Auszug aus der Zeitschrift DUD Datenschutz und Datensicherheit 5/2010
Hanns-Wilhelm Heibey, Dr. Gisela Quiring-Kock
Die Authentisierung von Personen anhand bestimmter körperlicher Charakteristika wie Fingerabdrücken, Gesichtsgeometrie oder Irismuster wird gelegentlich als Alternative zu den Authentisierungsverfahren durch Besitz und/oder Wissen angesehen. Der Beitrag1 untersucht die Möglichkeiten und Grenzendieser Verfahren bei der Authentisierung.
1 Grundlagen
Die biometrische Authentisierung setzt zunächst die Erfassung eines biometrischen Charakteristikums einer Person mittels optischer, thermischer, chemosensorischer, akustischer oder drucksensitiver Verfahren für spätere Vergleichszwecke voraus. Aus den erfassten Rohdaten wird mittels geeigneter Algorithmen ein so genanntes Template (Muster) berechnet und zentral oder dezentral als biometrische Referenz in einem Enrolement-Datensatz für spätere Vergleiche (z. B. auf einer Chipkarte) abgespeichert. Dabei ist sicher zu stellen, dass eine Rekonstruktion des biometrischen Charakteristikums durch Rückrechnung aus dem Template ausgeschlossen ist.
Beim eigentlichen Authentisierungsvorgang wird mit den gleichen Erfassungssystemen das biometrische Charakteristikum erfasst und ebenfalls mit den gleichen geeigneten Algorithmen aus der aktuellen Probe ein biometrisches Template berechnet. Das aktuelle Template wird dann mit der im Enrolement-Datensatz hinterlegten biometrischen Referenz computergestützt verglichen. Das Ergebnis dieses Vergleichs führt zur automatisierten Entscheidung, ob die Authentisierung zum Erfolg führt oder nicht.
Die wichtigsten Erkennungsarten bei der Überprüfung sind die biometrische Verifikation (1:1-Vergleich) und die biometrische Identifikation (1:n-Vergleich). Bei der Verifikation wird die Identität durch den Vergleich des biometrischen Templates mit genau einem biometrischen Enrolement-Datensatz geprüft, der dezentral, zum Beispiel auf einem bei der zu verifizierenden Person befindlichen Chip, gespeichert werden kann. Bei der Identifikation wird das biometrische Template mit einer Vielzahl von Enrolement-Datensätzen verglichen, die zentral in einer Datenbank gespeichert sind.
Aus datenschutzrechtlicher Sicht ist wegen der Datensparsamkeit und -vermeidung biometrischen Verifikationsystemen eindeutig der Vorzug vor der biometrischen Identifikation zu geben. Dies gilt insbesondere bei einer dezentralen Speicherung der Referenzdaten.
Die Treffsicherheit biometrischer Verfahren folgt im Gegensatz zu den kausalen Verfahren der Authentisierung durch Besitz und/oder Wissen Gesetzen der Wahrscheinlichkeit. Es ist stets davon auszugehen, dass das aktuelle biometrische Template und die Referenz nie ganz gleich sein werden. Der Vergleich zwischen aktuell berechnetem Template und Referenz kann daher nur einen Grad von Ähnlichkeit ermitteln.
Je nach den Anforderungen an die Treff sicherheit des biometrischen Erkennungs systems muss ein Schwellwert für die Ähnlichkeit festgelegt werden, über dem die Berechtigung vergeben (Acceptance) und unter dem sie verweigert (Rejection) wird. Je höher (oder geringer) der Schwellwert gewählt wird, desto geringer (oder höher) ist die Wahrscheinlichkeit, dass eine Berechtigung unzutreffend erteilt wird. Andererseits steigt (sinkt) mit dem Schwellwert die Wahrscheinlichkeit, dass jemand unberechtigt abgewiesen wird.
Die Wahrscheinlichkeit, dass jemand unrichtigerweise zurückgewiesen wird, wird als False Rejection Rate (FRR) bezeichnet; die Wahrscheinlichkeit, dass jemand unberechtigterweise eine Berechtigung erteilt bekommt, als False Accep tance Rate (FAR). Unter Kalibrierung versteht man die für eine konkrete An wendung sinnvolle Vergabe von FRR bzw. FAR. Wenn eine der beiden Größen fest gelegt bzw. beschränkt wird, ergibt sich die Festlegung bzw. Beschränkung für die andere wegen der wechselseitigen Abhängigkeit aus dem jeweiligen konkreten biometrischen Verfahren.
Die Equal Error Rate ist der Wert, für den FRR = FAR gilt. Sie kann ein sinnvoller Kompromiss hinsichtlich der Sicher heitskalibrierung sein. Es gibt jedoch Anwendungs-Szenarien, bei denen die FAR im Vergleich zur FRR sehr niedrig sein muss, z. B. beim Zutritt/Zugang zum Hochsicherheitsbereich eines Kernkraftwerkes. Und es gibt Anwendungen, bei denen die FRR beispielsweise aus Performancegründen sehr niedrig sein muss und man eine höhere FAR gerne in Kauf nimmt. Das wäre bei der Zugangskontrolle für Besucher eines großen Fußballspiels der Fall, wenn wenige unberechtigt einge lassene Besucher akzeptiert werden.
Von den vielen übrigen Rates, die etwas über das biometrische System aussagen, sei noch die Failure to Enroll Rate(FTE) erwähnt, die die Wahrscheinlichkeit benennt, dass von einer Person aus medizinischen Gründen kein brauchbares Template zu späteren Vergleichszwecken gewonnen werden kann. Dies gilt vor allem für Fingerabdrücke, bei denen FTEs von ca. 2 % der Gesamtbevölkerung ermittelt worden sind.
FRR und FAR sind abhängig von der Qualität des biometrischen Systems hinsichtlich der Genauigkeit der Erfassung, der Qualität der Template-Berechnung und der Genauigkeit des Vergleichs, von der Kalibrierung des biometrischen Systems, also der Wahl der Schwellwerte und der Kooperation der Betroffenen.
Bei allzu kleiner FAR wird die FRR zu groß, d. h. z. B., bei einem Zutrittskontrollsystem bleiben zu viele Berechtigte vor der Tür. Dagegen führt eine allzu kleine FRR zu einer großen FAR, d. h. zu viele Unberechtigte können die Tür durchschreiten.
2 Die kausalen Verfahren der Authentisierung
Beim kausalen Authentifizierungsvor gang, d. h. der Prüfung, ob der Besitz vor handen und das Wissen korrekt wiedergegeben wurde, ist eine Ja-Nein Entscheidung möglich. Diese Verfahren treffen aber keine 100-prozentige, eindeutige und zutreffende Entscheidung, ob die zu authentifizierende Person wirklich anwesend ist oder nicht. Vielmehr wird unterstellt bzw. angenommen, dass wenn Besitz und Wissen im Authentisierungsverfahren mit dem der zu authentifizierenden Person übereinstimmen, [nur] diese Person anwesend ist. Es kann keine Wahrscheinlichkeit dafür berechnet, hergeleitet oder angegeben werden, dass diese Annahme oder Unterstellung zutrifft. Auch eine Lebenderkennung ist damit nicht verbunden.
Es gibt eine Fülle von Beispielen, die belegen, dass ein korrekter Ablauf des Authentisierungsverfahrens nicht sicherstellt, dass auch die richtige Person das System nutzt. So können die Authentisierungsmittel beispielsweise
So kann der richtige Benutzer zwar anwesend sein und das Authentisierungsverfahren bedienen, die anschließende Nutzung des Systems aber mit oder ohne Anwendung von Gewalt ausschließlich durch Dritte erfolgen.
3 Biometrische Authentisierung
Bei der biometrischen Authentisierung kann immerhin mit einer berechenbaren bzw. hohen Wahrscheinlichkeit davon ausgegangen werden, dass die richtige Person anwesend ist, wenn das biometrische Charakteristikum dauerhaft und direkt mit ihr verbunden ist. Dies gilt insbesondere für biometrische Charakteristika, die nicht wie der Fingerabdruck an vielen Orten ständig hinterlassen werden. Hierbei ist natürlich auch zu berücksichtigen, ob das Verfahren eine Lebenderkennung beinhaltet.
Die tatsächliche Bindung des biometrischen Charakteristikums an die Person ist als echter Vorteil gegenüber personenbezogenen Merkmalen wie Besitz und Wissen zu werten, bei denen die Anwesenheit der Person nur angenommen werden kann.
4 Besondere Vorkehrungen
Die biometrischen Charakteristika sind -im Gegensatz zu UserID und Passwort und zu Verfahren von Besitz und Wissen - eindeutig und potenziell lebenslang mit den Betroffenen verbunden.
Deshalb sind für biometrische Authentisierungsverfahren unabhängig vom verwendeten biometrischen System und den verwendeten Charakteristika besondere Vorkehrungen zu treffen:
Literatur
[1] Heinz Biermann, Manfred Bromba, Christoph Busch, Gerrit Hornung, Martin Meints,Gisela Quiring-Kock: Whitepaper "Datenschutz in der Biometrie", TeleTrusT 2008.
[2] Christoph Busch: Biometrische Verfahren - Chancen, Stolpersteine und Perspektiven, in Peter Schaar (Hrsg.): Biometrie und Datenschutz - Der vermessene Mensch, Tagungsband zum Symposium des Bundesbeauftragten für den Datenschutz und Informationsfreiheit am 27. Juni 2006 in Berlin
[3] Jeroen Breebaart, Bian Yang, Ileana Buhan-Dulman, Christoph Busch: Biometric Template Protection, DuD 5/2009, S. 299 ff.
[4] Arslan Brömme: Leistungsfähigkeit biometri-scher Personenidentifikation - Mehrerlei Maß, iX 10/2007, S. 42 ff.
[5] Ulrike Korte, Johannes Merkle, Matthias Niesing: Datenschutzfreundliche Authentisierung mit Fingerabdrücken, DuD 5/2009, S. 289 ff
[6] Thomas Petermann, Arnold Sauter: Biometrische Identifikationssysteme - Sachstandsbericht, Arbeitbericht Nr.76 des Büros für Technikfolgenabschätzung beim Deutschen Bundestag, 2002
[7] Privatim - die schweizerischen Datenschutzbeauftragten (Hrsg.): Leitfaden zur datenschutzrechtlichen Beurteilung von biometrischen Verfahren, Version 1.0, Oktober 2006
[8] Astrid Schumacher und Kristina Unverricht: Rechtliche und gesellschaftliche Empfehlungen zur Gestaltung biometrischer Systeme, DuD 5/2009, S. 308 ff.
