Die Presse über uns

Zukunftstechnologie Biometrie stellt Sicherheitsexperten, Datenschützer und Verbraucherverbände vor zahlreiche Probleme

Wissenschaftliches Institut für Kommunikationsdienste GmbH
09.02.2000

WIK legt Ergebnisse einer vergleichenden Untersuchung zu Nutzerakzeptanz, Sicherheitsfragen sowie Daten- und Verbraucherschutzaspekten vor

Biometrische Merkmale bieten gegenüber PIN, Passwort oder Schlüssel vor allem einen entscheidenden Vorteil: Sie können weder vergessen noch ausgeliehen oder gestohlen werden. Durch Fingerabdruck, Gesichts- und Stimmerkennung, Iris-Scan oder elektronische Schriftprüfung wird ein Benutzer jederzeit eindeutig authentifiziert. Damit scheint Biometrie eine perfekte Alternative zu herkömmlichen Verfahren zu bilden. Es wird erwartet, dass mit zunehmenden Sicherheitsanforderungen an lT-Systeme und Internet-Anwendungen auch ein breiter Einsatz biometrischer Systeme verbunden ist.

Um herauszufinden, inwieweit die Zukunftstechnologie Biometrie tatsächlich kurz vor dem Durchbruch steht, hat das Bundesamt für Sicherheit in der lnformationstechnik (BSI) in Zusammenarbeit mit dem Bundeskriminalamt (BKA) die Studie "Vergleichende Untersuchung biometrischer ldentifikationssysteme - BIOIS" initiiert.

Im Rahmen dieser Studie untersuchte das Wissenschaftliche Institut für Kommunikationsdienste GmbH (WIK), Bad Honnef, übergreifende Verbraucher- und Datenschutzaspekte sowie Fragen der Gewährleistung eines hohen Sicherheitsniveaus, die Benutzerfreundlichkeit der Systeme, Vorbehalte und Befürchtungen der Benutzer gegenüber der Biometrie sowie Anforderungen an die Medienkompetenz und die Nutzungsbereitschaft des Einzelnen. Damit gehört die BSI-Studie zu den ersten Untersuchungen, die die potentiellen sozialen Folgen des Einsatzes von Biometrie umfassend behandelt.

Die Ergebnisse dieses Technology Assessments hat das WIK anlässlich des BSI-Symposiums "Welche Zukunft biometrischer Systeme wollen wir?" am 9. Februar 2000 in Darmstadt einem interdisziplinär zusammengesetzten Fachpublikum vorgestellt.

Empirische Daten zur Nutzerakzeptanz biometrischer Systeme

Während der Studie BioIS war es erstmals möglich, empirische Daten über die Einschätzung der Nutzer zur Anwendung von Biometrie zu gewinnen. Das Fraunhofer Institut für Graphische Datenverarbeitung, Darmstadt, das vom BSI mit dem technischen Teil der Studie BioIS betraut war, führte eine Labor-Untersuchung durch, bei der unterschiedlichste biometrische Merkmale zum Einsatz kamen. Die Versuchsteilnehmer, die die Labortests regelmäßig über mehr als ein halbes Jahr durchlaufen haben, wurde vom WIK mehrfach zu ihrer Einschätzung biometrischer Systeme ausführlich befragt.

Zeitersparnis und Komfort sind die Hauptargumente für die Nutzer

Auf den ersten Blick erscheinen biometrische Verfahren den Nutzern ideal, denn schließlich "hat man sich selbst ja immer dabei." Grundsätzlich hält die Mehrheit der Nutzer Biometrie für 'sehr nützlich' oder zumindest 'nützlich'. Die Vielzahl von lästigen Passwörtern, PINs (Persönlichen Identifikationsnummern) oder Schlüsseln, die heute jeder in Gebrauch hat, könnten nach Meinung der Nutzer abgeschafft und durch Merkmale wie Stimme, Auge, Schrift, Hand- oder Fingerabdruck ersetzt werden. Damit wäre das Risiko des Verlustes der Authentifikationsmerkmale durch Vergessen oder durch Diebstahl praktisch ausgeschlossen.

Ein Zugewinn an Bequemlichkeit ist eines der Hauptargumente für die Nutzung von Biometrie. Zur Benutzerfreundlichkeit gehört für die Befragten darüber hinaus eine sekundenschnelle Abwicklung des Authentifizierungsprozesses. Es ist daher nicht verwunderlich, dass die Nutzer eher solche Systeme favorisieren, die möglichst wenig Aktivitäten von ihnen verlangen. Neben Zeitersparnis und Komfort spielt aber auch die Sicherheit der Systeme eine wichtige Rolle für die Nutzer. Mehr als zwei Drittel der Versuchspersonen halten Datenschutz und systemische Sicherheit für unabdingbar.

Sicherheitsbedenken führen zu Skepsis bei den Nutzern - mehr Transparenz ist erforderlich

Auf den zweiten Blick offenbaren sich für viele aber auch problematische Seiten der Biometrie. Fast alle Nutzer haben Bedenken, dass ihre biometrischen Daten verfälscht oder missbraucht werden könnten. Diese subjektive Einschätzung ist zum Teil darauf zurückzuführen, dass die Funktionsweise der meisten Systeme für den Laien nicht transparent ist. Tricks wie Verkleidungen oder das Verstellen der Stimme, die bei menschlichem Wachpersonal vielleicht funktionieren könnten, sind jedoch bei technischen Verfahren nicht gleichermaßen anwendbar, da sie einen Menschen nach anderen Kriterien beurteilen und 'erkennen'. Beinahe alle Nutzer sind der Meinung, dass die Hersteller und Betreiber von biometrischen Systemen für den Masseneinsatz den Nutzern ausführliche Informationen über die Funktionsweise zur Verfügung stellen sollten, damit die Nutzer auf dieser Grundlage die Systeme besser beurteilen können.

Hohe Ansprüche der Versuchsteilnehmer an die Benutzerfreundlichkeit wurden teilweise nicht erfüllt

Die hohen Erwartungen an die Benutzerfreundlichkeit wurden zum Teil enttäuscht. Nur ein Viertel der Versuchspersonen beurteilte die Dauer des Erkennungsvorganges als angemessen, alle anderen empfanden ihn als zu lange. Folglich würden nur die wenigsten, etwa 20%, zusätzliche Kosten für den Einsatz biometrischer Verfahren z.B. am Bankautomaten oder bei Online-Bezahlsystemen in Kauf nehmen. An die Funktionsfähigkeit der Systeme werden zudem die allerhöchsten Ansprüche gestellt: "Es muss natürlich hundertprozentig funktionieren, sonst ist man völlig aufgeschmissen." Diese hohen Forderungen sind jedoch bei biometrischen Systemen, bei denen eine - wenn auch sehr geringe - Falschzurückweisungsrate berechtigter Benutzer oder auch die Falschakzeptanz nicht berechtigter Personen vorkommen kann, bisher kaum erfüllbar. Daher ist es wahrscheinlich, dass zur Gewährleistung einer größtmöglichen Verfügbarkeit der Anwendungen immer auch alternative Zugangssysteme vorgehalten werden müssen.

Mit einer Maschine zu kommunizieren ist manchem Nutzer peinlich

Hygienische Bedenken bei der Nutzung der Systeme spielten eine eher untergeordnete Rolle. Allerdings ist der "Peinlichkeitsfaktor" bei manchen Systemen nicht zu unterschätzen. Viele Nutzer suchen bei Fehlfunktionen zunächst die Schuld bei sich selbst und empfinden dann das mehrmalige Interagieren mit einer Maschine als eher unangenehm. Als Nachteil bei der Verwendung von Biometrie wird auch teilweise gerade dasjenige Merkmal bewertet, das aus Hersteller- und Betreibersicht den Vorteil biometrischer Verfahren ausmacht: Mancher Nutzer fragt sich, wie er in Zukunft seine Zugangsberechtigung an Kollegen übertragen soll, wenn es keine Schlüssel oder Passwörter mehr gibt, sondern nur noch das mit der Person untrennbar verbundene biometrische Merkmal erforderlich ist...

Über die subjektive Nutzerperspektive hinaus: Wo sehen Experten die Probleme der Biometrie?

Über die Nutzerakzeptanz hinaus wurden vom WIK auch übergreifende Sicherheits-, Daten- und Verbraucherschutzaspekte untersucht. Das Institut hat zu diesen Problemfeldern mehr als ein Dutzend Experten verschiedenster Fachrichtungen befragt.

Nicht überraschend fallen in manchen Punkten das Urteil der Nutzer und die Expertenbeurteilung auseinander. Was für die Nutzer subjektiv bequem und sicher erscheint, ist nicht notwendigerweise auch aus Expertensicht positiv zu beurteilen.

Biometrien auf der Basis aktiv erzeugter Merkmale sind aus Verbraucherschutzsicht vorzuziehen

Vor allem die Benutzerfreundlichkeit wird unterschiedlich definiert. Während die Nutzer hauptsächlich auf Bequemlichkeit Wert legen und eher berührungslose Verfahren präferieren, die einen Berechtigten rasch und ohne besonderen Aufwand durch die Person erkennen, sind Datenschützer und Verbrauchervertreter der Ansicht, dass vor allem Verfahren eingesetzt werden sollten, bei denen den Nutzern bewusst ist, dass sie authentifiziert werden. Um einer unbemerkten Erfassung und Verarbeitung von Daten vorzubeugen, seien Verfahren, die Aktivitäten des Nutzers erfordern, vorzuziehen. Hier offenbart sich ein Dilemma der Biometrie: Einerseits ist die Erhöhung der Sicherheit in Informationstechnik und Telekommunikation ein zentrales Ziel, andererseits scheinen die Nutzer vor allem die einfachste und bequemste Variante der Biometrie vorzuziehen.

Umfassende Gesamtsicherheit ist zentrale Voraussetzung für Datenschutz und Verbraucherschutz

Am wenigsten kontrovers diskutiert wird der Aspekt der systemischen Sicherheit. Biometrie kann immer nur ein zusätzliches Instrument sein, dass die Authentifizierbarkeit von Personen verbessert. Die Gesamtsicherheit eines Systems muss durch zusätzliche Sicherheitsmaßnahmen gewährleistet werden. Dazu gehört zum Beispiel, dass die Referenzdaten, die zum Abgleich mit den aktuellen Daten des Nutzers verwendet werden, sicher gespeichert und verschlüsselt übertragen werden. Es dürfen keine falschen Referenzdatensätze eingeschleust werden oder die Schwellwerte für die biometrische Erkennung von Unberechtigten verändert werden können.

"Lebenderkennung" des biometrischen Merkmals ist zentral für die Sicherheit

Es herrscht ebenso Einigkeit darüber, dass Manipulation ausgeschlossen werden müssen. Es muss sichergestellt sein, dass ein System nicht durch Fotografien, Fingerattrappen, Stimmenimitation oder Verkleidung überlistet werden kann. Dazu ist nach Meinung von Sicherheitsexperten die Gewährleistung der "Lebenderkennung" eine der wichtigsten Voraussetzungen. Hier besteht nach Ansicht einiger Experten noch Forschungs- und Entwicklungsbedarf.

Grundvoraussetzung ist die Verlässlichkeit und Funktionsfähigkeit der biometrischen Erkennung, d.h., Berechtigte dürfen nicht abgewiesen und Unbefugte dürfen keinen Zugriff erlangen. Hier gibt es noch ungelöste Probleme, da bei manchen Anwendungen eine niedrige Toleranzschwelle zwar verhindert, das Nutzer abgelehnt werden, gleichzeitig aber dies ein höheres Risiko des Zugriffs durch unberechtigte Personen beinhaltet. Umgekehrt wird bei einer höher gewählten Schwelle die Zahl der Falschzurückweisungen möglicherweise steigen. Dies kann sich negativ auf die Akzeptanz der Systeme durch die berechtigten Benutzer auswirken.

Nutzer sollen über ihre Daten verfügen können

Die Sicherheit des Gesamtsystems ist nach allgemeiner Auffassung auch ein fundamentaler Beitrag zu einer datenschutz- und verbraucherschutzgerechten Gestaltung biometrischer Systeme. Darüber hinaus existieren aber noch weitere Anforderung an die Biometrie. Nach Auffassung von Datenschutzvertretern sind die technischen Rahmenbedingungen so zu gestalten, dass ein möglichst hohes Datenschutzniveau garantiert ist. Dazu gehört die Speicherung der Referenzdaten im Verfügungsbereich des Nutzers, z.B. auf einer Smart Card und die Ablehnung von zentralen Datenspeichern. Zusätzliche Sicherheit ließe sich durch das Anbringen des Biometrie-Sensors auf der Karte und die Abwicklung der Authentifizierung der Person in der Chipkarte gewinnen. Produkte dieser Art befinden sich aber noch im Entwicklungsstadium. Außerdem sollten die Systeme revisionsfähig sein, also die Möglichkeit beinhalten, das Datenschutzbeauftragte die Datenverarbeitung überprüfen können.

Biometrie als "PIN-Ersatz"?

Interessensvertreter der Verbraucher erwarten von biometrischen Produkten in erster Linie eine sichere und kundenfreundliche Alternative zu herkömmlichen Verfahren, insbesondere zur heute verwendeten PIN. Missbrauchsfälle im Zusammenhang mit der PIN haben in der Vergangenheit häufig zu Rechtsstreitigkeiten geführt. Durch Biometrie lässt sich der Zugang zum Bankautomaten oder auch zu einer digitalen Signatur auf den berechtigten Benutzer beschränken. Bevor biometrische Merkmale die PIN ersetzen können, ist jedoch noch die Frage zu beantworten, welches Sicherheitsniveau die Biometrie heute bieten kann. Kritiker geben zu bedenken, dass die PIN als alternativer Zugang - z.B. wenn ein Merkmal zeitweilig durch einen Unfall nicht zur Verfügung steht - noch lange Zeit Verwendung finden wird.

Damit biometrische Verfahren im Sinne des Verbraucherschutzes eingesetzt werden, sind neben Sicherheits- und Datenschutzanforderungen noch weitere Voraussetzungen zu erfüllen. Dazu gehört eine gerechte Haftungsverteilung, Nutzerfreundlichkeit (geringer Zeit- und Kostenaufwand, einfache Handhabbarkeit) und die Erprobung biometrischer Verfahren in Pilotprojekten, um mögliche Verbraucherrisiken frühzeitig erkennen und beseitigen zu können.

Gewährleisten einer "Grundversorgung" liegt im Interesse aller

Biometrische Merkmale sind in der Bevölkerung unterschiedlich stark verbreitet. Bisher ist noch kein System für den Masseneinsatz entwickelt worden, das ein universell vorhandenes Merkmal einsetzt. Dies gilt in gleichem Maße für die seit längerem bekannten Verfahren als auch für neue Systeme. Es gibt Menschen ohne ausgeprägte Fingerabdrücke, ohne Iris, ohne Stimme oder auch Analphabeten. Daher ist im Interesse der Verbraucher der Einsatz von Verfahren mit einer hohen Merkmalsverbreitung bzw. das Bereithalten von Alternativen zu fordern, um die Diskriminierung bestimmter Gruppen zu vermeiden. Die Frage der Grundversorgung stellt sich aus einer anderen Perspektive aber auch für Hersteller und Betreiber. Um möglichst viele Nutzer für biometrische Verfahren zu gewinnen, wird überlegt, mehrere biometrische Merkmale kombiniert im Sinne einer "multiplen Biometrie" zu verwenden. Dieses Vorgehen würde zusätzliche Sicherheit bieten und wäre auch aus Gründen der Falschzurückweisungsproblematik sinnvoll.

Mehr Information und Kompetenz steigern die Akzeptanz

Insgesamt machen die Diskrepanzen von Nutzereinschätzung und Expertenbeurteilung biometrischer Systeme vor allem deutlich, dass die Verbraucher für die Nutzung von Biometrie ,Medienkompetenz' erwerben müssen. Darunter ist zu verstehen, dass die Nutzer über die Funktionsweise und die Vorteile, aber auch die potentiellen Risiken von Biometrie aufgeklärt werden und auf dieser Grundlage eine Nutzungsentscheidung treffen können. Dabei sollten Information und Beratung der Nutzer nicht nur als Kostenfaktor, sondern vor allem auch als Miffel zum Abbau sub]ektiver Vorbehalte und Befürchtungen und damit zur Steigerung der Akzeptanz begriffen werden.

Nur Freiwilligkeit führt zum langfristigen Erfolg

Im großen und ganzen sind sich alle Experten darüber einig, dass Biometrie nur dann allseitig erfolgreich eingesetzt werden kann, wenn ihre Nutzung auf Freiwilligkeit beruht. Dem Nutzer müssen Alternativen zur Verfügung stehen. Da der Einsatz von Biometrie für Betreiber wie z.B. Banken, Online-Dienstleister oder Flughafenbetreiber auch mit erheblichen Kosteneinsparungen verbunden sein wird, ist aber auch nicht auszuschließen, dass Effizienzgewinne auch an die Kunden weitergegeben werden. Denkbar ist eine Privilegierung in Form von Zeitersparnis, mehr Bequemlichkeit oder Gratifikationen (Prämien-Flugmeilen, höherer Verfügungsrahmen beim Geldabheben etc.). Diese Möglichkeit wirft für den Verbraucherschutz die Frage auf, inwieweit hier eine mögliche Diskriminierung bestimmter Bevölkerungsgruppen auszuschließen ist.

Fazit

Trotz vieler offener Fragen und Probleme sind sich alle Beteiligten darüber einig, dass Biometrie wahrscheinlich schon in wenigen Jahren in vielen Bereichen eingesetzt werden wird. Mögliche Kosteneinsparungen und Effizienzgewinne bei den Betreibern dieser Systeme können als die wichtigsten Treiber dieser Entwicklung angesehen werden. Es ist dabei unwahrscheinlich, dass sich ein bestimmtes biometrisches Merkmal für alle Anwendungsbereiche durchsetzt. Vielmehr werden sich für unterschiedliche Anwendungsfelder auch geeignete oder weniger geeignete Merkmale finden.

Die "Vergleichende Untersuchung biometrischer Identifikationssysteme" leistet einen ersten Beitrag zur Diskussion von Gestaltungs- und Handlungsempfehlungen beim Einsatz von Biometrie. Zahlreiche Interessensvertreter haben das Thema bereits aufgegriffen und planen Informations- und Aufklärungsaktionen oder beteiligen sich an Pilotprojekten.