zurück zum Artikel

Biometrische Zugangssicherungen auf die Probe gestellt

Körperkontrolle

Test & Kaufberatung | Test

Passwörter auswendig lernen ist out. Heute genügt es, den Finger auf einen Sensor zu legen oder in eine Webcam zu blicken - und schon wird der Zugang zum System gewährt. Allerdings besteht die Gefahr, dass die neue Bequemlichkeit auf Kosten der Sicherheit geht. Wie gut schützen biometrische Zugangskontrollen vor dem Eindringen Unbefugter? Wir haben elf Produkte geprüft.

Aufmacher

Nach Schätzungen der IBIA, der internationalen Organisation der Biometrieanbieter, übersteigt der weltweite Umsatz mit biometrischen Sicherheitsanwendungen in diesem Jahr erstmals die 500-Millionen-Euro-Grenze. Zwar geht das Wachstum vorrangig auf Großaufträge aus Industrie und Verwaltung zurück, doch kommen jetzt auch vermehrt Produkte für den Einsatz am häuslichen oder betrieblichen PC auf den Markt.

Die Palette biometrischer Zugangssicherungen für PCs reicht mittlerweile von Mäusen und Tastaturen mit integriertem Fingerabdruck-Scanner über Webcam-Lösungen, deren Software in der Lage ist, Gesichter registrierter Personen wiederzuerkennen, bis hin zu Scannern, die das individuelle Iris-Muster des menschlichen Auges zur Identifizierung nutzen.

Die mitgelieferte Security-Software schreibt sich beim Hochfahren in die Anmelderoutine des Rechners und erweitert diese um eine biometrische Authentifizierung. Häufig wird auch der Bildschirmschoner mit eingebunden und man kann sich nach Arbeitspausen am laufenden Rechner ebenfalls biometrisch ausweisen. Ausgereifte Lösungen erlauben zudem den dezidierten Schutz einzelner Programme oder Dokumente per biometrischem Merkmal.

Ein gemeinsames Problem aller biometrischen Zugangs-Kontrollverfahren ist allerdings nach wie vor der Kampf mit notwendigen Fehlertoleranzen: Setzt ein Hersteller - mit entsprechendem Hard- und Software-Aufwand natürlich - enge Toleranzgrenzen, erhöht er damit zwar die Sicherheit des Systems, doch leidet dann meist die Benutzerfreundlichkeit. Lässt er hingegen von vornherein hohe Abweichungen zu, ist die biometrische Zugangskontrolle zwar bequem zu bedienen, die Schutzfunktionen sind jedoch stark eingeschränkt.

Die bisher veröffentlichten Studien zum Thema Biometrie basieren zumeist auf Auswertungen der in der Branche so beliebten False-Rejection- und False-Acceptance-Rates (FRR, FAR). Bei der False Rejection wird einem Nutzer der Zugang zum System verwehrt, obwohl er dafür eine Zugriffserlaubnis hat. Auslöser ist dabei häufig die schwache biometrische Merkmalsausprägung des Anwenders. Bei der False Acceptance hingegen können sich Personen am System anmelden, deren biometrische Merkmale nicht registriert sind. Verantwortlich hierfür sind meist billige Sensor-Chips oder die schlechte Implementierung der Security-Software.

Die empirisch ermittelten Fehlerwahrscheinlichkeiten geben jedoch generell keine klaren Antworten auf die Frage, ob eine biometrische Lösung das System auch dann schützt, wenn ein Angreifer gezielt versucht, den Zugangsschutz zu überwinden. Anders als bei den empirischen Messreihen würde ein Hacker wohl kaum tausend Probanden aufmarschieren lassen, in der Hoffnung, dass einer davon vielleicht fälschlicherweise vom System akzeptiert wird. Doch genau das ist die Kernfrage, die an ein Sicherungssystem zu stellen ist.

Zwar führte das Darmstädter Fraunhofer-Institut gemeinsam mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) im vergangenen Jahr zahlreiche Testreihen durch, in deren Rahmen auch ‘vorsätzlich’ nach Sicherheitsschwachstellen einzelner Systeme gesucht wurde, doch gelangten die ermittelten Ergebnisse offenbar auf Drängen der Hersteller nie an die Öffentlichkeit. Statt endlich mit offenen Karten zu spielen, versteckt sich die Biometrie-Branche lieber hinter selbst ermittelten Fehlerraten.

Um herauszufinden, wie widerstandsfähig aktuelle biometrische Systeme gegenüber Überwindungsversuchen wirklich sind, gibt es derzeit also nur einen Weg: angreifen, ausprobieren, austricksen. Grob gesehen lassen sich die Angriffe dabei in drei Szenarien unterteilen:

Beim ersten Ansatz täuscht man das Biometrie-System mit künstlich erzeugten Daten unter Ausnutzung der regulären Sensorik des Systems. Voraussetzung hierfür ist das Ausspähen von offenen oder leicht verdeckten biometrischen Merkmalen wie Gesicht und Fingerabdruck. Nach dem Entwickeln von entsprechenden Fotos oder dem Anfertigen von künstlichen Fingerabdrücken kann mit den Merkmals-Kopien ein Authentifizierungsversuch gestartet werden. Auch die Reaktivierung von Fettrückständen auf einem Fingerabdruck-Scanner - so genannten Latenzbildern - fällt in diese Kategorie.

Im zweiten Szenario täuscht man das biometrische System ebenfalls mit künstlichen Daten. Allerdings umgeht man hier die reguläre Sensorik und spielt dem System zuvor abgehörte Referenzdatensätze vor, die man zum Beispiel mit einem Sniffer-Programm am USB-Port abgefischt hat. Häufig wird diese Vorgehensweise auch als Replay-Attacke bezeichnet. Mehr zu USB-Sniffern und Hardware-Analyzern im Kasten ‘Angriffe am USB-Port’ auf Seite 118 in c't 11/2002.

Angriffe, die direkt auf die Datenbank abzielen, bilden einen dritten Ansatz. Dieses Szenario bedingt in der Regel, dass man im Besitz von Administratorrechten ist und Datensätze austauschen kann, die als Referenz zur Erkennung benutzt werden. Sind diese Datensätze nicht gesondert geschützt, kann der Angreifer Benutzerdaten fälschen und sie zu einem späteren Zeitpunkt für eigene Zwecke reaktivieren. Besonders im sensiblen Finanzbereich könnte dies eine tickende Zeitbombe darstellen. Dann nämlich, wenn der ehemalige Bankmitarbeiter nach Jahren auf die Idee kommt, den einst heimlich angelegten Datensatz von ‘Herrn Müllers elftem Finger’ nun zum Leben zu erwecken, um ‘seine’ Schäfchen endlich ins Trockene zu holen.

Spurensicherungsset [1]
Vergrößern [2]
Ein Spurensicherungsset vom Landeskriminalamt Niedersachsen leistete bei den Tests gute Dienste.

Wir haben uns bei unseren Überlistungsversuchen vorrangig auf die erste Methode konzentriert: direkte Täuschung der Systeme durch nahe liegende Verfahren wie Latenzbild-Reaktivierung und Präsentation von nachgemachten Merkmalen (Fotos, Videos, Silikon-Fingerabdrücke). Nach den verblüffenden Ergebnissen, die wir bereits damit erzielten, testeten wir nur noch exemplarisch, ob sich aus dem belauschten USB-Datenverkehr zwischen Rechner und Sensor biometrische Merkmale extrahieren ließen.

Bei den elf getesteten Biometrie-Anwendungen handelte es sich um im Handel befindliche Produkte, die auf der diesjährigen CeBIT gezeigt wurden. Auch wenn das Testfeld unvollständig ist, so spiegelt es doch in etwa die Marktverhältnisse wider: Den mit Abstand größten Anteil machen derzeit Biometrie-Produkte aus, die Fingerlinien als Erkennungsmerkmal nutzen. Kopf an Kopf auf den Plätzen zwei und drei liegen Systeme zur Gesichtserkennung und Iris-Scanner. Die anderen Verfahren wie Sprachanalyse, Handgeometrievermessung, Unterschriftenerkennung oder Tastaturanschlagsdynamik haben allesamt nur einen marginalen Anteil am Gesamtumsatz im Biometrie-Geschäft.

Uns erreichten neben sechs Produkten mit kapazitivem Fingerabdruck-Scanner (Biocentric Solutions, Cherry, Eutron, Siemens und Veridicom) zwei optische (Cherry, Identix) sowie ein thermischer (IdentAlink) Fingerprint-Reader. Im Test vertreten waren weiterhin die Authenticam von Panasonic, ein Iris-Scanner, der in den USA vertrieben wird und demnächst auch auf den europäischen Markt kommen soll, sowie FaceVACS-Logon, eine Gesichtserkennungs-Lösung der Dresdner Cognitec AG.

Als Testumgebung setzen wir drei PCs (1-GHz-Prozessoren, 128 MByte RAM, 32 MByte AGP-Grafikkarte) unter Windows 98 und Windows 2000 sowie ein Gericom-Notebook mit 14-Zoll-LCD-Bildschirm unter Linux ein. (pmz [3])

Den vollständigen Artikel mit allen Testergebnissen finden Sie in c't 11/02, S. 114 oder in unserem Online-Kiosk [4].

[5]

Literatur

[6]

[1] Richard Sietmann, Im Fadenkreuz, Auf dem Weg in eine andere Gesellschaft [7], c't 5/02, S. 146

[2] Christoph Busch, Henning Daum, Frei von Zweifel? Biometrische Erkennung: Grundlagen, Verfahren, Sicherheit, c't 5/02, S. 156

[3] Klaus Schmeh, Marco Breitenstein, Punkt, Punkt, Komma, Strich, Gesichtserkennung im Test, c't 20/99, S. 136

[4] Oliver Diedrich, Nie mehr das Paßwort vergessen, Biometrische Systeme zur Identifikation und Authentifizierung, c't 6/99, S. 188

Seitenanfang [8]


Die Bundesregierung misst den biometrischen Verfahren zur Identitätsfeststellung und Strafverfolgung weiterhin hohe Bedeutung bei. Dies geht aus ihrer Antwort vom 24. April auf eine Kleine Anfrage der innenpolitischen Sprecherin der PDS-Fraktion im Bundestag, Ursula Jelpke, hervor. Jelpke hatte unter expliziter Berufung auf den c't-Report Biometrie (c't-Ausgabe 5/02) die Haltung der Bundesregierung zu Fehlerraten dieser Erkennungssysteme und zum Stand der Einführung biometrischer Daten in Ausweisen in Erfahrung bringen wollen.

Das Bundesinnenministerium erklärte dazu, dass ein Gesetzentwurf zur Aufnahme und Speicherung biometrischer Merkmale in Personaldokumenten erst dann vorgelegt werden solle, wenn die dafür erforderlichen Vorarbeiten abgeschlossen seien. Zunächst müssten die zur Diskussion stehenden Verfahren ‘in Pilotprojekten in beträchtlicher Größenordnung in einer die spätere Anwendung so realistisch wie möglich simulierenden Umgebung’ geprüft werden. Der Zeitpunkt für die Vorlage des Gesetzesentwurfes stehe daher noch nicht fest. Auf EU-Ministerebene sei die Anwendung biometrischer Verfahren bei Personaldokumenten allerdings schon erörtert worden. Für Juni 2002 sei eine Konferenz aller EU-Mitgliedsstaaten zu diesem Thema geplant.

Da derzeit mindestens fünf völlig unterschiedliche Biometrie-Ansätze um die Gunst des Kunden buhlen und die Größenordnung einer späteren Anwendung mit insgesamt 70 Millionen Inhabern deutscher Personaldokumente klar definiert ist, dürfte sich die Prüfung zumindest aus technischer Sicht wohl noch ein wenig hinziehen.

Das Büro für Technikfolgenabschätzung (TAB) beim Deutschen Bundestag schätzt die Situation ähnlich ein: ‘Die Leistungsfähigkeit verfügbarer biometrischer Systeme ist auf der Basis der - oftmals äußerst widersprüchlichen - Informationen nicht seriös einzuschätzen’, fasst das Büro seine Erkenntnisse zusammen. Für Verwirrung sorge häufig die unscharfe Trennung zwischen möglichem Potenzial und augenblicklicher tatsächlicher Kapazität. Das TAB ist eine 1990 gegründete Einrichtung, die auf Anforderung des Forschungsausschusses zu speziellen Themen die Parlamentarier mit Berichten und Analysen über wissenschaftlich-technische Entwicklungen und die politischen Handlungsoptionen informiert. Es zieht dazu in der Regel den externen Sachverstand unabhängiger Experten heran.

Richard Sietmann


URL dieses Artikels:
http://www.heise.de/-288308

Links in diesem Artikel:
[1] https://www.heise.de/altcms_bilder/124765/2_hires.jpg
[2] https://www.heise.de/altcms_bilder/124765/2_hires.jpg
[3] mailto:pmz@ct.heise.de
[4] https://www.heise.de/kiosk/archiv/ct/02/11/114/
[5] 
[6] 
[7] https://www.heise.de/ct/02/05/146/
[8] #anfang