Dr. Manfred Bromba - Siemens AG
2002-01-02
revised 2006-02-14

Fingerprint-Erkennung in der Praxis

Zusammenfassung eines am 21. Januar 2002 in Frankfurt/Main gehaltenen Vortrags
Permanente Adresse zum Zitieren: urn:nbn:de:0125-2008032524

Einführung

Fingerprint-Erkennung wird seit fast 100 Jahren in Deutschland mit Erfolg in der polizeilichen Praxis eingesetzt. Die besonderen Eigenschaften des Fingerabdrucks wie Einmaligkeit und Unveränderlichkeit haben aber nicht nur die Kriminaltechnik revolutioniert. Auch im täglichen Leben gibt es genug Bedarf für eine eindeutige Identifikation: PC-Netzzugang, Handy-Benutzung, Raumzutrittskontrolle, Homebanking, Zeiterfassung, Verschlüsselung von Informationen, um nur einige Beispiele zu nennen. Heute wird die Identifikation zur Feststellung der Berechtigung einer Person noch über das Passwort, oder besser gesagt, über eine Unmenge von Passwörtern geregelt. Und Umfragen bestätigen die Erwartung, dass die Zahl der zu sichernden Anwendungen und damit der Passwörter noch weiter steigen wird. Passwörter, besser auch Geheimwörter genannt, können zwar theoretisch beliebig "sicher" sein. In der Praxis  zeigt sich jedoch, dass der Normalanwender sehr schnell überfordert ist, wenn er z.B. beim Homebanking zu entscheiden hat, welches der zu dieser Anwendung gehörenden 3 bis 4 verschiedenen Geheimwörter gerade einzugeben ist. Das Resultat sind hohe Kosten und Sicherheitsrisiken für das Rücksetzen der Geheimwörter. Die meisten Anwender tun sich den Stress erst gar nicht an und schreiben sich die Passwörter an gut disponierter Stelle (z.B. PIN-Wand) auf oder verzichten gleich ganz auf die Segnungen des dazugehörigen Dienstes. Hier bietet sich die Biometrie als Problemlösung an. Es soll gezeigt werden, was zur Erreichung dieses Ziels erforderlich ist und was vom heutigen Stand der Technik im Bereich der Fingerprint-Erkennung für Massenanwendungen erwartet werden darf. 

Praxisanforderungen

Wichtige Kriterien zur Beurteilung von biometrischen Systemen sind Sicherheit, Benutzerfreundlichkeit, Kosten und der Schutz der biometrischen Daten vor Missbrauch.

Wenn es um die Sicherheit geht, ist klar, dass das ersetzende biometrische Verfahren der bisherigen Sicherheit von Passwörtern in nichts nachstehen darf. Dazu sollte man sich erst einmal von der Vorstellung lösen, der Fingerabdruck müsse alle Eigenschaften des Passworts in vergleichbarer Weise umsetzen. Dass dies nicht so einfach geschehen kann, sieht man schon allein daran, dass biometrische Merkmale in der Regel nicht geheim oder geheim zu halten sind. Andererseits schließt die Permanenz vieler biometrischer Merkmale auch deren Änderung im Falle des Bekanntwerdens aus. Ein biometrisches Erkennungs-System ist deshalb so zu gestalten, dass die Veröffentlichung eines Merkmals keine nachteiligen Folgen für die Sicherheit hat. Andere Forderungen an Passwörter lassen sich hingegen fast automatisch erreichen: Keine Weitergabe, kein Vergessen und keine Erratbarkeit. Die Sicherheitsanforderungen an biometrische Systeme lassen sich mit drei Kriterien recht gut beschreiben:

  1. Die Falschakzeptanzrate (FAR),
  2. die Überwindbarkeit durch Kopien des biometrischen Merkmals und
  3. die Fehlerfreiheit der Realisierung ("Sicherheitslöcher")
müssen gewissen anwendungsspezifischen Mindestanforderungen genügen. Hierbei ist das biometrische System nicht losgelöst zu betrachten, wie dies immer wieder recht gern getan wird. Vielmehr sind realistische, zum Umfeld der Anwendungen passende Überwindungsszenarien zu betrachten und deren Auswirkung auf die tatsächlich zu erwartenden Schäden zu untersuchen.

Die Benutzerfreundlichkeit lässt sich wieder durch direkten Vergleich mit dem Geheimwort beurteilen: Die Verifikation soll schneller und einfacher ablaufen. Die Falschrückweisungsrate (FRR) sollte nicht höher sein als beim Passworteintippen. Hier ist besonders das Enrollment zu betrachten, das am Anfang eines jeden Umgangs mit einem biometrischen System steht. Die Benutzerführung des Enrollments entscheidet ganz wesentlich über die FRR im späteren Normalbetrieb. Biometrische Merkmale können zeitweilig ausfallen. Beispiel ist das Hantieren mit Sekundenkleber, das selten ohne schwer entfernbare Folgen an den Fingerkuppen bleibt. Hier ist entsprechend vorzusorgen, z.B. durch das Enrollment weiterer Finger oder gar den Rückfall auf das Passwort. Zum Glück ist ein solcher Failure-to-Enroll-Fall weit seltener als das Vergessen des Passworts.

Die Administration des Passworts kann in einem Unternehmen ein kostenträchtiger Faktor werden, insbesondere, wenn die Sicherheit durch Maßnahmen wie hohe Mindestkomplexität, Begrenzung der Versuchszahl und häufiges Passwortwechseln erzwungen wird. Verlorene Arbeitszeit und zusätzliche Hotline-Belastung führen im Schnitt zu zusätzlichen Kostenbelastungen von bis zu 300 EURO pro Mitarbeiter. Diese Kosten sind durch biometrische Systeme auf jeden Fall zu unterschreiten, will die Biometrie in Büroanwendungen erfolgreich sein.

Fingerprint-Produkte

Ein wesentlicher Vorteil des Fingerabdrucks ist die Möglichkeit, sehr kleine und kostengünstige Erfassungsgeräte zu bauen. Hierbei kommen alle erdenklichen physikalischen Sensorprinzipien zum Einsatz; mehr als 20 verschiedene kostengünstige Sensoren (< 50 EURO) sind derzeit am Markt verfügbar oder befinden sich in Entwicklung. Von den speziellen Eigenschaften eines Sensors hängt es ab, für welche Anwendungen er besonders geeignet ist. Leider gibt es derzeit keinen Sensor, der für alle Einsatzfälle optimal wäre.

Eingebaut in Sensor-Devices, ist es zusammen mit geeigneter Software (bestehend aus den Erkennungsalgorithmen und der Anwendung) möglich, die Fingerprintsensoren am PC zu betreiben. Sensor-Devices sind verfügbar als Tastaturen, Mäuse, Chipkartenleser oder als eigenständige Geräte. Als PC-Schnittstelle hat sich USB als die beste Lösung herauskristallisiert.

Mit Hilfe von Software-Development-Kits (SDKs) ist schließlich die Einbindung von Fingerprint-Devices und den dazu passenden Erkennungsalgorithmen in beliebige Software-Applikationen möglich. Hier bietet sich jede Software an, die schon bisher mit Geheimwörtern gearbeitet hat: Datei-Verschlüsselung, Mail-Verschlüsselung, Internetzugang, Webseitenzugang, SAP-R/3-Zugang, um nur einige Beispiele zu nennen. Eine Sonderstellung nimmt die sog. biometrische Middleware von Keyware ein. Diese Software schafft eine einheitliche (wenn auch proprietäre) Schnittstelle zwischen beliebigen biometrischen Sensor-Devices und den dazu gehörigen Erkennungsalgorithmen auf der einen Seite und den Anwendungen auf der anderen Seite. Damit ist es auch problemlos möglich, unterschiedliche Biometrien in einer Anwendung zu kombinieren.

Für Anwendungen, in denen kein PC für die Verarbeitung der biometrischen Daten zur Verfügung steht oder dieser für die Anwendung zu unsicher, zu groß oder zu schwer ist, bietet sich der Einsatz von eigenständigen Prozessormodulen (meist auf DSP- oder RISC-Basis) an. Geeignete Sensoren vorausgesetzt, lassen sich komplette Fingerprintapplikationen sogar mit Batterien betreiben.

Anwendungsbeispiele für Fingerprint-Erkennung

Die bekanntesten PC-Anwendungen sind der biometrische PC- und Netzzugangsschutz per Fingerprint. Die größten Vorteile verspricht die Fingerprinterkennung dort, wo eine häufige Anwendung gefordert ist. Dazu gehören Bildschirmschoner, die im Zeitalter der Flachbildschirme weniger den Bildschirm als vielmehr den Zugang zum PC selbst schützen, wenn der Mitarbeiter gerade nicht am Platz ist. Eine weitere Standardanwendung ist der Ersatz von Passwörtern beliebiger Applikationen durch Fingerprint-Erkennung. Hier hilft eine Software, die automatisch das Aufgehen von Passwortfenstern erkennt und dann per Fingerabdruck das richtige Passwort, das vorher verschlüsselt abgespeichert wurde, einträgt. Das Beispiel einer passwortgeschützten ZIP-Datei soll dies veranschaulichen.

Beispiele für den Einsatz von Fingerprint-Prozessormodulen sind Netzwerkdrucker, Türzugänge mit und ohne Chipkarte (auch kontaktlos), Steuergeräte für Alarmanlagen bis hin zu sicheren Kartenlesegeräten für die Elektronische Signaturkarte. Der seit langem erwartete Einbau von Fingerprint in Handys scheiterte bisher noch an den für diese extrem kostensensitiven Geräte inakzeptablen Sensorkosten.

Im Bereich der Serversoftware gibt es interessante Lösungen für den Netzzugang per Fingerprint, die den biometrischen Zugang zum PC-Netz von jedem Rechner im Verbundsystem aus gestatten. Anders als bei der Einzelplatzlösung ist das Enrollment hier nur ein einziges Mal erforderlich.

Praxis-Erfahrungen mit der ID Mouse

Die ID Mouse von Siemens ist das erste Fingerprint-Device, das am Markt größere Stückzahlen erreicht hat. Innerhalb eines einjährigen Feldtests wurde die biometrische Performanz der ID Mouse unter realen Einsatz-Bedingungen ermittelt. Dazu wurden 121 Arbeitsplätze mit der ID Mouse ausgestattet und die Anwendungen Logon/Netzzugang und Screensaver installiert. Der einzige Unterschied zur Standardsoftware war der Einbau einer Funktion, die das Abspeichern der Fingerabdrücke bei jedem Erkennungsvorgang ermöglicht. Diese abgespeicherten Fingerabdrücke wurden zu einer mehr als 70 000 Abdrücke umfassenden Datenbasis zusammengefasst und off-line mit den Original-Algorithmen nachgerechnet. Durch diese Vorgehensweise war es möglich, Algorithmenverbesserungen zu testen, ohne den kompletten Feldtest zu wiederholen. Dieser Feldtest förderte bisher folgende Erkenntnisse zu Tage:
  • Die FRR erreicht bei mittlerer Sicherheit (FAR < 2x10-6) einen Wert von ca. 12 % (personengemittelt)
  • Die FRR kann um einen Faktor 100 zwischen unterschiedlichen Personen schwanken!
  • Selbst persönliche FRRs von etwas über 10% wurden nicht als störend empfunden
Nur ein potentieller Teilnehmer konnte nicht enrollt werden (FTE < 1%). Allerdings mussten zu Anfang einige Sensoren gegen verbesserte Versionen ausgetauscht werden, da Nutzerausfälle nach dem Enrollment auftraten. Durch weitere Verbesserungen der Software sind inzwischen folgende Zahlen (ID Mouse Professional) erreichbar:
  • FRR ca. 3.8 % @ FAR ~ 7x10-7
  • FRR ca. 2.5 % @ FAR ~ 10-5
Außerdem konnten alle bekannten FTE-Fälle behoben werden.

Das typische Einsatzszenario einer ID Mouse ist der PC-Arbeitsplatz im Büro, ausgestattet mit Logon- und Screensaver-Software sowie mit Passwortcenter zum Ersatz der Passwörter in diversen weiteren Anwendungen. Erwartungsgemäß erfolgt die häufigste Nutzung beim Bildschirmschoner und der Mail-Verschlüsselung. Es hat sich allerdings gezeigt, dass die ID Mouse-Software nicht auf Rechnern installiert werden sollte, die konkurrierende Software im Einsatz haben. Grund ist der Microsoft-Anmeldemechanismus, der nur nach bestimmten Regeln geändert werden darf. Hält sich ein Softwareentwickler nicht an diese Regeln, behindern sich die Sicherheitsanwendungen gegenseitig. Bei zukünftigen Betriebssystemen, die biometrische Authentifikation unterstützen, sollte das kein Problem mehr sein.

Für NT musste ein eigener USB-Treiber geschrieben werden, da NT USB von Haus aus nicht unterstützt. Allerdings bleibt die USB-Unterstützung in diesem Fall auf die ID Mouse beschränkt!

Das Sicherheitsszenario der Einzelplatzanwendung der ID Mouse geht davon aus, dass ein nichtautorisierter PC-Zugang zunächst das unberechtigte Eindringen in den Arbeitsraum voraussetzt, was eine erste Sicherheitsbarriere darstellt. Danach wäre ein unberechtigter Zugang möglich über das Ausprobieren aller 10 Finger des Eindringlings. Die Erfolgswahrscheinlichkeit hierfür ist durch die 10-fache FAR gegeben. Weitere Versuche mit den selben Fingern sind ähnlich "wirkungsvoll" wie das wiederholte Eingeben eines falschen Passworts. Die nächst intelligentere Methode würde darin bestehen, von den vor Ort mit kriminalistischen Hilfsmitteln auffindbaren Latenzfingerabdrücken den passenden in geeigneter Qualität herauszufinden, davon eine Kopie in einem für den jeweiligen Sensor passenden Material seitenrichtig zu erstellen und zu hoffen, dass auch der passende Fingerausschnitt gewählt wurde. Da dies mit einem hohen apparativen Aufwand verbunden ist, ist dieser Weg für den einmaligen Gelegenheitseinbruch, der in der Regel auch noch unter Zeitdruck erfolgt, wenig Erfolg versprechend. Wesentlich aussichtsreicher ist hier der Weg über die Suche nach versteckten Passwortzetteln. Eine weitere Möglichkeit würde theoretisch darin bestehen, den letzten Latenzfingerabdruck auf dem Sensor zu reaktivieren. Dieser Weg wurde durch geeignete Softwaremaßnahmen vereitelt. Netzseitige Angriffe sind bei der ID Mouse ebenfalls erschwert: Die nach wie vor mögliche Passwort-Attacke ist durch Wahl hochkomplexer Passwörter (die sich kaum ein Mensch merken kann) deutlich erschwerbar. Es bleibt noch die Replayattacke über eingeschleuste Trojaner, die man vom Passworthacking her kennt: Dagegen hilft ein Virenscanner. (Wollte man ganz sicher gehen, müsste man die biometrische Verarbeitung allerdings aus dem PC auslagern.) Grundsätzlich nicht zu unterschätzen sind letztendlich Attacken über die Ausnutzung von Sicherheitslöchern in der Software, wie man sie zur Genüge z.B. von Web-Browsern her kennt.

Die Benutzerfreundlichkeit der ID Mouse ist vor allem geprägt von den Faktoren FRR und Erkennungszeit. Als kritisch wird insbesondere empfunden, wenn der Nutzer trotz großer Sorgfalt und mehrerer Versuche keinen Erfolg hat. Solche Fälle sind in der Anfangszeit auf Grund von Sensorproblemen bei erhöhter Luftfeuchtigkeit und manchen Personen aufgetreten. Diese Probleme konnten inzwischen durch verbesserte Sensoren und verbesserte Software gelöst werden. Zusätzlich gibt die ID Mouse Professional Nutzerhinweise aus, die den Umgang mit verbleibenden Problemsituationen erleichtern. Die Verifikationszeiten sind heute bei schnellen Rechnern (ab 200 MHz) kein Thema mehr. Anfängliche Probleme bei NT ließen sich durch einen verbesserten USB-Treiber lösen.

Legt man für die ID Mouse einen Kaufpreis von 100 EURO zu Grunde und rechnet mit Administrations-Kosten von 50 EURO pro Mitarbeiter und Jahr, stellt man fest, dass sich Biometrie bereits nach einem halben Jahr amortisiert, wenn man von 250 EUR Kosten durch Passwortprobleme pro Jahr und Mitarbeiter ausgeht.

Fazit: Fingerprinterkennung per ID Mouse ist am Arbeitsplatz dem Gebrauch von Passwörtern in Bezug auf Sicherheit, Benutzerfreundlichkeit und Kosten inzwischen deutlich überlegen!

Auch datenschutzrechtlich sind keine Schwierigkeiten zu erwarten, da bei der Standardanwendung die Fingerprintreferenzen nur lokal und verschlüsselt im Einflussbereich des Nutzers gespeichert sind. Da die Anwendung der ID Mouse als Passwortersatz optional ist, entfällt außerdem der Zwang zur Benutzung.

Was bringt die Zukunft?

Zu den Themen, die in der Zukunft verstärkt anzugehen sind, gehört die Standardisierung. Dass hier derzeit nur kleine Schritte gemacht werden, liegt zum Teil auch daran, dass man durch zu frühzeitige detaillierte Festlegungen nicht den technischen Fortschritt behindern will. Nachdem das BioAPI-Konsortium erste Vorschläge für die Standardisierung der Softwareschnittstellen fertiggestellt hat, wird in Zukunft auch ein Handlungsbedarf in Richtung Sensordevice, Templates und Testmethodik gesehen. Ziel muss die freie Austauschbarkeit von Hardware- und Softwarekomponenten ohne Sicherheitsverlust und ohne allzu großen Performanzverlust sein. Von einer Vergleichbarkeit von biometrischen Performanzwerten ist man heute ebenfalls noch weit entfernt! In Europa hat BioTrusT innerhalb der TeleTrusT eine treibende Funktion bei der Standardisierung biometrischer Systeme übernommen.

Die (Gesamt-)Kosten werden auch in Zukunft der Maßstab für den erfolgreichen Einsatz der Biometrie am Arbeitsplatz sein! Um Passworte und Geheimzahlen in Consumer-Endgeräten zu ersetzen, ist eine Kostenschwelle von 5 EURO deutlich zu unterschreiten. Konzepte, die dies ermöglichen, sind bereits in Planung.

Die Fragestellung "Sicherheit oder Komfort?" wird sich mit Hilfe der Biometrie auflösen in "Sicherheit durch Komfort!". Nur so ist Sicherheit letztendlich durchzusetzen. Der breite Einsatz der Biometrie wird aber auch zum Teil unerwartete Folgen haben: Systeme, die heute dem Hochsicherheitsbereich zuzuordnen sind, müssen sich um ständige technische Weiterentwicklung bemühen. Denn der massenhafte Einsatz von Biometrie wird Fälschern genug Übungsmöglichkeiten verschaffen, um sich dann an Hochsicherheitsanwendungen zu beweisen.

Zukünftige Systeme werden eine weitere Verbesserung der Bedienfreundlichkeit mit sich bringen. Der Nutzer von heute ist schon jetzt nicht mehr bereit, Bedienungsanleitungen zu lesen. Dies ist eine der letzten großen Herausforderungen für die Biometriesystementwickler.