14. März 2025
Bei der biometrischen Authentifizierung werden die körperlichen Merkmale einer Person – wie Gesichtszüge, Iris-Scans oder Fingerabdrücke – verwendet, um ihre Identität zu überprüfen, bevor Zugriff auf sensible Daten oder Systeme gewährt wird. Die biometrische Identifizierung basiert darauf, wer die Person ist, und nicht auf speziellem Wissen oder etwas, das die Person mitbringt.
Hacker haben es zunehmend auf die Zugangsdaten von Benutzern abgesehen, um in Unternehmensnetzwerke einzudringen und Chaos anzurichten. Laut dem IBM Cost of a Data Breach Report sind gestohlene Anmeldeinformationen der häufigste Angriffsvektor bei Datenschutzverletzungen.
Viele Unternehmen setzen die biometrische Authentifizierung ein, um diese Art von Cyberangriffen zu vereiteln und Benutzerkonten zu schützen. Da biometrische Informationen sich auf eine Person beziehen, sind sie in der Regel schwieriger zu stehlen oder zu fälschen als andere Zugangsdaten, wie Passwörter und Token.
Biometrie kann auch eine bequemere Benutzererfahrung bieten, da die Menschen sich nicht an etwas erinnern oder spezielle Gegenstände mit sich führen müssen, um ihre Identität nachzuweisen. Biometrische Technologie ermöglicht eine Authentifizierung ohne Kennwort, die sowohl sicherer als auch effizienter sein kann als andere Arten der Authentifizierung.
Verstärken Sie Ihre Sicherheitsintelligenz
Bleiben Sie Bedrohungen immer einen Schritt voraus mit Neuigkeiten und Erkenntnissen zu Sicherheit, KI und mehr, die Sie wöchentlich im Think Newsletter erhalten.
Alle Authentifizierungssysteme basieren auf Authentifizierungsfaktoren oder Beweisstücken, die beweisen, dass eine Person diejenige ist, die sie vorgibt zu sein. Bei der biometrischen Authentifizierung werden zur Identifizierung von Personen insbesondere physische und verhaltensbezogene Modalitäten verwendet.
Inhärenzfaktoren
Inhärenzfaktoren, auch physikalische Faktoren genannt, sind körperliche Merkmale, die für eine Person einzigartig sind, wie beispielsweise das Muster der Blutgefäße in ihrer Netzhaut.
Biometrische Authentifizierungssysteme verwenden physische Identifikatoren, die messbar und eindeutig sind und sich höchstwahrscheinlich nicht ändern werden. Häufige biometrische Authentifizierungsmethoden umfassen die Gesichtserkennung und Fingerabdruckscans. Merkmale wie Gewicht und Haarfarbe können sich verändern, sodass sie für die Authentifizierung ungeeignet sind.
Neue Optionen für einzigartige Inhärenzfaktoren werden kontinuierlich untersucht, wie zum Beispiel Wärmebildgebung der Füße und der Lippenform.1
Während die meisten Inhärenzfaktoren konsistent bleiben, können Schwierigkeiten auftreten, wenn eine Verletzung die Eigenschaften einer Person verändert, z. B. ihre Fingerabdrücke oder Funktionen.
Eine weitere potenzielle Schwierigkeit bei Inhärenzfaktoren besteht darin, dass ein Angreifer einen physischen Authentifizierungsfaktor nicht ändern kann, wenn er ihn stiehlt (z. B. durch Entwenden von Fingerabdruck-Scans aus einer Datenbank). Menschen können ihre Passwörter ändern, aber sie können ihre Fingerabdrücke nicht ändern.
Darüber hinaus gibt es potenzielle Datenschutzbedenken in Bezug darauf, wie Unternehmen biometrische Daten nach deren Erfassung verwenden.
Zu den Inhärenzfaktoren, die derzeit verwendet oder evaluiert werden, gehören:
Bei der Augenerkennung wird die Iris oder Netzhaut nach eindeutigen Mustern abgesucht. Diese Art der biometrischen Authentifizierung ist zwar sehr genau, aber auch teuer und erfordert spezielle Ausrüstung. Sie ist praktischer für Regierung oder industrielle Zwecke, bei denen die Sicherheit der wichtigste Aspekt ist.
Die Technologie der Gesichtserkennung ist präzise genug, um zum Freischalten mobiler Geräte verwendet zu werden und bei der Identifizierung durch Strafverfolgungsbehörden zu helfen.
Allerdings kann es bei Gesichtsscans zu Problemen kommen: Der Winkel des Live-Scans kann von dem des gespeicherten Scans abweichen, was zu einer fehlgeschlagenen Authentifizierung führt. Ein übertriebener Gesichtsausdruck kann einen Scan ebenfalls verfälschen.
Der Ton, die Tonlage und die Frequenzen der Stimme einer Person können so einzigartig sein wie ein Fingerabdruck.
Die Überprüfung der Spracherkennung ist zwar hochpräzise, einfach zu bedienen und vergleichsweise kosteneffizient, doch fortschrittliche Technologien zum Klonen von Stimmen können sie täuschen. Einige Entwickler von generativer KI, wie z. B. OpenAI, plädieren aus diesem Grund dafür, dass Unternehmen die Spracherkennung verwerfen.2
Fingerabdrücke sind eine seit langem bestehende biometrische Authentifizierungsmethode, die in China bereits 300 v. Chr. als Identitätsnachweis verwendet wurde.3 Ihr Nutzen setzt sich bis heute fort.
Fingerabdrücke sind einzigartig. Die Chance, einen identischen Fingerabdruck zwischen zwei Personen zu finden, ist nur eins zu 64 Milliarden4. (Und es gibt jetzt etwas mehr als acht Milliarden Menschen auf der Erde.)
Fingerabdrücke sind auch ideal für die digitalen Geräte von heute. Sie sind kostengünstig zu lesen, zu sammeln und zu analysieren, und sie verändern sich nicht mit dem Alter der Menschen.
Einige Fingerabdruckscanner für Verbraucher, die in Smartphones und PCs zu finden sind, sind jedoch durch gefälschte Fingerabdrücke zugänglich. Häufige Bedingungen wie nasse, trockene oder schmutzige Finger können zu falschen Ausschuss führen.
Aufgrund dieser Fehler lesen einige Scanner jetzt stattdessen Gefäßmuster, was dazu beiträgt, die Anzahl der falsch positiven Ergebnisse zu reduzieren.
Die Venenerkennung verwendet eine Technologie zur Mustererkennung, um die Anordnung der Blutgefäße eines Benutzers an einem bestimmten Körperteil mit einem bereits gespeicherten Scan abzugleichen.
Obwohl der Venenscan genauer ist als viele andere Methoden zum Scannen von Fingerabdrücken, kann er umständlich sein. Darüber hinaus ist das Equipment zum Scannen von Blutgefäßmustern noch nicht flächendeckend verfügbar, sodass dieses Equipment meist in hochspezialisierten Umgebungen eingesetzt wird. Auch die Venen in ganzen Handflächen und auf der Stirn7 können gescannt werden.
Die Form der Hand einer Person kann gescannt und als mathematische Darstellung gespeichert werden. Gemessen werden die Fingerlänge, die Abstände zwischen den verschiedenen Teilen der Hand und die Konturen der Täler zwischen den Fingerknöcheln.
Von allen biometrischen Faktoren wird die DNA oft als der genaueste angesehen. Selbst „eineiige Zwillinge“ haben normalerweise keine wirklich identische DNA.5
Die Präzision der DNA und die Frage, wie DNA-Proben verwendet werden könnten, führen jedoch dazu, dass sich viele Menschen mit ihr als potenziellem Authentifizierungsfaktor unwohl fühlen.
Eine Studie der US-Regierung hat ergeben, dass die Menschen viel eher bereit sind, biometrische Daten in Form von Fingerabdrücken anzugeben als DNA.6
Verhaltensfaktoren
Die Verhaltensbiometrie verwendet die einzigartigen Muster in den Aktivitäten einer Person, um sie zu identifizieren. Zu den üblichen Verhaltensmerkmalen, die für die Authentifizierung verwendet werden, gehören:
Menschen haben oft einzigartige Verhaltensmuster, wenn sie an ihren Geräten arbeiten – zum Beispiel, wie sie einen Touchscreen benutzen oder wie häufig und flüssig sie die Maus bewegen.
Unternehmen können Algorithmen für maschinelles Lernen verwenden, um diese Muster zu analysieren und Modelle für das typische Verhalten eines Benutzers zu erstellen. Das spätere Verhalten des Benutzers kann mit dem Modell für die Authentifizierung verglichen werden.
Auch die Tastaturmuster einer Person können einzigartig sein, einschließlich der Tippgeschwindigkeit und der häufig verwendeten Verknüpfungen. Die Tippdynamik kann aus der Ferne und unauffällig überwacht werden, ist jedoch weniger genau als Fingerabdrücke oder IR-Scans, und die Muster des Benutzers können sich im Laufe der Zeit ändern.
Der Gang einer Person kann zur Authentifizierung verwendet werden. Die Schritt- und Fußwinkel können von Person zu Person geringfügig unterschiedlich sein.
Multimodale biometrische Authentifizierung
Multimodale biometrische Authentifizierungssysteme (MBA) verwenden zwei oder mehr Methoden der biometrischen Authentifizierung, um eine Person zu identifizieren. So kann ein MBA-System beispielsweise sowohl einen Fingerabdruck-Scan als auch einen Netzhautscan oder eine Gesichtserkennung und Tippmusteranalyse erfordern, bevor ein Benutzer Zutritt erhält.
Ziel der multimodalen biometrischen Authentifizierung ist es, die Sicherheitsmaßnahmen deutlich zu verstärken. Für einen Hacker ist es sehr schwierig, während des Authentifizierungsprozesses mehrere biometrische Identifikatoren erfolgreich zu fälschen.
Die Grundfunktionen der biometrischen Authentifizierung sind einfach. Der erste Schritt ist der Registrierungsprozess, bei dem die biometrischen Informationen einer Person digital in einem biometrischen System speichern. Immer wenn der Benutzer zur Authentifizierung zum System zurückkehrt, wird diese ursprüngliche Vorlage mit den Eigenschaften des Benutzers verglichen. Wenn die biometrischen Funktionen übereinstimmen, ist die Authentifizierung bestätigt.
Um digitalen Speicherplatz zu sparen und die Überprüfung der Prüffaktoren zu beschleunigen, werden in Vorlagen häufig nur die wichtigsten Punkte gespeichert. Beispielsweise speichern viele Systeme bei Gesichtsscans nur bestimmte Funktionen des Gesichts und nicht das gesamte Gesicht. Manchmal, z. B. bei Fingerabdruckscans, wird das gesamte Bild gespeichert.
Gespeicherte biometrische Daten erfordern strenge Datensicherheits -Maßnahmen, denn wenn sie gestohlen werden, können die Daten für Identitätsdiebstahl verwendet werden. Und weil biometrische Daten nicht geändert werden können, kann Diebstahl dem Opfer potenziell lebenslange Schwierigkeiten bereiten und weitere personenbezogene Daten gefährden.
Biometrische Systeme nutzen häufig fortschrittliche künstliche Intelligenz (KI), um den Erkennungsprozess zu beschleunigen. Deep Learning – und insbesondere Convolutional Neural Networks (CNNs oder ConvNets) – sind vielversprechend für die Identifizierung von Mustern in Vorlagen und Scans, z. B. für Fingerabdrücke.
Zugriffssteuerung
Die Feststellung der digitalen Identität einer Person ist entscheidend, bevor dieser Person Zugriff auf sensible Apps oder Daten gewährt wird. Biometrische Sicherheitssysteme können helfen, Präsentationsangriffe zu verhindern, bei denen ein Hacker versucht, sich Zugang zu einem System zu verschaffen, indem er die Identität eines gültigen Benutzers fälscht.
Biometrische Authentifizierungsmaßnahmen können auch zum Schutz sensibler physischer Standorte eingesetzt werden. Regierungsbehörden können einen Reisepass mit Mikrochip verwenden, der ein Foto und Fingerabdrücke des Passinhabers enthält, damit die Identität der Person anhand der gespeicherten biometrischen Daten verifiziert werden kann. Im Gesundheitswesen kann Biometrie eingesetzt werden, um zu prüfen, ob einem Patienten Medikamente gegeben und Eingriffe an der richtigen Person durchgeführt wurden.
Multi-Faktor-Authentifizierung
Biometrische Faktoren können zusammen mit anderen Authentifizierungsfaktoren verwendet werden, um Implementierungen der Multi-Faktor-Authentifizierung (MFA) zusätzliche Cybersicherheit zu verleihen.
MFA kann sowohl Informationen – wie z. B. ein Passwort – als auch einen biometrischen Faktor – wie z. B. einen Fingerabdruckscan – umfassen. Durch die Anforderung von zwei oder mehr Identifikationsmitteln – von denen mindestens eines nicht einfach gestohlen werden kann – erschwert MFA es Angreifern, die Konten der Benutzer zu kapern.
Überwachung
Biometrische Informationen können verwendet werden, um Einzelpersonen zu beobachten und ihre Bewegungen zu verfolgen. Die Strafverfolgungsbehörden verwenden zum Beispiel häufig das biometrische Scannen von Gesichtsfunktionen und Fingerabdrücken, um Personen von Interesse zu identifizieren.
Zahlungen
Der Einsatz von Biometrie bei der Zahlungsabwicklung kann dazu beitragen, die Überprüfung von Finanztransaktionen zu beschleunigen und die Benutzererfahrung zu optimieren. So können Menschen beispielsweise Fingerabdruckleser verwenden, um Zahlungen auf Smartphones zu bestätigen, oder Spracherkennung, um Anweisungen für das Online-Banking zu prüfen.
Einige physische Einzelhandelsgeschäfte experimentieren auch mit biometrischen Zahlungen, wie z. B. der Installation von Handheld-Lesegeräten in vollständige Lebensmittelgeschäften.7
Biometrische Authentifizierungssysteme können für Unternehmen und Verbraucher erhebliche Vorteile bieten. Biometrische Daten sind sowohl unvergesslich als auch einzigartig. Sie sind oft schnell und einfach anzuwenden und liefern schnell eine vertrauenswürdige positive Identifizierung.
Mehr Sicherheit
Passwörter und ID-Karten sind leichter zu stehlen als Fingerabdrücke, während das Kopieren eines Iris-Scans oder eines anderen physischen Markers für einen Hacker extrem schwierig ist (außer vielleicht in Filmen).
Das soll nicht heißen, dass biometrische Sicherheitssysteme perfekt sind. Falsche Ablehnungen – wenn ein System einem Benutzer fälschlicherweise den Zugriff verweigert – können immer noch auftreten. Falsche Akzeptanzen können auch passieren, wenn Systeme den falschen Benutzern den Zutritt verschaffen.
Einige weniger ausgefeilte biometrische Systeme können Schwachstellen für Spoofing aufweisen, wie z. B. Gesichtserkennungssysteme, die durch gedruckte Fotos oder aufgezeichnete Videos getäuscht werden können, unabhängig davon, ob es sich um echte Menschen oder Deep Fakes handelt.
Bedienungskomfort
Da die biometrische Authentifizierung von einem physischen Aspekt einer Person abhängt, ist diese Identifizierung immer verfügbar. Ein Handabdruck bleibt griffbereit, während ein ausgechippter Personalausweis verloren gehen könnte und ein kompliziertes Passwort vergessen werden kann.
Schnelle Identifizierung
Benutzer könnten sich mithilfe von Biometrie schneller an Equipment wie einem Barcodeleser in einer Einzelhandelsumgebung anmelden. Das Scannen eines Fingerabdrucks nimmt im Allgemeinen weniger Zeit in Anspruch als die Eingabe eines Passcodes.
Biometrische Daten können auch sicherer sein als Passwörter, die auf Equipment im Einzelhandel und ähnlichen Umgebungen oft so einfach sind wie „1111111“.
Ressourcen
Fußnoten
1. DynamicLip: Shape-Independent Continuous Authentication via Lip Articulator Dynamics, arXiv, 2. Januar 2025.
2 Navigating the Challenges and Opportunities of Synthetic Voices, OpenAI, 29. März 2024.
3 The Fingerprint Sourcebook, US-Justizministerium, Juli 2011.
4. How Screenshoting Works, HowStuffWorks.
5. Some identical twins don't have identical DNA, ScienceNews, 7. Januar 2021.
6. USAdult Perspectives on Facial Images, DNA and Other Biometrics, National Library of Medicine, 30. März 2022.
7. I tried paying with my palm at Whole Foods by using Amazon's futuristic scanners. It was scarily convenient, Business Insider, November 2023.