Sicherheitseinfluesse

Was beeinflusst die Schutzfähigkeit eines biometrischen Authentifikationssystems?

Hier eine kurze Beschreibung der wichtigsten Einflussfaktoren:

Art des biometrischen Merkmals:

Ein biometrisches Merkmal kann offen oder verdeckt sein. Offene Merkmale, die auch der Mensch selber zur Erkennung nutzt, sind leichter erfassbar und deshalb unkontrollierbarer kopierbar als verdeckte. Zwischen offen und verdeckt gibt es beliebige Zwischenstufen, vielleicht in folgender Reihung: Gesicht, Stimme, Geruch, Unterschrift als Bild, Iris, Fingerprint, Retina, dynamische Unterschriftenerkennung als Druckverlauf.
Ein biometrisches Merkmal kann flüchtig sein oder bei Abwesenheit des Merkmalsträgers latente Spuren hinterlassen. Flüchtige Merkmale sind in der Regel leichter gegen unbefugtes Kopieren zu schützen. Zu den flüchtigen Merkmalen gehören: Retina, Iris, Stimme, Gesicht, Unterschrift (dynamischer Anteil). Latente Merkmale bewähren sich besonders gut in der Kriminalistik: Unterschrift als Bild, Fingerprint, DNA, Geruch

Art des Sensors: Ein biometrischer Sensor zur Merkmalserfassung hat einen erheblichen Einfluss auf die Sicherheit. Zum Beispiel ermöglicht ein Sensor mit hoher "Bildqualität" eine bessere Unterscheidbarkeit zwischen unterschiedlichen Merkmalen bei gleicher Falschrückweisungsrate FRR. (Die FRR ist die Wahrscheinlichkeit, dass ein Berechtigter vom Authentifikationssystem abgewiesen wird.) Vom Sensorprinzip hängt es ab, ob Latenzbilder auf dem Sensor eine Rolle spielen. So sind Zeilensensoren (Firma Atmel) und berührungslose Sensoren (Firma TST) prinzipiell nicht empfindlich gegen Latenzabdrücke auf dem Sensor. Flächensensoren müssen das Problem durch geeignete Beschichtung der Oberfläche oder durch Softwaremaßnahmen lösen. Geeignete Ultraschallsensoren könnten sogar in einen Finger hineinsehen und auf diese Weise Kopien von echten Fingern unterscheiden.

Algorithmen: Algorithmen beeinflussen vor allem die Falschakzeptanzrate FAR bei gegebener FRR. (Die FAR ist die Wahrscheinlichkeit, dass ein Nichtberechtigter vom Authentifikationssystem akzeptiert wird.) Lange Zeit war die "algorithmische" FAR die einzige Betrachtungsweise zur Quantifizierung der Schutzwirkung, weil die Fehlerraten FAR und FRR vergleichsweise "einfach" zu ermitteln waren.

Zusatzmaßnahmen: Zu den Zusatzmaßnahmen gehören Lebenderkennung und Kopienerkennung in Form von geeigneten Hard- und Softwarezusatzmaßnahmen sowie Methoden zur Abwehr weiterer Angriffe, siehe "Biometrische Angriffe".

Systemgestaltung: Wie viele erfolglose Authentifikationsversuche sind erlaubt, bevor das System sperrt? Sind bei einer Fingerprint-Erkennung beliebige Drehungen, Abdruckgrößen, Abdruckausschnitte oder Fingerbildkontraste erlaubt? Ist die Biometrie mit einer Chipkarte kombiniert? Erfolgt eine Identifikation oder eine Verifikation? (Bei einer Identifikation steigt die Falschakzeptanzrate fast proportional mit der Zahl der Referenzmerkmale. Wenn man bei einer (Verifikations-) FAR von 10^-6 zum Beispiel 100 000 Stadionbesucher mit einer Referenzmerkmalsdatenbank von 10 000 Terroristen vergleicht, steigt die (Identifikations-) FAR auf ca. 1 %. Das führt dazu, dass ein solches System unter den Stadionbesuchern 1000 Terroristen findet, die in Wirklichkeit höchstwahrscheinlich keine sind. Das hört sich absurd an, aber für die Polizei bedeutet es immer noch einen 100fach niedrigeren Personalaufwand, wenn sie sich statt 100 000 Personen nur noch 1000 anschauen muss.)

Attraktivität des Angriffs: Je mehr es sich für einen Angreifer lohnt, desto eher wird er sich den Mühen eines Angriffs unterziehen. Bedingt durch die hier gewählte Definition der Sicherheit, hängt die Sicherheit ja nicht nur von den Eigenschaften des Schutz- und Authentifikationssystems ob, sondern auch vom Wert des zu schützenden Objekts. Hat das Objekt keinerlei Wert, sinkt die Angriffsattraktivität erheblich, und die Sicherheit erreicht (fast) 100 %! In diesem Sinne lässt sich die Sicherheit erst dann quantifizieren, wenn bekannt ist, welcher Wert zu schützen ist.

Vorwissen und Geschicklichkeit des Angreifers: Die Schutzwirkung eines Sicherungssystems ist keine Konstante, sondern hängt ganz erheblich von den Fähigkeiten der potentiellen Angreifer ab. Das ist beim Tresorknacken nicht anders.

Abschreckung: Der Anreiz für einen Angriff kann ganz deutlich gesenkt werden, wenn der Angreifer mit persönlichen Konsequenzen rechnen muss. Dazu ist es wichtig, alle Authentifikationsversuche zu protokollieren und in einer nicht manipulierbaren Logdatei festzuhalten ("Beweissicherung"). Gelingt es, einen Angriffsversuch in Echtzeit festzustellen, sind echte Abwehrmaßnahmen (z. B. Benachrichtigung eines Wachdienstes oder Festhalten von Merkmalen des Angreifers per Videokamera) einleitbar.