BIOIDENTIFIKATION Fragen und Antworten Letzte Änderung: 2007-12-30
Datenschutz	Deutsch English   Biometrie Fingerprint Datenschutz

Diese FAQ richtet sich insbesondere an Hersteller und Betreiber biometrischer Systeme, deren Ziel es ist, sowohl datenschutzgerechte Lösungen anzubieten als auch die Akzeptanz der Systeme durch den Anwender sicherzustellen.

Diese FAQ kann und will keine Rechtsberatung leisten. Es ist auch nicht das Ziel dieser FAQ, möglicherweise angreifbare Begründungen dafür zu liefern, ob und unter welchen Voraussetzungen Datenschutzgesetze zuständig sind. Vielmehr sollen insbesondere Betreiber biometrischer Systeme durch Aufzeigen potenzieller Gefahren in die Lage versetzt werden, zu verstehen, worauf es wirklich ankommt und dies auch dem Merkmalsträger als Nutzer zu kommunizieren.

Beim Datenschutz (->Wikipedia) geht es um den Schutz personenbezogener Daten vor Missbrauch. Insbesondere soll der Einzelne davor geschützt werden, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Recht auf informationelle Selbstbestimmung (->Wikipedia) beeinträchtigt wird.

Datenschutz ist ein Bürgerrecht, dem viele Menschen zeitweise eher gleichgültig gegenüberstehen und das unter dem Vorwand terroristischer Gefahren ständig wachsenden Einschränkungen unterworfen ist. Deshalb kann hier keine absolute Definition angegeben werden.

Von den rechtlichen Implikationen und den Missbrauchsmöglichkeiten her bietet sich eine Einteilung biometrischer Anwendungen in fünf Hauptbereiche an:

Biometrie für Straftäter, Asylsuchende und Touristen

Straftäter und Asylsuchende müssen sich in der Regel damit abfinden, dass für sie eine biometrische Erfassung obligatorisch ist und somit die üblichen staatsbürgerlichen Rechte nur sehr eingeschränkt gelten. Dies gilt teilweise auch für Einreisende fremder Nationalitäten. Beispiele sind Immigrantendatenbanken oder die Abnahme von Fingerabdrücken von einreisenden Touristen.

Biometrie für Bürger

Hier geht es um staatlich initiierte Anwendungen für Staatsbürger, die durch Gesetze und Verordnungen geregelt sind. In freiheitlich demokratischen Staaten sind diese Anwendungen, wenn überhaupt vorhanden, freiwillig. Beispiele sind der biometrische Reisepass und Rentenauszahlungssysteme.

Biometrie für Mitarbeiter

Firmen benutzen vielfach biometrische Authentifikationssysteme für den Zugang zu Räumen, Computern, Netzen und Diensten. Auf diese Weise ist ein kostensparendes Rechtemanagement möglich. Die Nutzung durch den Mitarbeiter ist in der Regel obligatorisch, Ausweichlösungen sind aber möglich (und nötig).

Biometrie für Kunden

Unternehmen aller Art bieten ihren Kunden immer häufiger Dienste auf der Basis biometrischer Authentifikationsverfahren an. Beispiele sind nicht übertragbare Jahreskarten oder Abonnements für Konzerte, Fitnessstudios, Solarien, Zoos, Bäder, Videotheken usw. Die Benutzung ist teils obligatorisch, teilweise sind auch Ausweichlösungen vorgesehen.

Biometrie für persönliche Anwendungen

Hierunter fallen Anwendungen, die der vollständigen Kontrolle des Merkmalsträgers unterliegen. Beispiele sind der heimische PC-Zugang, der Wohnungszugang oder die Anwendung im eigenen Auto. Aber auch der Firmen-PC kann dazu gehören, wenn der Anwender diesen ohne Einflussnahme (aber natürlich mit Genehmigung) des Arbeitgebers unter seiner vollständigen Kontrolle hat.

Nein. Die Menschheit hat bisher auch mit relativ schwachen Identifikationsverfahren "überlebt". Zu diesen Verfahren gehören insbesondere die Gesichtserkennung, die Stimme, verschiedene weitere Körpermerkmale, das Verhalten und auch der Geruch. Durch skalierbare Kombination ("Fusion") verschiedener Merkmale kann der Mensch teilweise sogar eineiige Zwillinge unterscheiden. Umgekehrt hat der Mensch für alle heute bekannten starken Identifikationsmethoden (Iris, Fingerprint, Retina, DNA,...) keine geeigneten natürlichen Sensoren, die eine akzeptable Wiedererkennungsgeschwindigkeit erlauben.

Ja. Möglicherweise erzwingt der technische Fortschritt zukünftig die Hinwendung zu "starken" Identifikationsverfahren, die einen Menschen aus Millionen anderer zweifelsarm herausfinden können.

Je "einmaliger" biometrische Merkmale sind, desto besser lassen sie sich als eindeutige Identifikationsmerkmale bzw. Kennzeichen nutzen, die eine einfache Verknüpfung von Informationen über den Merkmalsträger ermöglichen, um daraus ein Gesamtbild des Merkmalsträgers zu rekonstruieren.

Weiterhin sind biometrische Daten nicht nur personenbezogen, sondern in aller Regel auch personengebunden. Da viele biometrische Merkmale über die Lebenszeit eines Menschen permanent und nicht auswechselbar sind, kommt dem Schutz dieser Daten vor Missbrauch besondere Bedeutung zu. Dies umso mehr, als die biometrischen Daten dank moderner Technik elektronisch beliebig verteilt und kopiert werden können.

Es sind dies Merkmale, die die wenigsten Missbrauchsmöglichkeiten bieten. Hierzu sind folgende Eigenschaften hilfreich:

• hohe Verifikations-FAR: verhindert eine zuverlässige Identifikation aus einer großen Menschenmenge heraus
• nicht permanent: erfordert ein häufigeres Re-Enrollment (->Bio-FAQ)
• flüchtig: erschwert Diebstahl durch Kopieren von unabsichtlich hinterlassenen latenten Merkmalsspuren
• nicht unbemerkt erfassbar: der Merkmalsträger bleibt Herr über seine biometrischen Daten
• willentlich beeinflussbar: der Merkmalsträger kann eine ungewollte Identifikation fehlschlagen lassen
• randotypische Herkunft: Die Einmaligkeitsinformation ermöglicht keine direkten Rückschlüsse auf kritische bzw. vertrauliche Eigenschaften des Merkmalsträgers

Zu den datenschutzfreundlichsten Merkmalen gehört die Gesichtsform, aber auch die Handform oder die Unterschrift mit dynamischen Daten. So zeichnet sich z.B. die Gesichtserkennung durch eine relativ hohe, aber für Verifikationszwecke völlig ausreichende FAR (->Bio-FAQ) aus, benötigt alle paar Jahre ein neues Enrollment, hinterlässt nur in gespeicherten Filmen und Bildern Spuren und ist willentlich beeinflussbar. Ein perfekt datenschutzfreundliches Merkmal kann es allerdings nicht geben! So ist die Gesichtserkennung kaum randotypisch und ermöglicht Rückschlüsse auf Geschlecht, Verwandschaftsverhältnisse und Rasse, ist in Summe aber eher "Big Brother"-untauglich.

Nein. Die zentrale Speicherung biometrischer Daten aller Staatsbürger wird vielfach als besonders datenschutzkritisch angesehen, weil sie einen unberechtigten Zugriff besonders einfach erscheinen lässt und weil die damit verbundene Möglichkeit einer Identifikation (->Bio-FAQ) die Gefahr eines Überwachungstaats heraufbeschwört. Aus diesen Gründen sehen manche Staaten für bestimmte Anwendungen ein Verbot von biometrischen Zentralarchiven vor. Allerdings ist eine Identifikation auch möglich, wenn die biometrischen Daten auf vielen Computern dezentral verteilt sind. Dazu sendet man das zu vergleichende biometrische Merkmal an alle lokalen Computer, die biometrische Daten speichern und führt den Vergleich vor Ort durch. Derjenige Computer, der fündig wird, meldet das Ergebnis an die Sendestelle zurück. Vorteil: Da sich viele Computer gleichzeitig an der Identifikation beteiligen, kann die Rechenzeit deutlich kürzer sein.

"In der zukünftigen biometrischen Gesellschaft benötigt niemand mehr einen Ausweis, eine Kreditkarte, Bargeld, Schlüssel oder muss sich gar Passwörter merken. Stattdessen nutzt der biometrische Weltbürger einmalige Körper-Merkmale wie Fingerprint oder Iris, um all seine Geschäfte und Besorgungen zu erledigen. Selbst Namen sind nicht mehr von Bedeutung und werden nur noch aus kosmetischen Gründen oder zum Zwecke der direkten, nichtdigitalen Kommunikation zwischen den biometrischen Weltbürgern genutzt. Und so sieht der biometrische Alltag aus:

Zahlungsgeschäfte werden nur noch per Biometrie besiegelt. Allein mit seinen biometrischen Merkmalen ermöglicht der Käufer die elektronische Bezahlung, natürlich online. Erschleichen von Dienstleistungen ist nicht mehr möglich, da zuvor eine eindeutige biometrische Erkennung des Kunden mit Bonitätsabfrage erfolgt. Somit sind auch keine Fahrkarten für Bus oder Bahn, Flugscheine und Eintrittskarten für Fußballspiele, Konzerte oder Fitnessstudios mehr erforderlich.

Bevor ein Autofahrer seinen Wagen startet, erfolgt ein Biometriecheck mit Überprüfung der Fahrberechtigung unter Berücksichtigung der Fahrzeug-ID. Fahren ohne Erlaubnis, mit gestohlenen Autos oder ohne ausreichende Bonität wird auf diese Weise im Ansatz vereitelt. Die Abbuchung der universellen Straßenmaut erfolgt automatisch auf Basis der Fahrerdaten.

Ärztliche Leistungen sind ohne teure und verlierbare Gesundheitskarten problemlos biometrisch abrechenbar. Auch hat der Patient nach biometrischer Identifikation jederzeit Einblick in seine Gesundheitsdaten. Bei Unfällen sind die Rettungskräfte auf Grund einer vor Ort durchgeführten biometrischen Identifikation des Unfallopfers in der Lage, sich in kürzester Zeit über Gesundheitsdaten, Blutgruppe, Impfungen, Allergien usw. zu informieren, um auf diese Weise eine optimale Behandlung zu gewährleisten. Bei Todesopfern kann auf Basis der biometrischen Merkmale eine aufwändige manuelle Identifizierung entfallen.

Emails und Telefonate werden nur noch auf Basis von biometrischen Merkmalen abgewickelt. Dazu ist nur ein elektronischer Datensatz des biometrischen Merkmals des Partners erforderlich, der hier zur Adressierung dient. Natürlich muss sich auch jeder Absender biometrisch identifizieren. Spamming lässt sich auf diese Weise wirksam unterbinden.

Weltbürger, die sich außerhalb der gesetzten gesellschaftlichen Normen bewegen, können wirkungsvoll mit Einschränkungen sanktioniert werden. Beispiele sind Hausverbote für Ladendiebe, Stadionverbote für Hooligans oder Einreiseverbote für nicht qualifizierte "Ausländer". Da das Netzwerk der biometrischen Erfassung sehr dicht geknüpft ist, lassen sich gesuchte Straftäter und Terroristen sofort lokalisieren, und zwar unter Zuhilfenahme der bei Einkäufen, Verkehrs-Maut, mobilen Kommunikationssystemen und öffentlichen Verkehrsmitteln anfallenden Ortungsdaten. Insgesamt führt dies zu einer deutlichen Abnahme der Kriminalitätsrate.

Natürlich sind alle Leistungen weltweit beanspruchbar. Möglich wird dies durch eine zentrale biometrische Welt-ID-Datenbank. Jeder neue Erdenbürger liefert gleich nach seiner Geburt seine biometrischen Merkmale in diese Datenbank. Zu jedem biometrischen Merkmal sind noch die persönlichen Daten wie Adresse, Geburtszeitpunkt, Konten, Gesundheitsdaten, usw. sowie die Rechte hinterlegt. Bei einer Identifikation wird das präsentierte Merkmal mit den Merkmalen aller Weltbürger verglichen. Natürlich wurden bis zum Einsatz dieses universellen ID-Systems die wichtigsten technisch-biologischen Probleme wie Rechenleistung der Computer, der Fälschungsschutz der biometrischen Merkmale und die permanente Verfügbarkeit der Merkmale gelöst. Mit dem Fälschungsschutz ist auch sichergestellt, dass das Bekanntwerden eines Merkmals keinen Schaden mehr anrichten kann und somit als Datensatz die herkömmlichen Adressen ersetzen kann. Durch Auswahl geeigneter biometrischer Merkmale wie Fingerprint (mindestens 2 Finger) oder Iris wird auch das Problem der FAR (Falschakzeptanzrate) gelöst, so dass bei einer Weltbevölkerung von 10 Milliarden Menschen die Falschidentifikationsrate nicht höher als 1 zu 1 Mio. ausfällt."

Viele Missbrauchsmöglichkeiten ergeben sich durch ungeplante Abweichungen vom normalen Gebrauch einer biometrischen Anwendung. Andere biometrische Anwendungen, besonders die erzwungenen, bieten von vornherein ein erhöhtes Missbrauchspotenzial, das verschärfte Gesetze und andere verstärkte Schutzmaßnahmen erfordert. Denkbar sind evtl. auch Anwendungen, deren Ziel der Missbrauch ist. Grundsätzlich gilt aber: ohne biometrische Anwendung kein Missbrauch. Und wie ein Missbrauch konkret aussehen kann, bestimmt damit fast ausschließlich die Anwendung. Allein das Sammeln von biometrischen Merkmalsdaten begründet noch keinen Missbrauch. Deshalb werden wir jede Missbrauchskategorie mit  Beispielen untermauern, auch wenn dies mitunter nicht ganz leicht fällt.

So wie sich vor einigen Jahren noch niemand vorstellen konnte, dass Phishing (->Wikipedia) eine ernstzunehmende Gefahr darstellen könnte, so wäre es vermessen, hier eine vollständige Aufzählung aller Missbrauchsmöglichkeiten liefern zu wollen. Deshalb ist es in der Regel sinnvoll, generelle Vorsicht walten zu lassen. Da "Missbrauch" ein stark relativierbarer Begriff ist, werden wir uns hier auf die sichere Seite stellen und als "worst case" für die Realisierung eines biometrischen Systems eine bewusst bürgerrechtsfreundliche Haltung einnehmen. Das kann bedeuten, dass Missbrauch nicht nur mit betrügerischen Aktivitäten verbunden sein muss, es sind auch unrechtmäßige Gesetze denkbar!

Identitätsdiebstahl

Da biometrische Merkmale in der Regel keine perfekt schützbaren Geheimnisse sind, lassen sie sich als Datensatz kopieren, physikalisch nachbilden oder verhaltensmäßig nachahmen. Der Missbrauch beginnt mit der nichtautorisierten Nutzung fremder Merkmale zum Beispiel zum Zwecke der Bereicherung auf Kosten des Merkmalsträgers. Dazu wird eine Anwendung benötigt, die nur eine schwache Kopienerkennung durchführt. Gefährlich sind in diesem Fall Anwendungen, die zu hohe Werte schützen sollen, d.h., ein durch Identitätsdiebstahl hervorgerufener Schaden steht in keinem vernünftigen Verhältnis zum Aufwand eines Identitätsdiebstahls. Zur Verhinderung des Identitätsmissbrauchs muss man wissen, dass dieser zwei Dinge voraussetzt:

1. Der Missbraucher hat sich einen biometrischen Datensatz als Kopie (digital oder mechanisch) angeeignet.
2. Das biometrische Zielsystem, auf dem der Missbrauch stattfinden soll, erkennt nicht, dass es sich beim Merkmal um eine Kopie handelt.

Anmerkung: Für einen Identitätsdiebstahl per Datensatzkopie ist es relativ belanglos, ob das System mit Templates arbeitet, aus denen sich die Originaldaten zurück ermitteln lassen. Selbst verschlüsselte Daten können gefährlich sein, wenn andere Systeme mit dem gleichen Schlüssel arbeiten und der gestohlene Datensatz auf diesem System lauffähig ist. Allerdings sind die praktischen Missbrauchs-Chancen je nach System quantitativ unterschiedlich.

Auswertung vertraulicher Zusatzinformationen

Manche biometrischen Merkmale enthalten vertrauliche ->Zusatzinformationen. Bei der DNA sind es z.B. Informationen über Abstammung oder Erbkrankheiten. So können unerwünschte Vaterschaftstests den Familienfrieden stören. (Ein generelles Auswertungsverbot per Gesetz ist zwar wünschenswert aber doch irgendwo fragwürdig, wenn es um die eigenen Daten geht!) Für Erbkrankheiten interessieren sich Versicherungen und Unternehmen, mit der Folge, dass belastete Personen ohne eigenes Zutun auf einen Versicherungsschutz oder einen Arbeitsplatz verzichten müssen. Andererseits könnte das eigene Wissen um eine potenzielle Erbkrankheit zu bewusster Schädigung einer Versicherung oder eines Arbeitgebers herausfordern.

Das generelle Problem bei der Präsentation biometrischer Merkmale an fremden Systemen ist, dass der Merkmalsträger diesen Systemen vertrauen muss. So muss er dem Betreiber glauben, dass keine über die Identifikation hinausgehende unerwünschte Auswertung von Zusatzinformationen erfolgt. Am leichtesten fällt dieses Vertrauen, wenn das zur Identifikation benutzte Merkmal solche Zusatzinformationen nur sehr diffus enthält. Dies ist trotz anderslautender Meinungen zum Glück bei den meisten Merkmalen der Fall, insbesondere bei randotypisch dominierten Merkmalen (->Bio-FAQ)! (Uneinigkeit der Experten in dieser Frage kommt meist dadurch zustande, dass man nicht zwischen "eineindeutigen" Zusatzinformationen differenziert und solchen, die nur mit geringer Wahrscheinlichkeit auf eine Zusatzeigenschaft hinweisen. Z.B. sind die Maße einer Hand im Mittel bei Männern größer als bei Frauen. Trotzdem ist die Handgröße als Geschlechtsdifferenzierungsmerkmal wenig geeignet, da es Überschneidungen gibt und außerdem das Alter der Person eine nicht unwesentliche Rolle spielt. Krankheitsindikatoren sind oft ebenfalls nicht "orthogonal", d.h., sie sind ebenfalls von weiteren Faktoren beeinflusst, weshalb für eine brauchbare Diagnose mehrere unabhängige Indikatoren zum Einsatz kommen müssen.) Vertrauen ist aber wieder erforderlich, wenn es darum geht, was ein Sensor außer dem auszuwertenden Identifikationsmerkmal sonst noch alles misst. Und da reicht es nicht, wenn lediglich das Identifikationsmerkmal rein randotypisch ist!

Datenverknüpfung

Besonderes Kennzeichen biometrischer Merkmale ist ihr hohes Maß an Einmaligkeit. In diesem Sinne lässt sich Biometrie unter Umständen wie eine einmalige Personenkennziffer verwenden. Benutzt man das gleiche biometrische Merkmal als Kennung in unterschiedlichen Anwendungen und Datenbanken, lässt sich so eine Verknüpfung der unter dieser Kennung gespeicherten Daten erreichen.

Jemand, der Zugriff zu unterschiedlichen Datenbanken hat, kann auf diese Weise ein Personenprofil erstellen. Beispiel: Datenbank A ordne einem biometrischen Merkmal den Namen einer Person zu und Datenbank B enthalte anonym die Ausleihdaten einer biometrisch unterstützten Videothek. Hat nun jemand Zugriff auf beide Datenbanken, kann er (falls kein Schutz vorgesehen ist) nach Vergleich der biometrischen Merkmale dem eigentlich anonymen Videothekenausleiher einen Namen zuordnen!

Benutzungszwang

Benutzungszwang ohne Ausweichmöglichkeiten kann ein Verstoß gegen die informationelle Selbstbestimmung (->Wikipedia) sein. Unabhängig davon verhindert der Benutzungszwang ein natürliches Regulativ, das darin besteht, sich als Merkmalsträger im Falle eines Missbrauchs von einer Anwendung zurückziehen zu können, um damit dem Missbrauch zu entgehen oder den Betreiber zur Systemnachbesserung zu zwingen. In Kundenanwendungen ist das Fehlen von Ausweichlösungen (soweit technisch überhaupt sinnvoll) dann unkritischer, wenn der Kunde sich nichtbiometrischen Anbietern zuwenden kann oder das Angebot generell nicht lebensnotwendig ist.

Überwachung

Überwachung ist an sich kein Missbrauch, sondern vielfach unabdingbar, um Werte aller Art zu schützen. Von Missbrauch kann man erst sprechen, wenn die durch Überwachungsmaßnahmen gewonnenen Informationen ohne Not gegen Personen gerichtet werden, z.B. in Form einer Erpressung. Das Problem der ständig steigenden Möglichkeiten für eine legale Personenüberwachung besteht vor allem in der deutlichen Senkung der Machbarkeitsschwelle für einen Missbrauch.

Beim Überwachungsstaat (->Wikipedia) ist die Gefahr sehr groß, dass gut gemeinte Überwachungsmaßnahmen sich auch gegen unliebsame Bürger richten bzw. dass Gesetze diese zu Kriminellen definieren. Unerfreulichstes Beispiel aus der jüngeren Weltgeschichte war das zwischen 1933 und 1945 in Deutschland herrschende Regime, dessen Repressionsmechanismen zunehmend in Vergessenheit geraten.

In der fiktiven ->biometrischen Gesellschaft wäre die biometrische Identifikation ein wichtiger Bestandteil eines Überwachungsapparats und damit geeignet zur weltweiten Verfolgung "unliebsamer" Personengruppen. Dabei spielt in diesem Fall die heimliche Erfassung der Merkmale keine Rolle! Eine Folge der modernen Technik ist der hohe Anfall von speicherbaren Daten und deren Vernetzung. Es reichen relativ kleine Gesetzesänderungen und in der Folge relativ kleine Softwareänderungen, um diese Daten schrittweise für staatliche und andere Zwecke nutzbar zu machen. Und es ist wiederum nur ein kleiner Schritt zum gesetzlich legitimierten Missbrauch dieser Daten, wie die Geschichte schon häufig bewiesen hat.

Biometrie allein ist von Natur aus für Überwachungszwecke ungeeignet. Erst die Verknüpfung mit weiteren Informationen ermöglicht eine gerechtfertigte oder missbräuchliche Personenüberwachung. Geeignet ist eine biometrische Identifikation zum Beispiel zum Erstellen von Zeit-Bewegungsprofilen. Dazu müssen die Zeit- und Ortsdaten einer Person zentral zusammengeführt werden. Die Biometrie stellt sicher, dass es sich um ein und die selbe Person handelt.

Beispiel: Einkauf per Kreditkarte

Normalgebrauch: Mit dem biometrischen Merkmal der Unterschrift identifiziert sich der Käufer in einem Geschäft als rechtmäßiger Karteninhaber. Zuvor wurde die Kreditkarte zentral per Telekommunikation überprüft. Mit Hilfe der übermittelten Karten-Daten kann die Kreditkartenorganisation alle Vorgänge registrieren, abrechnen und dem Kunden zur Überprüfung vorlegen. Auf Grund der Ortsangaben kann die Kreditkartenorganisation aber auch Plausibilitäts-Checks vornehmen. Wenn z.B. mit der gleichen Kreditkartennummer innerhalb einer Stunde ein Einkauf in New York und ein weiterer in Timbuktu getätigt wird, spricht viel dafür, dass ein Kartenmissbrauch vorliegt. Die Kreditkartenorganisation kann mindestens die zweite Transaktion oder gleich die gesamte Kartennummer sperren oder aber eine genauere Legitimation, z.B. per Ausweis verlangen.

Missbrauch: Wenn ein Mitarbeiter der Kreditkartenorganisation die Ehefrau über einen mit Karte bezahlten Besuch des Ehemannes im Rotlichtviertel informiert, liegt sicher ein Missbrauch vor!

Beispiel: Einkauf per Fingerprint

Normalgebrauch: Wie beim Einkauf per Kreditkarte, nur dass die Käuferidentität allein auf Basis des Fingerabdrucks zentral geprüft wird. Hier sind die gleichen Checks gegen Missbrauch möglich.

Missbrauch 1: Wie beim Einkauf per Kreditkarte.

Missbrauch 2: Ein Geschäft erteilt einem Käufer ein unbegründetes Hausverbot, d.h., wenn der Kunde mit seinem Fingerabdruck bezahlen will, wird ein Abschluss des Kaufs verweigert. Das Hausverbot wird der Fingerprint-Verifikationsorganisation mitgeteilt. Diese erweitert das Hausverbot auf alle angeschlossenen Geschäfte. Der Kunde wundert sich, dass er nirgends mehr per Fingerabdruck bezahlen kann. Anm.: Auch dieser Missbrauch ist nicht biometriespezifisch.

Missbrauch 3: Unberechtigte Weitergabe der Fingerabdruckdaten durch den Betreiber mit dem Risiko, dass die Merkmale auf Kosten aber ohne Einwilligung des Merkmalsträgers für betrügerische Geschäfte genutzt werden. Anm.: Dieser Missbrauch wäre mit PINs noch einfacher zu realisieren.

Beispiel: Verfolgung per Überwachungskamera

Normalgebrauch: Eine Überwachungskamera dient üblicherweise weniger zum permanenten Identifizieren von Personen, sondern (nach der Prävention) primär zum Identifizieren von Unregelmäßigkeiten und Straftaten. Erst wenn eine Straftat erkennbar ist, besteht auch großes Interesse an der Identifizierung der beteiligten Personen. Hier wird häufig die automatisierte Gesichtserkennung ins Spiel gebracht. Allerdings reicht die Leistung einer Gesichtserkennung oft nicht aus, es sind weitere Merkmale wie Größe, Kleidung etc. zu berücksichtigen. Auch kann es eine große Hilfe für Strafverfolger sein, wenn Verdächtige auf mehreren Kameras an mehreren Orten zu sehen sind, um einen kompletten Tathergang zur Überführung der Täter rekonstruieren zu können.

Missbrauch: Alle Überwachungskameras z.B. einer Stadt werden zusammengeschaltet und mit Hilfe einer großen Datenbank von bekannten Gesichtern dazu genutzt, jede Person an jedem Ort zu erkennen und ein präventives Bewegungsprofil zu erstellen. Anm.: Dieser Missbrauch ist bereits theoretisch nicht realisierbar, da die Gesichtserkennung die notwendigen extrem niedrigen Falschakzeptanzraten von Natur aus nicht erreichen kann [Bromba 2004].

Ja. Gelingt es, in den Besitz eines fremden biometrischen Bilddatensatzes zu kommen (als elektronische oder sonstige Kopie), kann daraus ein künstlicher Merkmalsträger erzeugt werden, mit dem unter Umständen handelsüblichen biometrischen Systemen eine falsche Identität vorspiegelbar ist. Mit Biometrie als einziger Authentifikationsmaßnahme lässt sich aus diesem Grund beim heutigen Stand der Technik nur ein niedriges bis mittleres Schutzniveau erreichen.

Es gibt verschiedene Methoden, um an biometrische Daten bzw. Kopien davon zu kommen. So lassen sich unbeabsichtigt hinterlassene latente Spuren biometrischer Merkmale (möglich z.B. bei DNA, Fingerprint, statischer Unterschrift) direkt kopieren. Voraussetzung ist natürlich, dass die Spuren eindeutig zuordenbar sind. Das gleiche gilt für öffentliche Bildaufnahmen (Gesicht, mit Einschränkungen auch Iris) und digitale Daten, die durch unberechtigten Systemzugriff entwendet wurden. Das Zuordnungsproblem entsteht nicht, wenn es gelingt, die biometrischen Daten während der Datenaufnahme des Authentifikationsprozesses zusammen mit allen Verifikationsdaten abzuzweigen. Dies ist vor allem an öffentlichen Systemen zu befürchten, aber auch nur dann, wenn die Leitung zwischen Sensor und Verarbeitungssystem für einen Angreifer frei zugänglich ist oder wenn der Datendieb unbemerkt ein Vorsatzgerät mit eigener Datenerfassung installiert. Bei PC-Anwendungen (auch persönlichen) sind Trojaner (->Wikipedia) eine mögliche Methode zum Diebstahl biometrischer Daten.

Eine weitere indirekte Methode zum Identitätsdiebstahl besteht darin, bei einem Identifikationssystem mit hoher Zahl von durchsuchten Merkmalen und nicht vorhandener Kopienerkennung auf gut Glück mit einer oder vielen unterschiedlichen mechanischen Merkmalskopien eine erfolgreiche Identifikation zu versuchen. Wenn dieses System keine hinreichend niedrige Identifikations-FAR aufweist, wie dies bei sicherheitsunkritischen Anwendungen ausreichend sein mag, und wenn das System bei erfolgreicher Falscherkennung den Namen des betreffenden Merkmalsträgers preisgibt, ist damit das Merkmal dieses Nutzers korrumpiert!

In der Regel gibt es zu einem biometrisches System einen Betreiber, der die Technik zur Verfügung stellt und den oder die Merkmalsträger. Aus Sicht des Datenschutzes ist insbesondere der Merkmalsträger vor den Folgen eines Identitätsdiebstahls (z.B. einer mechanischen Merkmalskopie) zu schützen.

Natürlicherweise wird man erwarten dürfen, dass verstärkte Datenschutzmaßnahmen dann zu fordern sind, wenn der Schaden zuerst den Merkmalsträger trifft. Anders als der Betreiber, hat der Merkmalsträger nämlich nicht die Möglichkeit, das biometrische System gegen die Anwendung von Merkmalskopien zu schützen.

Wer im Fall eines Identitätsdiebstahls der Geschädigte ist, hängt von der Anwendung und von den rechtlichen/vertraglichen Bedingungen ab. Dazu einige Beispiele:

• Bei einer biometrischen Arbeitszeiterfassung ist im Fall des "Identitätsdiebstahls" der Arbeitgeber der Geschädigte, wenn der Merkmalsträger sein Merkmal als Kopie an einen Kollegen zwecks Vortäuschung seiner Anwesenheit weitergibt. Der Arbeitgeber als Betreiber wird deshalb bestrebt sein, eine dem Risiko angemessene technische Abwehr gegen solche Kopien zu gewährleisten.
• Bei einer Dauerkarte für eine Dienstleistung möchte der Betreiber die Weitergabe durch Einsatz von Biometrie verhindern. Im Falle des Identitätsdiebstahls ist wiederum der Betreiber der Geschädigte, nicht der Merkmalsträger.
• Im Fall einer reinen (indirekten!) Altersverifikation durch Biometrie ist bei einem Identitätsdiebstahl weder der Betreiber, noch der betroffene volljährige Merkmalsträger der Geschädigte, sondern der minderjährige Identitätsdieb. In diesem Fall wird am stärksten der Gesetzgeber daran interessiert sein, dass ausreichende Schutzvorkehrungen durch den Betreiber getroffen werden!
• Wird Biometrie zum Bezahlen genutzt, ist im Fall des Identitätsdiebstahls der Merkmalsträger der Erstgeschädigte. Hier taucht zusätzlich das Problem auf, dass der Geschädigte den Identitätsdiebstahl in der Regel nur schwer nachweisen kann und sich selbst einem Betrugsverdacht aussetzt. Das erschwert auch kulante oder kundenfreundliche Regelungen von Seiten des Betreibers! Da Merkmalskopien nicht zu verhindern sind, ist vom Betreiber ein besonderer Fälschungsschutz gegen den Einsatz solcher Kopien zu fordern.
• Schützt ein Anwender den Zugang zu seinem privaten PC durch Biometrie, ist er sowohl Merkmalsträger als auch Betreiber - datenschutzrechtlich der Idealzustand!

Das ideale biometrische Merkmal liefert nur die für Identifikationszwecke erforderliche Einmaligkeitsinformation. Es liefert hingegen keine Informationen, die Rückschlüsse auf weitere datenschutzkritische Eigenschaften des Merkmalsträgers ermöglichen. Dies könnten sein:

• Krankheitsdispositionen
• psychische Verfassung
• Geschlecht
• Körpergröße
• Rasse
• Vererbungen
• Verwandschaftsverhältnisse

Besonders kritisch in dieser Hinsicht sind vorrangig genotypische Merkmale (->Bio-FAQ) und von diesen insbesondere die DNA, während hochgradig randotypische Merkmale (->Bio-FAQ) prinzipbedingt eher als unverdächtig gelten.

Folgende Schritte können bei geeigneter Umsetzung einen signifikanten Schutz gewährleisten:

Technische Maßnahmen

• Schutz gegen Diebstahl der biometrischen Daten
• Schutz gegen Einschleusung fremder biometrischer Daten
• Erkennung von mechanischen Merkmalskopien

Organisatorische Maßnahmen

• Zugriffs- und Zutrittskontrolle für alle datenverarbeitenden Systeme und Verbindungen
• Protokolldateien für alle wichtigen Vorgänge und Transaktionen
• Regelmäßige Kontrollen/Zertifizierungen über Funktionsfähigkeit und Einhaltung der Vorschriften möglichst durch unabhängige Institutionen

Gesetzliche Maßnahmen

• Datenschutzgesetze und -verordnungen zur Anwendung von technischen und organisatorischen Maßnahmen

Vertragliche Maßnahmen

• Zusicherung von Maßnahmen, die über die gesetzlichen Mindestanforderungen hinausgehen

Als wichtigste Schutzmaßnahme ist dafür zu sorgen, dass biometrische Templates nicht in unberechtigte Hände fallen. Hierbei helfen folgende Maßnahmen:

Geschlossene Systeme

Das biometrische System sollte möglichst keine Daten-Verbindung zur Außenwelt (z.B. zum Internet) unterhalten, die es Angreifern ermöglichen könnte, sich über Softwarefehler oder Systemfehlkonfigurationen Zugriff auf die biometrischen Daten zu verschaffen.

Physikalischer Zugangsschutz

Nur autorisierten Personen darf ein protokollierter Zutritt zu datenschutzrelevanten Systemen gewährt werden.

Verteilte Template-Speicherung

Das System speichert in einzelne Teile aufgespaltene Templates an verschiedenen Orten. Diese Einzelteile sind für sich allein nicht brauchbar und damit nicht missbrauchbar. Eine Zusammenführung erfolgt nur zum Zwecke der Authentifikation. Die Zuordnungstabelle wird ebenfalls separat und verschlüsselt gespeichert.

Kartenspeicherung

Die Templates werden in kryptografisch abgesicherten Smartcard-Chips gespeichert, so dass sich auch im Falle eines Kartenverlusts ein nichtautorisierter Zugriff wirksam unterbinden lässt.

Vorsicht Identifikationssysteme!

Die resultierende Identifikations-FAR sollte trotz hoher Merkmalsdatenzahl extrem niedrig sein, z.B. kleiner als 1 zu 1 Mio. Ist das nicht erreichbar, darf im erfolgreichen Identifikationsfall auf keinen Fall die Ausgabe von sonstigen Identifikationsdaten wie z.B. dem Namen erfolgen (Schlechtes Beispiel: "Guten Morgen, Herr Alois Müller!").

Für den Fall, dass biometrische Templates trotz aller Schutzmaßnahmen in falsche Hände geraten, ist es wichtig, durch vorbeugende technische Zusatzmaßnahmen dafür gesorgt zu haben, dass der Dieb mit den Templates nichts anfangen kann. Zu diesen vorbeugenden Maßnahmen, die natürlich nicht alle gleichzeitig  realisiert sein müssen, gehören:

Template-Verschlüsselung

Der Erkennungsalgorithmus speichert ausschließlich verschlüsselte Templates, die nur zum Zwecke des Vergleichs temporär entschlüsselt werden. Es gibt verschiedene Verschlüsselungsstufen:

Verschlüsselung mit einem algorithmenspezifischen Schlüssel. Alle Integratoren eines Algorithmusses nutzen den gleichen, nur dem Algorithmenentwickler bekannten Schlüssel. Nur der Algorithmenentwickler könnte Templates außerhalb der Erkennungs-Software entschlüsseln.

Verschlüsselung mit einem integratorspezifischen Schlüssel. Alle Produkte eines Algorithmen-Integrators nutzen den gleichen, nur dem Integrator bekannten Schlüssel.

Verschlüsselung mit einem produktspezifischen Schlüssel. Alle Produkte eines Algorithmen-Integrators nutzen einen anderen, nur dem Integrator bekannten Schlüssel.

Verschlüsselung mit einem nutzerspezifischen Schlüssel. Jeder Nutzer eines biometrischen Systems hat seinen eigenen, höchstens ihm selbst bekannten aber zumindest vollständig unterstellten Schlüssel. In diesem Fall sollte zur Schlüsselspeicherung eine Krypto-Chipkarte genutzt werden.

Zusätzlichen Schutz gewinnt man durch Kombination einer der drei letzten Verfahren mit der ersten Stufe.

Template-Anonymisierung

Gegen die Korrumpierung des Verschlüsselungs-Schlüssels kann zur weiteren Erschwerung des Missbrauchs gestohlener Templates hinzukommen, dass den Templates keine Nutzerdaten hinzugefügt werden, die eine direkte Zuordnung ermöglichen. In diesem Fall sind die Templates nur durch eine laufende Nummer gekennzeichnet, deren Zuordnung zum Nutzer mit einer an anderem Ort verschlüsselt gespeicherten Tabelle nur durch die Anwendung möglich ist. Sind die Templates in Dateien gespeichert, sollte auf keinen Fall eine leicht zu ermittelnde nutzerspezifische ID-Nummer als Dateiname gewählt werden. Gestohlene Merkmale sind deutlich "ungefährlicher", wenn man Ihren Besitzer nicht kennt.

Verzicht auf Nutzung standardisierter Template-Formate

Standardisierte Templates können den Nachteil haben, dass sie nicht nur mit einem speziellen Erkennungsalgorithmus zusammenarbeiten, sondern mit allen, die Standardtemplates verstehen. Auf diese Weise werden Angriffe zur Rekonstruktion von Bilddaten aus gestohlenen Templates erleichtert, siehe Frage zum Thema ->Rohdaten!

Verzicht auf biometrische Rohdaten

Obwohl sich Rohdaten unter bestimmten Voraussetzungen grundsätzlich auch aus stark komprimierten Rohdaten ->rekonstruieren lassen, ist dies doch mit einem gewissen Know-how verbunden. Somit ist auch ein gewisser Schutz gegen schwache Angriffe gewährleistet. Allerdings sinkt mit stärkerer "Komprimierung" der Templates die mögliche Erkennungsleistung!

Gestohlene biometrische Templates können in der Regel nur dann einen Schaden anrichten bzw. missbraucht werden, wenn sich entweder das biometrische Zielsystem fremde Templates unterschieben lässt (z.B. durch unberechtigten Systemzugriff und weil das Template als digitaler Datensatz nicht signiert wurde) oder wenn es mechanische Kopien nicht von Originalen unterscheiden kann.

Ja. Wenn es darum geht, kritische ->Zusatzinformationen (falls vorhanden) zu missbrauchen, sind Templates gegenüber Rohdaten eindeutig im Vorteil, vorausgesetzt, der Template-erzeugende biometrische Algorithmus hat diese Zusatzinformationen eliminiert.

Nein. Wenn der Identitätsdiebstahl mit anschließendem Identitätsmissbrauch das Hauptproblem darstellt, und das dürfte die meisten Missbräuche betreffen, bieten Templates im Gegensatz zur landläufigen Meinung für Spezialisten nur eine geringe oder gar keine Verbesserung! Es lässt sich nämlich aus dem Template mit Hilfe mathematischer Methoden unter Nutzung des erzeugenden Erkennungsalgorithmus ein beliebiges neues "Rohbild" rekonstruieren, das der Erkennungsalgorithmus nicht vom Originalrohbild unterscheiden kann. Denn es können zu einer Identität sehr viele Rohbilder existieren, von denen nicht nur das "richtige" einen Schaden anrichten kann, sondern alle! (Dieses Verfahren funktioniert auch mit verschlüsselten Templates, wenn der Algorithmus Zugriff auf alle notwendigen Schlüssel hat.) Weitere Informationen finden sich unter Publikationen [Bromba 2003].

Abhängig davon, wo die Referenzmerkmalsdaten der Anwender gespeichert sind, können sich große Unterschiede in Bezug auf Sicherheit, Datenschutz, Administrationskosten, Enrollmentaufwand und Performanz ergeben. Ein biometrisches System (siehe Blockschema) besteht aus einzelnen Funktionsblöcken, die sich relativ gut separieren lassen und somit über wohldefinierte Schnittstellen verfügen.
 

Enrollment-Mode Sensor- Gerät Merkmals- Extraktion Referenz- Archiv   Verifikations-Mode Sensor- Gerät Merkmals- Extraktion Vergleicher & Entscheider  OK / NOK Referenz- Archiv   Klassisches biometrisches Verifikationssystem

Damit ist es auch möglich, diese Blöcke an unterschiedlichen Orten zu betreiben, wobei die Gesamtfunktionsfähigkeit über die dazwischenliegenden Verbindungen gewährleistet ist. Diese Verbindungen können geräte-intern sein oder über öffentliche oder private Netze führen. Sie lassen sich bei Bedarf mit bekannten kryptografischen Methoden schützen.

Aus datenschutztechnischer Sicht ist besonders das Referenzarchiv von Bedeutung, da hier die persönlichen Nutzerdaten dauerhaft  bis zur eventuellen Löschung gespeichert sind, während die biometrischen Daten in den anderen Blöcken und auf den Verbindungen nur temporär während des Authentifikationsvorgangs auftreten. Für den Merkmalsträger ist besonders interessant, wie gut seine persönlichen Daten gegen Fremdzugriff geschützt sind und welche Rechte und Einflussmöglichkeiten er selbst bezüglich seiner Daten hat.

Hat das biometrische System mit mehr als einem Merkmalsträger zu tun, sind verschiedene zusätzliche Alternativ-Varianten möglich:

• Das Referenzarchiv enthält die Daten von mehreren Merkmalsträgern (jeder Block kommt einmal vor). Beispiel: Zutrittskontrollsystem oder biometrischer PC-Zugang bei mehreren Nutzern.
• Das Referenzarchiv ist "verteilt", jeder Merkmalsträger verfügt über sein eigenes Unterarchiv. Beispiel: Jeder Merkmalsträger verfügt über eine Chipkarte, auf der seine biometrischen Daten gespeichert sind. Diese Daten lassen sich bei Bedarf vom System auslesen.
• Die Blöcke Sensorgerät, Merkmalsextrahierer, Vergleicher&Entscheider und Referenzarchiv sind für jeden Merkmalsträger dupliziert und unterliegen dem Verfügungsbereich des Merkmalsträgers. Das Referenzarchiv enthält jeweils nur die Daten des Merkmalsträgers. Beispiel: "System on Card" oder Homebankinglösung mit biometrischen Zugang, der komplett auf dem eigenen PC des Merkmalsträgers abläuft.
• Die Blöcke Sensorgerät und Merkmalsextrahierer sind für jeden Merkmalsträger dupliziert und unterliegen dem Verfügungsbereich des Merkmalsträgers. Die Blöcke Vergleicher&Entscheider und Referenzarchiv sind beim Betreiber der Anwendung lokalisiert. Beispiel: PC-Homebanking mit Datenaufnahme und -kompression beim Merkmalsträger und zentraler biometrischer Authentifikation beim Betreiber.

Untersucht man die angeführten Varianten etwas näher, wird sofort klar, dass die Einteilung in zentrales und dezentrales Merkmalsarchiv keine vollständige Beschreibung der datenschutztechnischen Sachlage ermöglicht! Es müssen vielmehr (wie oben schon angedeutet) weitere Kriterien hinzukommen. Ein nicht unwichtiges Kriterium dürfte sein, inwieweit der Merkmalsträger über seine eigenen Daten verfügen und diese insbesondere löschen kann. Dieses Kriterium ist erst in zweiter Näherung abhängig vom Speicherort!

Im folgenden werden drei häufige Sonderfälle zur Speicherung biometrischer Daten betrachtet:

• Dezentrales / mobiles Archiv unter Kontrolle des Merkmalsträgers
• Zentrales / verteiltes Archiv unter Kontrolle des Betreibers
• Zentrales / verteiltes Archiv unter Kontrolle des Merkmalsträgers

Dezentrales / mobiles Archiv unter Kontrolle des Merkmalsträgers

Bei persönlichen Anwendungen liegen in der Regel alle biometrischen Daten in der lokalen Verfügungsgewalt des oder der End-Anwender. Zugriff auf die biometrischen Daten besteht nur für die Nutzer dieses PCs bzw. Clients. Somit sind biometrische Manipulationen ebenfalls nur lokal ansetzbar und erfordern den räumlichen Zugriff auf den PC. Anmeldungen an netzbasierten Anwendungen erfolgen über eine (auswechselbare) eindeutige Kennung/ID.

Bei Wechsel des Arbeitsplatzes ist allerdings ein weiteres Enrollment auf dem neuen Rechner erforderlich. Zentrale Schutzmaßnahmen gegen biometrische Angriffe sind nur beschränkt möglich. Auch lassen sich die biometrischen Daten der Mitbenutzer nur unzulänglich schützen. Ein Derollment ist ebenfalls nur lokal durchführbar und damit eventuell recht umständlich.

Abhilfe schafft hier das mobile Archiv auf einem geeigneten Token (Smartcard, USB-Stick, etc.), der benutzerspezifisch ist, sich ohne neues Enrollment auf weiteren Rechnern einsetzen lässt und vor allem einen recht guten Schutz gegen den Identitätsdiebstahl bieten kann. Es sind zentrale Schutzmaßnahmen gegen korrumpierte Token (Deaktivierung wie bei Kreditkarten) möglich, ohne das Benutzer-Konto selbst zu deaktivieren. Allerdings können Karten verloren gehen oder vergessen werden, so dass die Unterhaltskosten etwas höher als bei kartenlosen Lösungen, aber immer noch niedriger als bei Passwortsystemen liegen dürften.

Zentralarchiv / verteiltes Archiv unter Kontrolle des Betreibers

Eine Client-Server-Lösung mit zentralem Merkmalsarchiv und zentralem Merkmalsvergleicher ermöglicht einen wesentlich besseren Schutz der biometrischen Daten als das lokale Archiv auf dem PC, da an zentraler Stelle auch mehr Schutzaufwand zu rechtfertigen ist. Bei Wechsel der biometrischen Authentifikationsstelle ist kein neues Enrollment erforderlich.

Sollte der zentrale Schutz allerdings versagen, ist auch mit entsprechend größeren Schäden zu rechnen. Hinzu kommt, dass Angriffe mit biometrischen Fälschungen von überall her initiiert werden können. Auch sind die Benutzerdaten dem Zugriff der berechtigten Benutzer üblicherweise entzogen, so dass dieser nicht unmittelbar auf Missbräuche reagieren kann.

Eine Möglichkeit, zentrale Archive gegen Angriffe von außen stärker zu schützen, besteht darin, die biometrischen Daten in für sich unbrauchbare Einzelteile zu zerlegen und auf mehrere Datenbanken zu verteilen.

Das Zentralarchiv setzt besonderes Vertrauen in den Betreiber voraus. Denn wenn der Missbrauch vom Betreiber ausgeht, gibt es für die Geschädigten nur noch wenige Schutzmöglichkeiten!

Randbemerkung: Natürlich sind auch dezentrale Archive unter der vollständigen Kontrolle des Betreibers und somit den gleichen Problemstellungen möglich!

Zentralarchiv / verteiltes Archiv unter Kontrolle des Merkmalsträgers

Eine sowohl datenschutztechnisch als auch von der Leistungsfähigkeit her besonders vorteilhafte Lösung ergibt sich bei exklusiver Speicherung eines merkmalsträgerspezifischen Schlüssels auf einem Token. Mit diesem Schlüssel erfolgt im Falle einer Transaktion die individuelle Ver- und Entschlüsselung der biometrischen Daten im Zentralarchiv. Eine Entschlüsselung erfolgt nur temporär bei Anwesenheit des Merkmalsträgers zum Zwecke des Vergleichs.

Da der Schlüssel ausschließlich auf dem Token gespeichert ist, sind die Merkmalsdaten im Fall der Systemkorrumpierung sicher geschützt.

Geht der Token verloren, sind die zentralen Merkmalsdaten ebenfalls unbrauchbar. Abhilfe: Ausgabe eines neuen Token mit neuem Schlüssel und neuem Enrollment.

Allerdings setzt auch dieses System Vertrauen in den Betreiber voraus, da dieser ja heimlich die Schlüssel dauerhaft im System oder die Merkmalsdaten parallel unverschlüsselt speichern könnte. (Dies ist vergleichbar mit dem Vertrauen, dass der Betreiber eines Geldautomaten nicht heimlich die eingegebenen PINs speichert und für betrügerische Transaktionen nutzt!).

Gesetzliche Verbote und Vorschriften (z.B. Datenschutzgesetze und -verordnungen) dienen zur Herstellung eines minimalen Schutzstandards bei der Verarbeitung und Speicherung personenbezogener Daten, zu denen auch die biometrischen Daten gehören.

Darüber hinaus kann man den Merkmalsträgern durch Selbstverpflichtung zu freiwilligen Schutzmaßnahmen und Nutzungseinschränkungen entgegenkommen. Dies kann durch vertragliche Bestimmungen in Form von Betriebsvereinbarungen bei Mitarbeiteranwendungen oder Allgemeinen Geschäftsbedingungen bei Kundenanwendungen geschehen. Für Mitarbeiteranwendungen wurde von der TeleTrusT e.V. eine ->Musterbetriebsvereinbarung erarbeitet.

Soll eine biometrische Anwendung breite Nutzer-Akzeptanz finden, ist Vertrauen sowohl in die Technik als auch in den Betreiber oberste Voraussetzung. Es gibt eine Reihe von einfachen Maßnahmen von Seiten des Betreibers, die dieses Vertrauen stärken können:

Freiwilligkeit der Nutzung

Dem Merkmalsträger steht eine nichtdiskriminierende Ersatz- oder Ausweichlösung zur Verfügung, und zwar nicht nur in solchen Fällen, in denen die Biometrie versagt ("Nutzerausfallrate" ->Bio-FAQ), sondern auch dann, wenn sich der Merkmalsträger ohne Nennung von Gründen gegen die Nutzung von Biometrie entscheidet. Nichtdiskriminierung bedeutet nicht, dass eine absolut gleichwertige Ersatzlösung gefunden werden muss. Denn ein wichtiger Grund für den Einsatz von Biometrie sind ja gerade ein erhöhter Nutzerkomfort und eine Kostenreduktion.

Biometrische Systeme, die gegen den Willen eines Nutzers eingesetzt werden, haben in aller Regel mit hohen Fehlerraten zu kämpfen, wobei nicht notwendigerweise erkennbar ist, ob nicht auch ein biologischer Grund vorliegt!

Selbstbeschränkung des Betreibers

Biometrische Systeme lassen sich vielfältig nutzen und manchmal auch missbrauchen. Um das Vertrauen der Merkmalsträger zu gewinnen, ist es unerlässlich, dass sich der Betreiber des Systems zu sinnvollen Beschränkungen verpflichtet. Dazu gehören:

• keine Weitergabe von biometrischen Daten an Dritte
• keine Auswertung und Speicherung von biometrischen ->Zusatzinformationen
• bei Insolvenz und Firmenübernahmen Wahlrecht zur Löschung der biometrischen Daten
• absolute Zweckbindung der biometrischen Daten
• überprüfbare Löschung der biometrischen Daten unmittelbar nach letztmaligem Gebrauch

Unabhängige Überprüfung & Zertifizierung

Ein biometrisches System sollte nicht nur permanent unter der Kontrolle eines unabhängigen Datenschutzbeauftragten stehen. Zu empfehlen ist auch ein Gütesiegel einer unabhängigen Datenschutzorganisation (Beispiel: ->Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein).

Transparenz

Ein nicht zu unterschätzender Beitrag zur Vertrauenswürdigkeit des Betreibers und seiner Technik ist die Information des Nutzers/Merkmalsträgers durch den Betreiber über die Art und Weise der Nutzung seiner Daten sowie die vorhandenen Schutzvorkehrungen gegen einen eventuellen Daten-Missbrauch durch Dritte. Unqualifizierte Fehlinformationen oder Ablenkungsmanöver wie die Behauptung, ->aus Templates ließen sich keine Rohdaten zurückgewinnen, sollten tunlichst unterbleiben, da sie das Vertrauen in die notwendige Sachkompetenz eines Betreibers empfindlich beschädigen können!

Die Ideallösung zeichnet sich durch folgende Eigenschaften aus:

• Der komplette biometrische Teil der Anwendung, bestehend aus Sensor, Merkmalsextraktion, Merkmalsspeicher und Merkmalsvergleich befindet sich in der Verfügungsgewalt des Merkmalsträgers.
• Zweckmäßigerweise ist der biometrische Teil des Systems in einem Token untergebracht, der den Einflussbereich des Merkmalsträgers nicht verlässt.
• Der biometrische Teil des Tokens ist vollständig von der Kommunikationsschnittstelle zum Betreiberteil des Systems abgeschottet.
• Die Kommunikationsschnittstelle ist kryptografisch asymmetrisch geschützt und liefert nur die üblichen mehrdeutigen Personendaten. Nur der Kryptoschlüssel muss einmalig sein.
• Die Gültigkeit des asymmetrischen Schlüsselpärchens wird bei jeder Transaktion über ein Trustcenter überprüft. Auf diese Weise lassen sich auch gestohlene Token "deaktivieren".
• Alternativ zu den Personendaten lässt sich der Token auch anonym betreiben. In diesem Fall enthält der Token neben dem einmaligen Schlüsselpärchen nur Berechtigungsinformationen.

Mit dem Token geht allerdings der Vorteil verloren, sich ohne vergessbare oder verlierbare Dinge authentifizieren zu können.

Oberste Maxime sollte die Freiwilligkeit sein. Dies würde staatlichem Missbrauch wirksam vorbeugen, denn insbesondere die deutsche Geschichte hat gezeigt, dass von staatlichen Einrichtungen die größten Gefahren für den Menschen ausgehen können. (Freiwilligkeit macht auch schon deshalb Sinn, weil nicht alle Menschen jederzeit über Merkmale verfügen, die problemlos elektronisch erfassbar wären.)

In vielen Fällen, so auch beim Reisepass, ist die Kostenreduktion ein wichtiger Motivationsfaktor für die Einführung der Biometrie, auch wenn nach außen manchmal andere Gründe proklamiert werden. Diese Kostenentlastungen sollten an den Bürger, der sich für einen biometrischen Ausweis entscheidet, weitergegeben werden.

Die größte Gefahr für die biometrischen Daten geht im Fall des biometrischen Reisepasses von Fremdstaaten aus, insbesondere wenn diese nicht über zumindest gleichhohe Datenschutzstandards verfügen. Deshalb ist eine Fremdnutzbarkeit weitestmöglichauszuschließen. Im Extremfall kann dies bedeuten, dass man Länder meidet, die den Freiwilligkeitsgrundsatz missachten!

Die insbesondere bei totalitären Staaten beliebte und sonst nur bei Straffälligen und Immigranten realisierte zentrale Speicherung biometrischer und sonstiger personenbezogener Daten ist aus Sicherheitsgründen unbedingt zu vermeiden.

Durch Gesetze und Verordnungen ist zu verhindern, dass eine Auswertung und Speicherung von biometrischen ->Zusatzinformationen erfolgen kann. Das gleiche gilt für die Anlage von zentralen biometrischen Datenbanken. Gleichzeitig ist dafür Sorge zu tragen, dass biometrische Daten ausschließlich für den vorgesehenen Zweck verwendet werden und nicht in fremde Hände gelangen können. Dies ist regelmäßig von unabhängiger Stelle zu überwachen.

Schon im Vorfeld der Einführung eines biometrischen Systems ist es wichtig, die Mitarbeitervertretung, den Datenschutzbeauftragten und den Sicherheitsbeauftragten nicht nur zu informieren, sondern auch zu überzeugen.

Da biometrische Daten in aller Regel (und der Rest sind unberechenbare Streitfälle) personenbezogen sind, ist die Beachtung der nationalen Datenschutzgesetze zwingend erforderlich. Dies kann zu umfangreichen technischen und organisatorischen Schutzmaßnahmen führen.

In Unternehmen, die dem Betriebsverfassungsgesetz unterliegen, hat der Betriebsrat ein Mitbestimmungsrecht bei der Einführung biometrischer Systeme. Das kann auch gelten, wenn der Mitarbeiter von biometrischen Systemen im Betrieb eines Kunden erfasst wird.

Von hoher Bedeutung sind ->vertrauensbildende Maßnahmen, insbesondere, wenn sich möglichst alle Mitarbeiter beteiligen sollen. Dazu gehört insbesondere die Freiwilligkeit der Nutzung, die kein technisches Problem sein sollte, da auf Grund von Nutzerausfällen auch stets Ausweichmaßnahmen zur Verfügung stehen müssen. Andererseits darf man bei freiwilliger Nutzung davon ausgehen, dass die Systeme weit problemloser arbeiten!

Auch Kundendaten unterliegen Datenschutzgesetzen. Neben den gesetzlichen Randbedingungen und technischen Schutzvorkehrungen sind hier die ->vertrauensbildenden Maßnahmen von besonderer Bedeutung, da sie direkt den Geschäftserfolg beeinflussen können. Dazu gehören:

• Selbstbeschränkung des Betreibers: Die Allgemeinen Geschäftsbedingungen des Betreibers eignen sich in besonderem Maße dazu, die Kundenrechte zu fixieren und Zusicherungen zur Anwendung und zum Schutz der biometrischen Daten zu machen.
• Unabhängige Überprüfung & Zertifizierung: Das aus einer erfolgreichen Überprüfung resultierende Gütesiegel ist ein hervorragendes Marketinginstrument.
• Transparenz: Ein Problem der Akzeptanz biometrischer Systeme ist ihre Ungewohntheit, was zur Verunsicherung von Kunden führen kann. Qualifizierte mündliche und schriftliche Information spätestens bei der Registrierung der biometrischen Daten können hier Abhilfe schaffen.
• Freiwilligkeit ist essentiell, um Bestandskunden nicht zu vergraulen. Bei Geschäfts-Neugründungen ist die obligatorische Nutzung der Biometrie solange kein wirkliches Problem, wie der Kunde genügend Ausweichlösungen zur Verfügung hat.

Nein. Auch persönliche Anwendungen sind so zu schützen, dass im Falle eines Falles ein Identitätsdiebstahl ausgeschlossen ist. Dies betrifft insbesondere nicht-vertrauenswürdige Plattformen wie vernetzte oder physikalisch zugängliche PCs oder aber mobile Geräte, die man verlieren kann. Im ersten Fall muss man damit rechnen, dass berechtigte Mitbenutzer oder Trojanische Pferde (->Wikipedia) Zugriff auf die biometrischen Daten haben, die deshalb unbedingt zu verschlüsseln sind!

Bei "Matcher on Card" sind biometrische Referenzdaten unauslesbar auf einer Krypto-Smartcard gespeichert. Da der Merkmalsvergleich im Kartenprozessor stattfindet, müssen die Referenzdaten die Karte nie verlassen. Dies bietet einen hohen Schutz gegen Brute-Force-Attacken, weil man die Zahl der erfolglosen Vergleiche beschränken kann.

Allerdings muss der Merkmalsträger der Applikation, die das biometrische Merkmal erfasst und in ein passendes Templateformat für den Vergleich in der Karte umwandelt, vertrauen. Da die Karte eine erfolgreiche Authentifikation zurückmeldet, kennt die Applikation damit auch kurzzeitig die biometrischen Daten des Merkmalsträgers! Denn eine erfolgreiche Authentifikation bedeutet, dass das der Anwendung bekannte, erfasste Merkmal mit dem auf der Karte gespeicherten hochgradig übereinstimmt.

Deutlich wird der Vorteil von Matcher on Card bei Anwendung in einem Handy. Hier findet der Vergleich wie bei der PIN in der SIM-Karte statt. Die biometrischen Daten sind nicht auf der relativ offenen Handy-Plattform zu finden und können deshalb auch nicht gestohlen werden, wenn man das Handy verliert. Während des kritischen Authentifikationsvorgangs mit dem Berechtigten befindet sich das Handy zwangsläufigerweise im vollständigen Einflussbereich des Berechtigten. Somit wäre ein Identitätsdiebstahl nur mit Hilfe eines "Trojaners" (->Wikipedia) durchführbar.

Insbesondere aus demokratisch weniger entwickelten Staaten (grober Indikator: ->Rangliste der Pressefreiheit) ist häufig die Frage zu hören, ob denn die Daten eines privaten biometrischen Systems gegen polizeiliche Begehrlichkeiten geschützt seien. Offenbar wird es als Gefahr gesehen, dass sich die Polizei über private Datenbestände besonders einfach und ohne Kenntnisnahme des Merkmalsträgers Zugriff z.B. zu Fingerabdrücken verschaffen könnte. Als mögliche Nutzung käme der Aufbau evtl. illegaler Datenbanken in Frage oder auch die Möglichkeit, den Täterkreis an Hand eines vorhandenen Latenzfingerabdrucks einzukreisen, und zwar auch dann, wenn der mögliche Täter für die Abnahme eines Fingerabdrucks (noch) nicht zur Verfügung steht. (Staaten, die bereits über ein biometrisches Zentralarchiv aller Einwohner verfügen, haben diese Sorge nicht...)

Zunächst einmal kann die Polizei mit den biometrischen Datensätzen genauso wenig anfangen wie ein Identitätsdieb, wenn die zu ->gestohlenen Templates gemachten Vorschläge berücksichtigt sind. Allerdings hätte die Polizei sicher zusätzliche rechtliche Möglichkeiten, wie die Erzwingung der Herausgabe des Schlüssels zur Templateverschlüsselung, falls sich dieser vollständig im Besitz des Betreibers befindet. Da sich die Polizei vorrangig für Identitäten interessiert, dürften evtl. vorhandene ->Zusatzinformationen belanglos sein. Es würden bei Fingerprint sogar schon unverschlüsselte Templates auf Minuzienbasis reichen. Keine Chance hätte die Polizei, wenn die Templates mit einem nur dem Merkmalsträger bekannten Passwort verschlüsselt wären.

Wenn es lediglich darum ginge, eine vorhandene Spur zu verfolgen, hätte die Polizei eine ganz andere Möglichkeit, wenn das biometrische System ein reines, nicht anonymes Identifikationssystem ist. In diesem Fall würde ein geeigneter Stempel mit dem Abdruck des vorhandenen Latenzabdrucks reichen. Mit diesem Stempel könnte unter Umgehung von Kopienerkennungseinrichtungen eine Identifikation am Sensor versucht werden [Bromba 2005]. Eine Templateverschlüsselung wäre in diesem Fall belanglos. Diese Möglichkeit ist bei Verifikationssystemen deutlich eingeschränkt, da die Nutzer-ID oder evtl. sogar ein Token bekannt/vorhanden sein müssten. Außerdem wäre jeder Nutzer einzeln durchzuprobieren!

Passwortbasierte Authentifikationssysteme bieten den technischen Vorteil, dass sich das Passwort durch Hashen reproduzierbar in eine andere Zahl überführen lässt, aus der man das Passwort nicht mehr zurückrechnen kann. Ob das eingegebene Passwort richtig ist, lässt sich dann durch Vergleich der gehashten Werte feststellen.
 

Enrollment mode PIN  Hashing Hashed PIN Archive   Verification mode PIN  Hashing Comparison  OK / NOK Hashed PIN Archive   PIN- / Passwortbasierendes Verifikationssystem

Dieser Weg ist für biometrische Templates normalerweise nicht gangbar, weil sich die Templates von Transaktion zu Transaktion in der Regel immer etwas unterscheiden. Im Gegensatz zur PIN ist deshalb kein einfacher 1:1-Vergleich möglich. Durch Hashen würden kleine Abweichungen zudem in große Abweichungen umgewandelt, so dass übliche biometrische Matcher keine Ähnlichkeit mehr feststellen könnten.
 

Enrollment-Mode