER als auch die ROCA können Werte zwischen 0 und 1 annehmen. Ideale Separierbarkeit eines biometrischen Systems und damit der Verteilungen p_B und p_N führt offenbar dazu, dass beide Größen null sein müssen. Aber welcher Wert gehört zu idealer Nichtseparierbarkeit? Intuitiv kann ideale Nichtseparierbarkeit eigentlich nichts anderes bedeuten als dass die beiden Verteilungen  p_B  und p_N  exakt identisch sind. In diesem Fall gilt aber:
 

pN =pB

=>

FAR = 1 - FRR

=>

EER = ½

und

pN =pB

=>

ROCA =

K n=1

FRR(n) pB(n-1)

~ ½

(Beweis für die Näherung: Man ersetze die Summe durch ein Integral und betrachte p_B als die Ableitung von FRR. Nun muss man nur noch die Regel für die partielle Integration anwenden.)

Vernünftige Werte für EER und ROCA liegen danach zwischen den beiden Extremwerten 0 für perfekte Separierbarkeit und ½ für perfekte Nichtseparierbarkeit. Welche Bedeutung haben dann die Werte zwischen ½ und 1? Dieser Bereich ist offenbar dem Fall überlassen, dass die beiden Verteilungen p_B und p_N ihre Rolle vertauschen und im Diagramm ihre Plätze wechseln. Für die Separierbarkeit hat dieser Wertebereich in der Biometrie somit keine praktische Bedeutung!

Die Messung biometrischer Charakteristika, aber auch die Charakteristika selbst sind statistischen Schwankungen unterworfen. Jedes biometrische Erkennungssystem hat deshalb eine eingebaute Akzeptanzschwelle, deren Erhöhung die FAR verkleinert und gleichzeitig die FRR erhöht. Aus diesem Grund sollte es eigentlich selbstverständlich sein, dass angegebene FAR- und FRR-Werte zur selben Schwelle gehören. Irreführend sind deshalb auch singuläre Angaben nur der FAR oder nur der FRR.

Zusätzlich muss beim Vergleich der FAR/FRR-Werte unterschiedlicher Systeme auch die Nutzerausfallrate FER berücksichtigt werden. Denn das Enrolment ist so parametrisierbar, dass nur Merkmalsproben mit sehr hoher Qualität zur Weiterverarbeitung zu Referenztemplates zugelassen werden, während Merkmalsproben minderer Qualität unter den Tisch fallen und somit zur Erhöhung der FER beitragen. Eine auf diese Weise erhöhte FER trägt nämlich üblicherweise zur Verbesserung der FAR- und FRR-Werte bei (und umgekehrt)!

In der Biometrie sind FAR/FRR-Werte nicht theoretisch herleitbar und müssen deshalb als statistische Größen in aufwändigen Tests ermittelt werden. Ebenso schwierig ist die statistische Signifikanz der so ermittelten FAR- und FRR-Werte herleitbar. Derzeit gibt es keine standardisierten Messverfahren. Deshalb kann das Ergebnis je nach Testbedingungen um Größenordnungen schwanken. Klarheit verschafft nur die Offenlegung der Testbedingungen.

In aller Regel ja. Dies gilt sowohl für die Falschakzeptanzrate FAR als auch für die Falschrückweisungsrate FRR. Man kennt es aus dem täglichen Leben, dass sich manche Gesichter leicht und andere sehr schwer merken und wiedererkennen lassen. So gesehen, ist die übliche Angabe von Mittelwerten der FAR und FRR für den einzelnen Anwender wenig hilfreich. Diese Anwenderabhängigkeit ist u. a. auch verantwortlich dafür, dass die statistischen Eigenschaften von FAR- und FRR-Messungen so gut wie gar nicht quantifizierbar sind.

Jedes biometrische Merkmal kann zeitweise oder permanent ausfallen. Beispiele für temporäre Ausfälle sind abgeschliffene oder verklebte Fingerkuppen bei Fingerprint, Medikamenteneinnahme bei Iris (Atropin, das u. U. eine Lebenderkennung irritieren kann), Heiserkeit bei Stimmerkennung oder der Gipsarm, der die Unterschrift nicht gelingen lässt. Permanente Ausfälle sind bekannt z. B. bei Augenlinsentrübungen, die eine Retinaerkennung unmöglich machen oder seltene Hautkrankheiten, die das Fingerprintmuster auf Dauer zerstören. Deshalb benötigt jedes biometrische System ein Rückfallverfahren. Ein solches braucht man aber auch, wenn jemand seinen Schlüssel verloren oder seine PIN vergessen hat, so dass grundsätzlich nicht nur biometrische Systeme von Nutzerausfällen betroffen sind, sondern alle Authentifizierungsverfahren. Man darf aber davon ausgehen, dass biometrische Verfahren auch hier im Vorteil gegenüber herkömmlichen Methoden sind.

Nein. Unter Benutzung des Schwellwertparameters sind die meisten praktischen biometrischen Systeme nicht so eingestellt, dass FAR = FRR (was die EER definiert), sondern dass FAR << FRR. Da sich ROC-Kurven verschiedener Systeme bei gleicher EER völlig unterschiedlich verhalten können, sind durchaus Unterschiede von mehreren Zehnerpotenzen in anderen ROC-Bereichen möglich. Um solch große Fehler zu verhindern, ist es zwingend erforderlich, ausschließlich FAR - FRR-Wertepaare im Arbeitspunkt zu betrachen, indem man z.B. die FARs bei gleicher FRR vergleicht. Ein Vergleich der EER ist nur in den seltenen Fällen sinnvoll, in denen die EER als Arbeitspunkt gewählt wird.

Die Falschakzeptanzrate FAR ist in den Erkennungsalgorithmen über die Akzeptanzschwelle einstellbar. Je höher die Akzeptanzschwelle, desto niedriger der FAR. Gleichzeitig führt eine Erhöhung der Akzeptanzschwelle aber auch zu einer Erhöhung der Falschrückweisungsrate FRR. Ziel muss es deshalb sein, bei gegebener FRR eine möglichst kleine FAR (und umgekehrt) zu erhalten. Dabei gibt es Einflussfaktoren, die primär auf die FAR wirken und solche, die vorrangig die FRR beeinflussen. Bei fester FAR hängt die FRR von folgenden Faktoren ab:

• Art der biometrischen Charakteristika
• Qualität des Sensors
• Anwenderverhalten
• Leistungsfähigkeit der Erkennungsalgorithmen
• Bei Identifizierungssystemen von der Zahl der biometrischen Referenzen


Daraus ergeben sich folgende Optimierungsmöglichkeiten:
 

• Geeignete biometrische Charakterstika festlegen: Hier ist die Eindeutigkeit des Charakteristikums der wesentliche Beeinflussungsfaktor für die FAR, während sich Konstanz und Messbarkeit primär auf die FRR auswirken.
• Den Sensor mit der besten (Bild-) Qualität auswählen: Dies reduziert primär die FRR.
• Fehlbedienungen durch den Anwender ausschließen: Auch dies reduziert primär die FRR.
• Erkennungsalgorithmen optimieren
• Zahl der biometrischen Referenzen in einem Identifizierungssystems niedrig halten: Dies reduziert die FAR signifikant bei leicht erhöhter FRR!

Statt "Sicherheit" meint man eigentlich primär die Schutzfähigkeit gegen falsche Authentifikationen. Diese können auftreten

• durch eine zu hohe Falschakzeptanzrate (FAR),
• durch gezielte Fälschungsversuche
• und durch technische Realisierungsfehler.

Perfekten Schutz kann es nicht geben, jedoch kann man versuchen, die FAR so klein wie möglich zu machen, die Kosten für Fälschungsversuche so hoch wie möglich zu treiben und Realisierungsfehler durch intensive Tests zu vermeiden. Dabei gilt die alte Regel, dass die Stärke einer Kette durch ihr schwächstes Glied bestimmt wird. Da höhere Schutzfähigkeit auch immer mit höheren Kosten einher geht, gilt es, einen Kompromiss zu finden, der dem möglichen Schadensfall angemessen ist.

In den Bereich Sicherheit fällt auch der Schutz der biometrischen und weiteren Anwenderdaten gegen sonstigen Missbrauch.

Kompromittierung ist in diesem Fall das Bekanntwerden einzelner oder mehrerer biometrischer Charakteristika eines Menschen.

Biometrische Charakteristika sollen möglichst einmalig und unveränderbar sein. Deshalb wird mit einer Kompromittierung häufig die Gefahr gesehen, dass die biometrischen Charakteristika missbraucht werden könnten und danach wie ein Passwort unbrauchbar sind, nur dass ein Passwort jederzeit durch ein anderes austauschbar ist und das biometrische Charakteristikum eben nicht. Wie groß diese Gefahr tatsächlich ist, hängt von der Anwendung und den mit ihr verbundenen Vorkehrungen gegen Kompromittierungen ab.

Ja - wenn die Kompromittierung statistisch gesehen in einer biometrischen Anwendung einen mittleren Gesamt-Schaden anrichten kann, der größer ist als der zu erwartende mittlere Gesamt-Nutzen. Damit wird allgemein regelmäßig dann zu rechnen sein, wenn Vorkehrungen gegen Kompromittierung in keinem vernünftigen Verhältnis zur Kompromittierbarkeit und zur möglichen Schadenshöhe stehen. Im Speziellen wird dies biometrische Systeme betreffen, die das biometrische Charakteristikum ausschließlich als Geheimnis betrachten, obwohl es leicht zu kompromittieren ist und sich daraus auf einfache Weise ein Plagiat zu Fälschungszwecken herstellen lässt.

Ja - wenn aus dem biometrischen Charakteristikum Eigenschaften des Trägers extrahierbar sind, die sich für ihn nachteilig auswirken können. Beispiel: Genetische Krankheitsinformationen aus der DNA.

Nein - wenn das biometrische System "zweifelsfrei" den Unterschied zwischen dem Original des biometrischen Charakteristikums und einem aus dem kompromittierten biometrischen Charakteristikum hergestellten Plagiat feststellen kann. Dies lässt sich in biometrischen Systemen bis zu einem gewissen Grad durch eine Vielzahl organisatorischer und technischer Maßnahmen erreichen und hängt stark vom gewählten biometrischen Charakteristikum ab.

Vielfach wird zwar viel Wert darauf gelegt, dass sich das körperliche Urbild (z. B. das Fingerlinienbild) nicht aus den Referenzdatensätzen zurückrechnen lasse. Selbst wenn dies stimmte, nützte es allerdings nicht viel, da zum Missbrauch bereits irgend ein Abbild eines Betroffenen ausreicht, das die gleichen biometrischen Merkmalsdaten erzeugt [Bromba 2003].

Stellen Sie Ihre biometrischen Charakteristika nur vertrauenswürdigen Applikationen vertrauenswürdiger Systembetreiber zur Verfügung. Der Betreiber muss sich verpflichten, die biometrischen Daten nicht weiterzugeben und sie ausreichend geschützt, am besten verschlüsselt, zu speichern.

Bevorzugen Sie biometrische Anwendungen, die Ihre biometrischen Daten ausschließlich dann verwerten können, wenn Sie dem System eine Chipkarte präsentieren, die sich in Ihrem Besitz befindet. (Auf dieser Karte könnten die biometrischen Referenzdaten gespeichert sein, oder ein geheimer, persönlicher Schlüssel, der die temporäre Entschlüsselung der beim Betreiber gespeicherten verschlüsselten Referenzdaten ermöglicht.)

Veröffentlichen Sie keine biometrischen Charakteristika von sich, die von Natur aus schwer kompromittierbar sind und die deshalb von biometrischen Anwendungen als Geheimnisse betrachtet werden könnten, wie z.B. Fingerprint, Iris oder Venenmuster. Dies ist besonders dann kritisch, wenn ein Fälscher die biometrischen Daten einer konkreten Person zuordnen kann.

Wir betrachten folgende Möglichkeiten der Speicherung von biometrischen Referenzen auf einer Chipkarte:

Die Chipkarte ist eine reine Speicherkarte, die Speicherung erfolgt unverschlüsselt

• Die Chipkarte kann von jedem, der diese Karte findet, ausgelesen werden.
• Die Chipkarte ist beliebig duplizierbar; den Nutzen daraus hat allerdings nur der Berechtigte.
• Es lassen sich im Prinzip Karten mit den Referenzen Nichtberechtigter herstellen, die dann auch Zugang zum System haben.
• Sind die (nichtbiometrischen) Daten des Berechtigten ebenfalls auf der Chipkarte gespeichert, ist die Gefahr einer Kompromittierung im Verlustfall sehr groß.

Die Chipkarte ist eine reine Speicherkarte, die Speicherung erfolgt verschlüsselt

• Die Chipkarte kann von jedem, der diese Karte findet, ausgelesen, aber der Inhalt nicht interpretiert werden.
• Die Chipkarte ist beliebig duplizierbar; den Nutzen daraus hat allerdings nur der Berechtigte.
• Die Authentifikation durch Karten mit den Referenzen Nichtberechtigter lässt sich prinzipiell verhindern.
• Eine Kompromittierung der Daten lässt sich verhindern.

Die Chipkarte ist eine Prozessorkarte mit Kryptofunktion

• Die auf der Chipkarte gespeicherten Daten sind nur von einem vertrauenswürdigen Kommunikationspartner (z. B. abgesicherter PC oder abgesicherter Server über nichtabgesicherten PC) auslesbar und interpretierbar.
• Eine Duplizierung der Chipkarte ist verhinderbar.
• Die Authentifikation durch Karten mit den Referenzen Nichtberechtigter lässt sich prinzipiell verhindern.
• Eine Kompromittierung der Daten lässt sich verhindern.

Von der konkreten Anwendung hängt es ab, welche Sicherheitsanforderungen zu stellen sind und welche Lösung deshalb in Frage kommt.

Bedenken bezüglich des möglichen Missbrauchs biometrischer Daten haben eine Diskussion darüber aufleben lassen, ob Biometrie die Privatsphäre eher schützt oder aber weiter aushöhlt. Nach Woodward (1999) ist eine zentrale Frage die, ob der Anwender die volle Kontrolle über seine Daten hat und weiß, wann, wo und warum seine biometrischen Daten genutzt werden.  Prinzipiell sind biometrische Daten unbemerkt vom Träger auch für nicht beabsichtigte Anwendungen wiederverwertbar, und im Vergleich  zu einfachen ID-Nummern ist die Furcht vor Missbrauch derart persönlicher Charakteristika ungleich höher. Manche biometrischen Daten, die wie z.B. die DNA auch Gesundheits-Informationen enthalten können, könnten an kommerzielle Interessenten, Versicherungsgesellschaften oder staatliche Organisationen weitergeleitet werden. Datenschutzbedenken im Zusammenhang mit der Biometrie umfassen nach Wirtz (2000) folgende Punkte:

• Nichtautorisierter Zugriff zu biometrischen Daten
• Nichtautorisierte Weitergabe biometrischer Daten an Dritte
• Verwendung biometrischer Daten für vom Träger nicht vorgesehene Zwecke
• Sammlung biometrischer Daten ohne Wissen des Trägers

Die Beachtung von Datenschutzbestimmungen und Persönlichkeitsrechten ist eine zentrale Voraussetzung für den Erfolg biometrischer Systeme. Gesetzliche Maßnahmen können dazu beitragen, dass Biometrie im Sinne des Anwenders genutzt wird und dadurch den Schutz des Einzelnen vor Missbrauch erhöhen.

Diese Frage enthält mindestens zwei Probleme:  Biometrie nicht gleich Biometrie, und der Begriff "sicher" wird zwar in der Umgangssprache gern benutzt, ist aber eigentlich nicht allgemeingültig, sondern eher heuristisch definiert. Jedoch kann man versuchen, Pro- und Kontra-Argumente zu finden, um wenigstens eine intuitive Antwort zu ermöglichen.

Fakt ist, dass die Sicherheit von passwortgeschützten Werten in besonders starkem Maße vom Anwender abhängt. Wenn der Anwender sich zu viele Passwörter merken muss, wird er versuchen, ein Passwort für möglichst viele Anwendungen zu benutzen. Ist ihm diese Möglichkeit verwehrt, bleibt als nächstes die Konstruktion sehr einfacher Passwörter. Ist auch dies nicht machbar (Beispiele: Der Benutzer bekommt das Passwort vorgegeben oder die Bildungsregeln sind zu komplex), wäre eine nächste Rückfallstufe das Aufschreiben der Passwörter auf Papier, was dann aus "geheimem Wissen" "persönlichen Besitz" macht. Natürlich wird nicht jeder Anwender zwangsläufig so reagieren. Vielmehr spielt die Motivation des Anwenders eine wesentliche Rolle: Ist ihm überhaupt der mögliche Schaden eines leichtfertigen Umgangs mit Passwörtern bewusst? Einfach ist die Sache, wenn der Anwender seinen eigenen Besitz schützen möchte. Häufig geht es aber eher darum, "fremdes" Gut zu schützen (z. B. das des Arbeitgebers), dessen Wert man nicht recht einschätzen kann. Fehlt die Motivation, wird jedes Passwort vor allem als lästig empfunden. In diesem Fall, und das scheint der Normalfall zu sein, kann man davon ausgehen, dass Biometrie klare Vorteile hat.

Andererseits zeichnen sich Passwörter durch eine unschlagbare theoretische Schutzfähigkeit aus: Ein achtstelliges Passwort, das alle (Sonder-) Zeichen eines 8-bit-Alphabets enthalten darf, bietet 10²⁰ Kombinationsmöglichkeiten! Da tut sich im direkten Vergleich jedes biometrische Charakteristikum schwer. Die Voraussetzungen sind klar: Solch ein Passwort ist maximal schwer zu erlernen, es darf nicht aufgeschrieben werden, es darf nicht weitergegeben werden, die Eingabe muss absolut geheim erfolgen, es darf nicht erpresst werden, und die technische Realisierung muss perfekt sein. Damit sind wir bei der praktischen Seite: Die Realisierung muss gefeit sein gegen Angriffe wie Replayattacken, Tastaturattrappen (z. B. falsche Geldautomaten), Abhören usw. Auch biometrische Charakteristika haben mit solchen Problemen zu kämpfen. Jedoch kann man davon ausgehen, dass biometrische Daten nicht leichter abzuhören sind als Passwörter, gleichen Realisierungsaufwand vorausgesetzt!

Schlussfolgerung: Es gibt sicher Fälle, in denen Passwörter mehr Sicherheit bieten können als biometrische Charakteristika. Normalfälle sind dies jedoch nicht!