Frankfurter Allgemeine Rhein-Main-Zeitung
16.06.2001
Ein Bericht von Peter Zitzmann
Biometrie erkennt den Benutzer von Geräten zweifelsfrei
Die Geheimzahl (PIN) für die Kreditkarte, für die Tankkarte und die Bankkarte, womöglich eine zweite Kreditkarte, nicht zuletzt die fürs Handy, das Paßwort für den Computer- und den Internetzugang im Büro und für zu Hause - spätestens, wenn man eine dieser Identifikationen zwei oder drei Wochen nicht mehr benutzt hat, hat man sie vergessen. Also begeht der überforderte Nutzer die kleinere Sicherheitssünde und vereinheitlicht Geheimzahlen und Paßwörter, wenn dies technisch denn machbar ist: für alle Anwendungen nur noch eine. Oder er begeht die ganz große Sicherheitssünde und schreibt alle verschiedenen Zahlenkombinationen und Paßwörter auf einen Zettel, den er dann bei den Kredit- und Tankkarten aufhebt. Das ist der einfachste und gefährlichste Weg; denn bei Verlust kann ein unehrlicher Finder kräftig abräumen.
Nach Überzeugung von Christoph Busch vom Fraunhofer-Institut für Graphische Datenverarbeitung in Darmstadt ist das alles bald Schnee von gestern. Die PIN als Sicherheitsgarant wird bald an Bedeutung verlieren, davon ist auch Buschs Mitarbeiter Henning Daum überzeugt; denn die zunehmende Computerisierung unseres Alltags bedingt einfachere und dennoch zuverlässige Sicherung gegen Mißbrauch. Busch und Daum forschen auf dem Gebiet der Biometrie und bereiten für die kommende Woche am Fraunhofer-Institut eine Tagung zum Stand dieser etwa 20 Jahre alten Wissenschaft vor.
Biometrie bedeutet Erkennen aufgrund persönlicher Eigenschaften. Ist eine Person erkannt, bekommt sie beispielsweise Zugang zu Räumen oder darf bestimmte Aktionen ausführen - etwa Geld abheben am Bankautomaten. Will sich jemand unberechtigt Zugriff verschaffen, kann er abgewehrt werden. Die gängigste und älteste Form der biometrischen Identifikation, die jeder aus dem Krimi kennt, ist der Fingerabdruck. Der Benutzer legt seine Finger auf eine Erkennungsfläche, der Abdruck wird gelesen und mit dem gespeicherten Original verglichen. Stimmt er überein, erfolgt die Zulassung. Diese Methode wenden beispielsweise Handy- und Computerhersteller an, die die Erkennung per Fingerabdruck schon als Ausstattungsstandard anbieten.
Solche zweifelsfreie Identifikation funktioniert auch mit der Iris, der Regenbogenhaut des Auges. Das Aussehen der Iris und der Fingerabdruck sind Merkmale, die bei jedem Menschen anders und unveränderbar sind.
Zuverlässige Kennzeiche sind auch dynamische Merkmale eines Menschen, die gespeichert und später mit den Kennzeichen des Zugang Fordernden abgeglichen werden. Die Gesichtserkennung prüft nicht nur Augen, Ohren, Mund und Nase, sondern auch Mimik und die typische Art, die Lippen beim Sprechen zu bewegen. Die Unterschrifterkennung identifiziert Druck, Ansatz und Schwung der Schrift, auch wenn der Nutzer meint, niemals seien zwei seiner Unterschriften völlig identisch. Schließlich gibt es auch die Stimmerkennung, die Inhalt und Stil der Aussprache identifizieren kann. Am Fraunhofer-Institut erforscht man seit zwei Jahren diese Methoden. Mit zahlreichen Testpersonen wurden biometrische Sicherheitsgräte überprüft: Fingerabdruck- und Unterschriftensysteme, ein Gesichtserkennungssystem und ein Irisscanner.
An der Phantasie der Tester lag es, Schwachstellen der Systeme zu ergründen. Bei dem Gesichtserkennungssystem war das relativ einfach: Es ließ sich mit einem Foto des eigentlichen Zugangsberechtigten austricksen.
Aufwendiger in der Herstellung, aber gleichwohl erfolgreich war ein gefälschter Fingerabdruck aus Silikon. Die Testreihe wurde vom Bundesamt für Sicherheit in der Informationstechnik finanziert und diente dem Vergleich der verschiedenen Systeme. Die Industrie, die solche Systeme herstellt, ist denn auch sehr interessiert an der Präsentation der Erkenntnisse auf der Tagung. Ihr sollen weitere Testreihen am Fraunhofer-Institut noch in diesem Jahr folgen. Busch hofft hierfür auf Aufträge und damit auf Finanzierung aus der Industrie.
Das nächste Ziel der Entwicklung ist nach seiner Meinung, die Erkennungsmerkmale auf einer einzigen "intelligenten" Plastikkarte, der Smart-Card, zu speichern, die der Nutzer bei sich trägt. Möchte er sich dann ausweisen, am Bankautomaten oder am Eingang des Bürohauses, werden die Daten auf der Karte mit denen verglichen, die er sozusagen "am Lieb" trägt, also mit dem Fingerabdruck, der Iris oder der Stimme. Dies würde ein Abspeichern von Benutzermerkmalen im Sicherheitssystem überflüssig machen.
Denn bei aller Verzweiflung über die vielen Geheimnimmern und Paßwörter - die Hemmung, körpereigene Merkmale oder Daten einem fremden, zentralen System anzuvertrauen, ist bei vielen Menschen groß; denn sie sind nicht zurückzuholen. Eine Geheimzahl aber kann man ändern.