Biometrie ausgebremst

In Steven Spielbergs Filmreißer „Minority Report“ trägt Tom Cruise eine Plastiktüte voller glitschiger Augäpfel mit sich herum, die er vor die allgegenwärtigen Türsensoren hält, um sich Eingang in Hochsicherheitsbereiche zu verschaffen. Alles nur Science Fiction? Oder haben die aufkeimenden Zweifel an der Verlässlichkeit biometrischer Sicherheitssysteme einen realen Hintergrund?

Offenbar sehr wohl, wie ein US-Forscherteam unter Leitung von Professor Stephanie C. Schuckers (Clarkson University, New York) bereits vergangenen Dezember demonstrierte. Für ihre Untersuchung ITR: Biometrics: Performance, Security and Societal Impact testeten die Wissenschaftler unter Laborbedingungen biometrische Zugangssysteme mit Hilfe von über 60 sog. fake fingers („gefälschte Finger“) und konnten mehr als 90 Prozent davon überlisten.  Eingesetzt haben sie dabei z. B. synthetische Finger aus „Play-Doh“, einem künstlichen Ton, der in Amerika als Kinderspielzeug sehr beliebt ist; die „Druckvorlagen“ hatten sie zuvor mit gewöhnlichem Dentalgips erstellt und dann ausgegossen. Aber so viel Aufwand war in den meisten Fällen gar nicht nötig: Bei einigen Systemen genügte schon eine Fotografie des Fingerabdrucks der berechtigten Person, um sich Zugang zu geschlossenen Arealen oder vertraulichen Inhalten zu verschaffen. Man muss also gar nicht – der Pate lässt grüßen – dem Opfer gleich die Hand abhacken.

Auch in den einschlägigen Diskussionsforen häufen sich Postings, die vom Versagen der Biometrie in ihrer derzeitigen Form sprechen. So funktionieren manche Systeme schon bei kalten oder feuchten Händen nicht mehr richtig. Außerdem sollen die Fingerabdrücke mancher ethnischer Gruppen, beispielsweise Asiaten, weniger ausgeprägt sein als die von Europäern. Und auch ältere Menschen bekommen scheinbar Probleme bei Zugangskontrollen und anderswo: „Ich bin 70 Jahre alt und habe überhaupt keine Fingerabdrücke mehr“, schrieb ein besonders verzweifelter Anwender bei CNET, „aber vielleicht will man uns Alte ja auch gar nicht mehr haben…“

Biometrie ist zuletzt vor allem deshalb zu einem heißen Thema geworden, weil die Politik verstärkt auf die neuen Erkennungssysteme setzt. Bestes Beispiel sind die RFID-Chips im so genannten ePass, den die Bundesrepublik seit letzten November ausgibt und die bislang lediglich ein Digitalfoto des Besitzers enthalten, nach dem Willen des Innenministeriums ab 2007 auch Fingerabdrücke speichern sollen. Alle anderen EU-Staaten wollen nachziehen, die USA ebenfalls.

Damit ist Biometrie mit einem Schlag zum Riesengeschäft geworden. Die Übernahme des Fingerabdruck-Spezialisten Identix durch Marktführer Viisage spricht eine deutliche Sprache: Ausgereift oder nicht, Biometrie ist da! Mittlerweile bieten alle namhaften Notebook-Hersteller ihre Modelle für den Firmeneinsatz nur noch mit integriertem Fingerabdruck-Scanner an. In Amerika werden bereits Büchereiausweise damit ausgestattet, und angeblich planen auch die ersten Autohersteller, den Zündschlüssel durch einen Sensor zu ersetzen. Und auch die Anbieter elektronischer Kassen- bzw. Zahlungssysteme wollen die Technik in ihre Produkte integrieren.

Die Begeisterung ist jedoch verfrüht: Denn den Nachweis einer hinreichend sicheren Erkennungsleistung sind viele Systeme bis heute schuldig geblieben. Vielmehr scheitern etliche schon an der scheinbar so einfachen Aufgabe, lebende von toten Objekten zu unterscheiden, wie die Forscher um Stephanie Schuckers einmal mehr eindrucksvoll bewiesen haben.

Die wachsenden Zweifel der Experten haben aber nicht bloß technische, sondern auch biologische Ursachen. Der menschliche Fingerabdruck hat sich über die Jahrtausende hinweg fortentwickelt und dient vor allem dazu, den Reibungswiderstand beim Greifen zu erhöhen. Ohne die geriffelten Spiralen an unseren Fingerkuppen würden uns glatte oder schlüpfrige Gegenstände aus der Hand fallen. Ihre Form wird zwar von genetischen Faktoren bestimmt, doch können sie sich im Lauf der Zeit verändern oder – wie der zitierte Fall des 70-jährigen CNET-Lesers zeigt – sogar ganz verschwinden.

Der Wert von Fingerabdrücken liegt aus Sicherheitssicht darin, dass sie angeblich einzigartig sind und deshalb die eindeutige Identifizierung einer Person ermöglichen. Leider ist das ein weit verbreiteter Irrglaube, wie James Randerson und Andy Coghlan bereits im Januar 2004 in einem Artikel für die angesehene britische Wissenschaftszeitschrift New Scientist nachwiesen.  Den Autoren zufolge gibt es, im Gegensatz zur landläufigen Meinung, bislang kaum Beweise dafür, dass identische Fingerabdrücke tatsächlich von ein und derselben Person stammen müssen. Schlimmer noch: Die bisher einzige wissenschaftliche Analyse der Verlässlichkeit und damit Beweiskraft von Fingerabdrücken soll von falschen Voraussetzungen ausgehen und überdies gravierende methodische Fehler enthalten, weswegen einer breiteren Öffentlichkeit nur eine Zusammenfassung zugänglich gemacht und die Studie nie evaluiert worden sei.

Dazu kam es so: 1999 zogen die Verteidiger eines Mannes, der wegen Raubüberfalls angeklagt war, die Aussagekraft des Beweismaterials – hier eines Teil seines Fingerabdrucks auf dem Lenkrad des Fluchtwagens – in Frage. Tatsächlich fanden die Richter in der anschließenden Untersuchung heraus, dass bis dahin jeder wissenschaftliche Nachweis der Einmaligkeit von Fingerabdrücken fehlte. Daraufhin erteilte das Justizministerium dem FBI und dem Konzern Lockheed Martin, seines Zeichens Lieferant der FBI-Fingerabdruckdatenbank und hier zu Lande vor allem als Flugzeughersteller bekannt, einen Forschungsauftrag. Die damit betrauten Experten verglichen schließlich 50.000 digital gespeicherte Fingerabdrücke untereinander sowie mit dem jeweiligen Original und ermittelten auf diese Weise eine Wahrscheinlichkeit von 1 zu 1097 für die irrtümliche Feststellung einer Übereinstimung. Da es aber in der Menschheitsgeschichte überhaupt nur etwa 1011 Fingerabdrücke gegeben habe, liege diese praktisch bei Null.

Die Kritik an den Ergebnissen ließ nicht lange auf sich warten und richtete sich einerseits gegen den Ansatz der Studie. So sei kaum verwunderlich, dass ein bestimmter Datensatz beim Vergleich mit 49.999 anderen Datensätzen am ehesten mit sich selbst übereinstimme. Andererseits forderte die trotz der auf den ersten Blick beeindruckenden Zahl von 2,5 Milliarden Einzelabgleichen vergleichsweise geringe Datenbasis zum Teil offenen Spott heraus. Besonders drastisch formulierte seine Zweifel James Wayman, Direktor des National Biometric Test Center an der San José State University in Kalifornien: „Die Regierung fühlt sich offenbar wohl dabei, die gesamte vergangene und künftige Entwicklung des menschlichen Fingerabdrucks anhand von 50.000 Bildern vorauszusagen, die theoretisch von ganzen 5.000 Personen stammen könnten.“ Kaum überraschend hält er die FBI-Kennzahl von 1 zu 1097 für eine „absurde Vermutung“.

Es ist also davon auszugehen, dass Verwechslungen möglich sind, wenngleich sie in der Praxis eher selten vorkommen dürften. Das gilt zumindest so lange, wie die eingesetzte Technik einwandfrei funktioniert. Leider aber sind die heute verwendeten Systeme zur Erkennung und zum Vergleich von Fingerabdrücken zum Teil unausgereift und fehleranfällig. Um das zu verstehen, ist es nötig, sie etwas  genauer anzusehen.

Es gibt heute grundsätzlich zwei Arten von Fingerabdruckscannern im Markt, optische und kapazitive. Optische Scanner arbeiten mit einem ladungsgekoppelten Bauelement (CCD), um ein Bild vom Fingerabdruck aufzunehmen und digital zu speichern. Dabei wird das Bild sozusagen umgekehrt, so dass Vertiefungen dunkel und Erhebungen hell erscheinen. Kapazitive Scanner arbeiten mit elektrischen Spannungsunterschieden statt mit Licht. Die Fingerkuppe wird gegen eine Anordnung von vielen kleinen Sensoren gedrückt, die einen „digitalen Fingerabdruck“ erzeugt. Dieser ist zwar wesentlich schwerer zu fälschen als ein optisches Bild, möglich ist es aber dennoch, wie die Tests von Schucker und anderen zeigen.

In beiden Fällen wird das „Bild“ anschließend mit anderen aus einer Datenbank abgeglichen. Das erfordert relativ viel Rechnerleistung, also haben Kriminologen ein System ersonnen, bei dem sie nur bestimmte einzigartige Identitätsmerkmale (unique identifiers) heranziehen müssen. Diese werden mit Hilfe von Algorithmen mit den entsprechenden Merkmalen anderer Fingerabdrücke in der Datenbank verglichen. Da verbindliche Standards bisher fehlen, arbeiten aktuell verfügbare Systeme meist mit „selbst gestrickten“ Algorithmen, ein Nachweis der dabei erzielten Zuverlässigkeit ist kaum möglich.

In geschlossenen Systemen wie einem Laptop oder Flash Drive mag dieses Vorgehen Sinn haben. Die Wahrscheinlichkeit, dass die Fingerabdrücke eines Fremden die gleichen Merkmale aufweisen wie die des Besitzers, ist zugegebenermaßen gering. Problematisch wird es dagegen, wenn solche biometrischen Systeme offen, also über Unternehmensnetzwerke oder das Internet zugänglich sind. Die Firma Pay By Touch etwa bietet bereits entsprechende Kassensysteme an, die im US-Einzelhandel auch schon eingesetzt werden. Statt die Bank- oder Kreditkarte durch den Schlitz zu ziehen und seine PIN einzugeben, drückt der Kunde bei diesem System auf einen Sensor neben dem konventionellen Nummernpad. Damit sollen die Käuferschlangen an den Kassen kürzer werden. Aus Sicht der IT-Sicherheit ist das ein eindeutiger Rückschritt: Statt der heute üblichen zweistufigen Authentifizierung mit Karte und PIN genügt ein einziges Sicherheitsmerkmal, um eine Zahlung zu veranlassen. Und: Was ist bei Menschen, die keine Hände mehr haben?

Auch wenn solche Einwände leicht zu entkräften sind (man könnte eine zusätzliche PIN verlangen und in Kauf nehmen, dass die Schlange wieder wächst), lassen sich andere Bedenken kaum von der Hand weisen. Was, die Frage sei gestattet, machen Unternehmen und Behörden eigentlich mit meinen so gewonnenen Fingerabdrücken? Was, wenn jemand die Datenbank klaut, in der mein Fingerabdruck gespeichert ist? Eine gestohlene Kreditkarte kann ich sperren, einen gestohlenen Pass der Polizei melden. Aber meinen Fingerabdruck?

Bedenken gegen Sicherheitssysteme auf Basis von Fingerabdrücken sind gerechtfertigt, eine Ablehnung durch weite Teile der Bevölkerung ist zu erwarten. Da, wo wie im Fall des Reisepasses die hoheitliche Anordnung einen Einsatz erzwingt, werden sie sich zwar durchsetzen. Im kommerziellen Umfeld und in Unternehmen aber sind Zweifel angebracht.

Sicherheitstechnisch akzeptabel und vor allem revisionssicher sind reine Fingerabdruck-Systeme nicht. Wer glaubt, auf diese Art „Biometrie light“ zum Schnäppchenpreis zu bekommen, irrt. Erfolgversprechender – aber natürlich auch teurer – sind Systeme, die zum Beispiel mit Gesichtserkennung arbeiten. Doch gehört nicht allzu viel Fantasie dazu, sich vorzustellen, wie findige Bösewichte auch diese überlisten. Vielleicht sollten sich Professor Schucker und ihr Team schon mal Gedanken über eine Versuchsanordnung zum Testen von false faces machen.

Dieser Beitrag wurde unter IT Security abgelegt und mit , , , , , , , , , , , , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Kommentar verfassen