Kurzbeschreibung
Lange vor den aktuellen Ereignissen waren biometrische Verfahren ein wichtiges Thema in der Diskussion um Sicherheit im eCommerce: Bankgeschäfte, Online-Shops, eMails - überall könnte die Authentizität von Eingaben und Transaktionen durch biometrische Verfahren sichergestellt werden. Anlässlich der Anschläge in den USA im September ist nun auch in Deutschland die Debatte entbrannt, ob man bei der Identifikation von Personen durch einmalige Kennzeichen mehr auf biometrische Verfahren setzen soll als bislang. Stichwort: Fingerabdruck im Personalausweis, Irisabtastung bei Zugangskontrollen. Ob allerdings diese Verfahren sicher genug sind, ob die Technik ausgereift ist und alle rechtlichen Fragen geklärt sind ? diese Punkte blieben lange ungeklärt. Das vorliegende Buch beschreibt erstmals ausführlich alle bisherigen Methoden und Erfahrungen. Grundlagen und Rahmenbedingungen werden ebenso behandelt wie rechtliche, wirtschaftliche und technische Aspekte. Einen besonderen Schwerpunkt bildet die praxisnahe und handlungsorientierte Beschreibung von Einsatzgebieten und Lösungsansätzen. Eine Prognose zukünftiger Entwicklungen rundet das Werk ab. Die eingängige Sprache macht das Thema gerade für technische Laien verständlich, ein ausführliches Glossar klärt wichtige Fachbegriffe. Beiträge namhafter Fachleute aus Wissenschaft und Praxis garantieren eine umfassende Darstellung des Themas und machen das Buch zu einem wichtigen Beitrag in der aktuellen Diskussion.
Die Autoren: Astrid Albrecht, Verbraucherzentrale Bundesverband e. V.; Thomas Probst, Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein; Axel Munde, BSI; Arnd Weber, ITAS, Forschungszentrum Karlsruhe; Berthold Weghaus, TÜV Informationstechnik GmbH (TÜViT); Henning Daum, Fraunhofer Institut für Grafische Datenverarbeitung; Norbert Kimpel, Fraport AG; Heike Trimborn, FORMULAR plus GmbH; Anne Brandes, Signotec GmbH; Richard Aufreiter, Utimaco safeware AG; Dr. Christian Schmidt, Jörg Matthias Lenz, SOFTPRO-Software Professional GmbH & Co. KG; Frank Künzer, Delsy Electronic Components AG; Marco Klische, BioID; Dr. Jürgen Pampus, Frank Weber, Cognitec AG; Dr, Christoph Thiel, Informatikzentrum der Sparkassenorganisation GmbH (SIZ); Cordula Nocke, Bankenfachverband e. V.; Dr. Jana Dittmann, Astrid Mayerhöfer, Claus Vielhauer, Institut für Integrierte Publikations- und Informationssysteme (IPSI); René Baltus, Erfinder von HESY; Hans-Joachim Giesecke, Horst Kalo, Dr. Gunter Laßmann, T-Systems Nova GmbH, Technologiezentrum; Dr. Lutz Becker, Inscala Consultans; Franz Bülligen, Annette Hillebrand, WIK - Wissenschaftliches Institut für Kommunikationsdienste GmbH
Über den Autor
Die Herausgeber: Lothar Leger ist Geschäftsführer einer renommierten Frankfurter Unternehmensberatung. Veronika Nolde ist im gleichen Unternehmen als Unternehmensberaterin tätig. Zu ihren Schwerpunkten zählen die Themen Dokumenten- und Wissensmanagement sowie biometrische Verfahren.
Auszug aus Biometrische Verfahren von Lothar Leger, Veronika Nolde. Copyright © 2002. Abdruck erfolgt mit freundlicher Genehmigung der Rechteinhaber. Alle Rechte vorbehalten.
Biometrie ist weder neu, noch revolutionär, noch futuristisch. Sie hat den Menschen schon sehr früh fasziniert. Bereits vor einigen hundert Jahren fanden erste Körpervermessungen statt. Biometrie ist uns geläufig. So wissen wir alle, dass es uns ab und zu gelingt, einen Menschen aus der Ferne an seinem Gang zu identifizieren, oder am Schritt zu erkennen, wer um die Ecke kommt, bevor wir ihn gesehen haben. In den meisten Fällen geht es bei der Biometrie darum, eine Person zu identifizieren oder zu verifizieren, ob die Person auch wirklich die Person ist, für die sie sich ausgibt. Die Identität soll also in irgendeiner Weise nachgewiesen werden.
Hier kommen zwei zentral Begriffe ins Spiel, die uns auch in den folgenden Kapiteln immer wieder begegnen werden: Besitz und Wissen. Unter Besitz wird die tatsächliche Herrschaft über etwas (einen Ausweis oder einen Schlüssel) verstanden. Wissen bezieht sich zum Beispiel auf Kennworte, PINs, Zugangscodes und ähnliches. Damit werden gleich die Schwächen bisheriger Verfahren angesprochen. Den Ausweis können wir verlieren und das Kennwort vergessen. Außerdem sind diese Verfahren nicht uneingeschränkt und un-trennbar mit einer Person verbunden. Missbrauch ist relativ unproblematisch. Biometrische Verfahren ermöglichen hingegen eine zweifelsfreie Identifikation des Betroffenen, da sie personengebundene und nicht nur personenbezogene Merkmale erfassen.
Die Identifikation des Menschen über seinen Fingerabdruck hat die Kriminalistik revolutioniert Aber reicht die Biometrie aus, um sie auch in kommerziellen Systemen zur zweifelsfreien Identifizierung und Authentifizierung einzusetzen? Abschließend soll die Frage hier nicht behandelt werden. Aber ein paar Hinweise sollen schon gegeben werden. In einer Zeit zunehmender elektronischer Vernetzung und der damit einhergehenden Digitalisierung der Geschäftswelt, wird auch das Thema Sicherheit neu zu definieren sein. Nur durch hohe Sicherheitsstandards wird es gelingen, für Vorgänge wie Online-Banking oder e-Commerce eine weitreichende Akzeptanz schaffen zu können. Spätestens seit die europäische Union ihre Mitgliedstaaten aufgefordert hat, bis zum 19. Juli die „Richtlinie über gemeinsame Rahmenbedingungen für elektronische Signaturen“ in nationales Recht umzuwandeln, ist auch das biometrische Verfahren, das zum einen Teil der elektronischen Unterschrift ist, sie aber auch ganz ersetzen kann, zu einem öffentlichen Thema geworden.
Laut einer Studie der Marktforscher Frost and Sullivan wird sich infolge des starken Sicherheitsbedarfs der Umsatz biometrischer Erkennungssysteme bis zum Jahr 2006 annähernd verfünffachen (was einem Wert von 160 Mio. Dollar entspricht). Grund dafür sei der steigende Sicherheitsbedarf, den Bereiche wie m-Commerce und e-Commerce hervorrufen. Der von verschiedenen Marktforschern prognostizierte und heute bereits deutlich erkennbare rasch zunehmende Bedarf an sicheren Verfahren zur Authentifizierung von Personen wird zu einem gleichermaßen erhöhten Informationsbedarf in der Gesellschaft führen.
Die Biometrie ist als allgemein eingesetztes Verfahren noch sehr jung. Auch wenn erste Produkte bereits vor einigen Jahren auf dem Markt waren, so befinden wir uns derzeit doch in einer frühen Phase des Lebenszyklus der Biometrie. Die einzelnen Verfahren weisen zum Teil eine nicht immer ausreichende Zuverlässigkeit für den breiten Einsatz auf. Auch sind die Kosten pro Erkennungsgerät noch recht hoch. Bemerkenswert ist aber die zu beobachtende Ausbreitungsgeschwindigkeit von Anbietern und die Fortschritte bei der Entwicklung der einzelnen Verfahren. Dies lässt sich zum Beispiel an der Anzahl der Aussteller für Biometrie auf Messen beobachten. Ein weiterer Indikator ist die Anzahl der Projekte, die von Konzernen und Unternehmen aufgesetzt werden, um die Einsatzmöglichkeiten und die Alltagstauglichkeit von biometrischen Verfahren zu überprüfen. Grundsätzlich konnten wir bei unseren Recherchen und in zahlreichen Gesprächen feststellen, dass folgende branchenunabhängige Trends die Etablierung und Entwicklung von biometrischen Verfahren verstärken: Ausbreitung des Internets und der Intranetlösungen; Digitalisierung der Kommunikation; zunehmendes Sicherheitsbedürfnis bei eBusiness und mCommerce-Lösungen; elektronische Signatur und SmartCard; Virtualisierung und Internationalisierung von Unternehmen.
Die Entwicklung des Internets und damit verbunden die rasche Entwicklung von Lösungsansätzen wie eBusiness und mCommerce erfordern neue und benutzerfreundliche Verfahren einer zweifelsfreien Personenerkennung. Anachronismen, wie das Ausfüllen eines elektronischen Anmeldeformulars, der anschließenden Ausdruck, die handschriftliche Unterzeichnung, das Abschicken des Formulars in Papierform und das abschließende Einscannen beim Anbieter werden von allen Seiten richtigerweise als wenig effizient gesehen. Die Bereitschaft, umfangreich Online zu ordern und Verträge über das Internet abzuschließen ist entsprechend zurückhaltend. Eine Reihe von Dienstleistungsanbieter im Internet musste dies schmerzlich feststellen. Das Informationsangebot wird gerne angenommen, entsteht daraus ein echtes Kaufinteresse, so geht der Käufer den konventionellen Weg und schließt zum Beispiel seine Versicherung bei dem Makler vor Ort ab.
Das Internet wird dem gestiegenen Sicherheitsbedürfnis der Anwender nicht nur in diesem Fall nicht gerecht. Mit zunehmender Ausbreitung der Internetanschlüsse suchen Anwender und Unternehmen nach zuverlässigen und einfachen Verfahren, um im Internet Transaktionen auszuführen, Informationsquellen zu nutzen und Informationen auszutauschen. Erste Konzepte, elektronische Safes anzubieten, bei denen man sich nur mit der Super-PIN identifizieren kann und die alle möglichen anderen PINs verwalten, werden diskutiert. Aber dieses Vorgehen ersetzt nur verteilte Einzelrisiken durch ein et-was geringeres Gesamtrisiko und behält die Ursache des Risikos, nämlich die Ausspähbarkeit der PIN, bei.
Die wachsende „Elektrifizierung“ unseres Kommunikationsverhaltens verstärkt diesen Trend und seine Folgen. Mobile Endgeräte, die Allgegenwärtigkeit von Mobiltelefonen, Palmtops, Entwicklungen wie e-Learning, Telemedizin und Telearbeit führen zu einer Vielzahl von Stellen, an denen man sich anmelden und identifizieren muss. Der Wunsch, dies einfach mit einem Fingerabdruck, oder – wie es in einer Werbebotschaft heißt – einfach mit „einem guten Namen“ in Form der elektronischen Unterschrift zu leisten, ist nur verständlich. SmartCard-Anbieter wittern deshalb auch Morgenluft. Denn die SmartCard kann, tech-nisch gesehen, verschiedene Merkmale aufnehmen. Neben einer PIN können mehrere biometrische Merkmale als Template gespeichert und bei Bedarf zum Vergleich abgerufen werden. Ergänzt um personenbezogene Daten (Adresse, Bankverbindungen, Ergebnisse ärztlicher Untersuchungen) wird die SmartCard zum Sesam-Öffne-Dich für zah-reiche Situationen des privaten und beruflichen Alltags.
Diese Digitalisierung der Gesellschaft hat eine gewisse soziokulturelle Brisanz. Bewegen wir uns auf eine informationstechnische Zwei-Klassen-Gesellschaft zu? Wird zu-künftig derjenige bevorzugt, der digital ausgestattet ist? Oder noch extremer, ist der Besitz einer SmartCard, einer elektronischen Signatur und diverser Kennworte Voraussetzung für den Zugang zu bestimmten Bereichen des Lebens? Hersteller, Dienstleister, Verbände und Politiker haben die Verantwortung, dem entgegenzuwirken. Wir dürfen es nicht zulassen, dass einzelne nur aufgrund der Tatsache, dass sie zum Beispiel aus Kostengründen, aus Gründen fehlender Information, oder einfach weil sie nicht mit der technischen Entwicklung Schritt halten können, noch keine elektronische Signatur besitzen und deshalb von verschiedenen Services des täglichen Lebens ausgeschlossen.
(Auszug aus der Einleitung)
Hier kommen zwei zentral Begriffe ins Spiel, die uns auch in den folgenden Kapiteln immer wieder begegnen werden: Besitz und Wissen. Unter Besitz wird die tatsächliche Herrschaft über etwas (einen Ausweis oder einen Schlüssel) verstanden. Wissen bezieht sich zum Beispiel auf Kennworte, PINs, Zugangscodes und ähnliches. Damit werden gleich die Schwächen bisheriger Verfahren angesprochen. Den Ausweis können wir verlieren und das Kennwort vergessen. Außerdem sind diese Verfahren nicht uneingeschränkt und un-trennbar mit einer Person verbunden. Missbrauch ist relativ unproblematisch. Biometrische Verfahren ermöglichen hingegen eine zweifelsfreie Identifikation des Betroffenen, da sie personengebundene und nicht nur personenbezogene Merkmale erfassen.
Die Identifikation des Menschen über seinen Fingerabdruck hat die Kriminalistik revolutioniert Aber reicht die Biometrie aus, um sie auch in kommerziellen Systemen zur zweifelsfreien Identifizierung und Authentifizierung einzusetzen? Abschließend soll die Frage hier nicht behandelt werden. Aber ein paar Hinweise sollen schon gegeben werden. In einer Zeit zunehmender elektronischer Vernetzung und der damit einhergehenden Digitalisierung der Geschäftswelt, wird auch das Thema Sicherheit neu zu definieren sein. Nur durch hohe Sicherheitsstandards wird es gelingen, für Vorgänge wie Online-Banking oder e-Commerce eine weitreichende Akzeptanz schaffen zu können. Spätestens seit die europäische Union ihre Mitgliedstaaten aufgefordert hat, bis zum 19. Juli die „Richtlinie über gemeinsame Rahmenbedingungen für elektronische Signaturen“ in nationales Recht umzuwandeln, ist auch das biometrische Verfahren, das zum einen Teil der elektronischen Unterschrift ist, sie aber auch ganz ersetzen kann, zu einem öffentlichen Thema geworden.
Laut einer Studie der Marktforscher Frost and Sullivan wird sich infolge des starken Sicherheitsbedarfs der Umsatz biometrischer Erkennungssysteme bis zum Jahr 2006 annähernd verfünffachen (was einem Wert von 160 Mio. Dollar entspricht). Grund dafür sei der steigende Sicherheitsbedarf, den Bereiche wie m-Commerce und e-Commerce hervorrufen. Der von verschiedenen Marktforschern prognostizierte und heute bereits deutlich erkennbare rasch zunehmende Bedarf an sicheren Verfahren zur Authentifizierung von Personen wird zu einem gleichermaßen erhöhten Informationsbedarf in der Gesellschaft führen.
Die Biometrie ist als allgemein eingesetztes Verfahren noch sehr jung. Auch wenn erste Produkte bereits vor einigen Jahren auf dem Markt waren, so befinden wir uns derzeit doch in einer frühen Phase des Lebenszyklus der Biometrie. Die einzelnen Verfahren weisen zum Teil eine nicht immer ausreichende Zuverlässigkeit für den breiten Einsatz auf. Auch sind die Kosten pro Erkennungsgerät noch recht hoch. Bemerkenswert ist aber die zu beobachtende Ausbreitungsgeschwindigkeit von Anbietern und die Fortschritte bei der Entwicklung der einzelnen Verfahren. Dies lässt sich zum Beispiel an der Anzahl der Aussteller für Biometrie auf Messen beobachten. Ein weiterer Indikator ist die Anzahl der Projekte, die von Konzernen und Unternehmen aufgesetzt werden, um die Einsatzmöglichkeiten und die Alltagstauglichkeit von biometrischen Verfahren zu überprüfen. Grundsätzlich konnten wir bei unseren Recherchen und in zahlreichen Gesprächen feststellen, dass folgende branchenunabhängige Trends die Etablierung und Entwicklung von biometrischen Verfahren verstärken: Ausbreitung des Internets und der Intranetlösungen; Digitalisierung der Kommunikation; zunehmendes Sicherheitsbedürfnis bei eBusiness und mCommerce-Lösungen; elektronische Signatur und SmartCard; Virtualisierung und Internationalisierung von Unternehmen.
Die Entwicklung des Internets und damit verbunden die rasche Entwicklung von Lösungsansätzen wie eBusiness und mCommerce erfordern neue und benutzerfreundliche Verfahren einer zweifelsfreien Personenerkennung. Anachronismen, wie das Ausfüllen eines elektronischen Anmeldeformulars, der anschließenden Ausdruck, die handschriftliche Unterzeichnung, das Abschicken des Formulars in Papierform und das abschließende Einscannen beim Anbieter werden von allen Seiten richtigerweise als wenig effizient gesehen. Die Bereitschaft, umfangreich Online zu ordern und Verträge über das Internet abzuschließen ist entsprechend zurückhaltend. Eine Reihe von Dienstleistungsanbieter im Internet musste dies schmerzlich feststellen. Das Informationsangebot wird gerne angenommen, entsteht daraus ein echtes Kaufinteresse, so geht der Käufer den konventionellen Weg und schließt zum Beispiel seine Versicherung bei dem Makler vor Ort ab.
Das Internet wird dem gestiegenen Sicherheitsbedürfnis der Anwender nicht nur in diesem Fall nicht gerecht. Mit zunehmender Ausbreitung der Internetanschlüsse suchen Anwender und Unternehmen nach zuverlässigen und einfachen Verfahren, um im Internet Transaktionen auszuführen, Informationsquellen zu nutzen und Informationen auszutauschen. Erste Konzepte, elektronische Safes anzubieten, bei denen man sich nur mit der Super-PIN identifizieren kann und die alle möglichen anderen PINs verwalten, werden diskutiert. Aber dieses Vorgehen ersetzt nur verteilte Einzelrisiken durch ein et-was geringeres Gesamtrisiko und behält die Ursache des Risikos, nämlich die Ausspähbarkeit der PIN, bei.
Die wachsende „Elektrifizierung“ unseres Kommunikationsverhaltens verstärkt diesen Trend und seine Folgen. Mobile Endgeräte, die Allgegenwärtigkeit von Mobiltelefonen, Palmtops, Entwicklungen wie e-Learning, Telemedizin und Telearbeit führen zu einer Vielzahl von Stellen, an denen man sich anmelden und identifizieren muss. Der Wunsch, dies einfach mit einem Fingerabdruck, oder – wie es in einer Werbebotschaft heißt – einfach mit „einem guten Namen“ in Form der elektronischen Unterschrift zu leisten, ist nur verständlich. SmartCard-Anbieter wittern deshalb auch Morgenluft. Denn die SmartCard kann, tech-nisch gesehen, verschiedene Merkmale aufnehmen. Neben einer PIN können mehrere biometrische Merkmale als Template gespeichert und bei Bedarf zum Vergleich abgerufen werden. Ergänzt um personenbezogene Daten (Adresse, Bankverbindungen, Ergebnisse ärztlicher Untersuchungen) wird die SmartCard zum Sesam-Öffne-Dich für zah-reiche Situationen des privaten und beruflichen Alltags.
Diese Digitalisierung der Gesellschaft hat eine gewisse soziokulturelle Brisanz. Bewegen wir uns auf eine informationstechnische Zwei-Klassen-Gesellschaft zu? Wird zu-künftig derjenige bevorzugt, der digital ausgestattet ist? Oder noch extremer, ist der Besitz einer SmartCard, einer elektronischen Signatur und diverser Kennworte Voraussetzung für den Zugang zu bestimmten Bereichen des Lebens? Hersteller, Dienstleister, Verbände und Politiker haben die Verantwortung, dem entgegenzuwirken. Wir dürfen es nicht zulassen, dass einzelne nur aufgrund der Tatsache, dass sie zum Beispiel aus Kostengründen, aus Gründen fehlender Information, oder einfach weil sie nicht mit der technischen Entwicklung Schritt halten können, noch keine elektronische Signatur besitzen und deshalb von verschiedenen Services des täglichen Lebens ausgeschlossen.
(Auszug aus der Einleitung)
