Feature Stories - Datenschutz in den Mittelpunkt biometrischer Systeme rücken
Bei den meisten biometrischen Sicherheitssystemen werden Vorlagen eines bestimmten biometrischen Merkmals einer Person - ein Fingerabdruck, ein Handabdruck oder ein Iris-Scan - in einer Datenbank oder auf einem Chip in einer Chipkarte oder einem elektronischen Token gespeichert. Diese Vorlagen werden dann, wenn eine Person den Scanner nutzt, um Zugang zu einem Gebäude oder Bankkonto zu bekommen oder den Laptop hochzufahren, mit dem vorliegenden Bild abgeglichen. Hierbei handelt es sich um eine sehr genaue Art der Authentifizierung der Identität einer Person, egal ob das Verfahren allein oder in Kombination mit anderen Informationen wie Angaben zum Namen, zur ID-Nummer, zum Geburtsdatum oder ein Passwort oder ein PIN-Code eingesetzt wird. Aber was kann passieren, wenn die biometrische Abbildung und die dazugehörigen Daten in falsche Hände geraten oder für andere Zwecke als ursprünglich vorgesehen verwendet werden? So kann doch ein Fingerabdruck-Scan direkt bis zu der Person zurückverfolgt werden, die ihn abgegeben hat, und in verschiedenen Datenbanken gespeicherte Scans könnten vernetzt werden, um das vollständige Profil einer Person aufzubauen. Und dabei könnten dann beispielsweise Datensätze zum Thema Gesundheit in Informationen für potenzielle Arbeitgeber einfließen: Keine schöne Vorstellung! Da biometrische Daten an sich derart persönlich und nicht ohne weiteres veränderbar sind, hätte eine gestohlene biometrische Identität lebenslange Folgen. Und es wäre nahezu unmöglich, dies jemals wieder in Ordnung zu bringen! Faktisch gilt: Sind biometrische Informationen einmal gefährdet bzw. missbraucht worden, so besteht diese Gefahr lebenslang weiter. Die Auswirkungen auf den Datenschutz sind in diesem Bereich enorm; man könnte sie aber schon bald weitgehend in den Griff bekommen. Ein von einem europäischen Forscherteam, das am EU-finanzierten Turbine-Projekt ("Trusted revocable biometric identities") arbeitet, entwickeltes neues Verfahren bietet sämtliche Vorteile der biometrischen Sicherheit, wobei die damit verbundenen Risiken entschärft oder auch beseitigt werden. Innerhalb einer der weltweit ersten praktischen Anwendungen der sogenannten Kryptobiometrie demonstrierte das Team eine Lösung auf Grundlage des Konzepts "Privacy by Design", bei dem die Fingerabdrücke von Personen zum Nachweis, um wen es sich handelt, zum Einsatz kommen, wobei jedoch die Informationen zur Identität in Sicherheit bleiben. "Anstatt Scans von Fingerabdrücken zu speichern, nutzen wir die Scans, um einen mathematischen Code zu generieren, der eine Identität vertritt. Man kann den Code nicht verwenden, um den ursprünglichen Fingerabdruck wiederherzustellen, man kann ihn jederzeit widerrufen und mit demselben Fingerabdruck können mehrere Codes erzeugt werden, so dass ein Nutzer für verschiedene Zwecke unterschiedliche Identitäten oder Pseudo-Identitäten haben kann", erklärt Nicolas Delvaux, Programmmanager bei Morpho in Frankreich, einem Unternehmen für biometrische Sicherheitslösungen, das Teil der Safran-Gruppe ist, und Koordinator des Turbine-Projekts. Irreversibel und widerrufbar Der Code - ein kryptografischer Binärzeichenfolge-Schlüssel - wird mittels einer mathematischen Formel auf Basis stabiler Eigenschaften des Fingerabdrucks der Person und Anweisungen dazu, wie ein Fingerabdruckleser diese Eigenschaften finden kann, generiert. Nun wird jedes Mal, wenn eine Person ein biometrisches System auf Grundlage der Turbine-Technik nutzt, der von deren Fingerabdruck erzeugte Binärzeichenfolge-Schlüssel - und eben keine Abbildung des Fingerabdrucks - mit dem zuvor gespeicherten Schlüssel abgeglichen. So wird auf einfache Weise authentifiziert, dass die das System nutzende Person autorisiert ist, ohne selbst zwangsläufig identifiziert zu werden. Auf diese Weise bleiben die wahre Identität und die realen biometrischen Daten geschützt. "Kommt beispielsweise jemand zur Bank und möchte Zugang zu einem Konto haben, so ist es mir als Mitarbeiter doch egal, wer diese Person ist. In diesem Zusammenhang interessiert mich doch nur, dass sie die einzige Person ist, die mit einem Teil ihres Körpers den Code generieren kann, der den Zugriff auf dieses Konto erlaubt", so Delvaux. Eine einzelne Person kann verschiedene Bitfolgeschlüssel für verschiedene Systeme haben: Beispielsweise einen zur Identifizierung innerhalb des Sozialversicherungssystems des Staates und einen anderen zum Zugriff aufs Bankkonto. Und alle werden unter Nutzung desselben Fingerabdrucks erstellt. Gleichermaßen könnten Nutzer in einer anderen Konstellation und unter Einsatz einer anderen mathematischen Formel zur Generierung des Codes alle den gleichen Schlüssel haben, um zum Beispiel zu beweisen, dass sie Mitglied einer bestimmten Gruppe sind oder einer bestimmten Sicherheitsstufe angehören. Wichtigster Punkt dabei ist, dass die Binärzeichenfolge-Schlüssel jederzeit vom Anwender widerrufen werden können. Wird einer gestohlen oder missbraucht, kann er gelöscht und ein neuer erzeugt werden. "Die Biometrie eines Menschen ist niemals widerrufbar - ich meine, klar könnte man die Fingerabdrücke verändern, aber das ist extrem schwierig zu realisieren und kommt wohl für die meisten Menschen eher nicht in Frage... Menschen haben zehn Finger und so kann man mit den derzeitigen Systemen nur zehnmal pro Person eine neue Identität erstellen. Aber einen neuen Schlüssel aus einem Fingerabdruck kann man ganz leicht und so oft man möchte generieren", erläutert Delvaux. Da der Schlüssel für verschiedene Anwendungen jeweils einmalig ist, gibt es quasi keine Möglichkeit, die Nutzer über verschiedene Systeme und Datenbanken hinweg zu identifizieren. "Also angenommen, ein Kunde hat bei zwei verschiedenen Banken jeweils ein Konto: Wenn nun die Banken fusionieren, ist die neue Bank keineswegs in der Lage, ohne Zustimmung des Kunden zu erkennen, dass der Kunde zwei Konten hat", erklärt Delvaux an einem Beispiel. Die Technologie wurde in einem Versuch in der realen Welt sowie einer Proof-of-Concept-Anwendung demonstriert. In dem Versuch wurde ein im Thessaloniki International Airport in Griechenland installiertes Zugangskontrollsystem getestet, bei dem ein biometrisches Sicherheitssystem zum Einsatz kam. Das Flughafenpersonal erhielt berührungslose Chipkarten zur Speicherung von mit dem Turbine-System generierten Pseudoidentitäten. Die Mitarbeiter konnten durch deren Einsatz zusammen mit einem Fingerabdrucklesegerät an Türen und Flugsteigen Zugang zu Sicherheitsbereichen des Flughafengebäudes bekommen. Proof-of-concept ist eine Web-Anwendung für Angehörige der Gesundheitsberufe, mit deren Hilfe Apotheker in Deutschland auf einer Chipkarte und Fingerabdrucklesern gespeicherte Pseudoidentitäten nutzen, um ihre Identität zu verifizieren, wenn sie elektronische Rezepte unterzeichnen. Einer der Projektpartner plant die Entwicklung einer marktreifen Version. "Die Versuche waren sehr erfolgreich und zeigen die breite Palette von Anwendungen für diese Technik; es sind jedoch noch einige Hürden zu überwinden" stellt der Projektkoordinator fest. Obwohl einige der Partner, darunter auch Morpho, die Entwicklung kommerzieller Produkte auf Basis der innerhalb von Turbine erledigten Arbeit planen, steht - wie auch bei anderen biometrischen Systemen - noch die Frage der Erlangung von Genehmigungen von nationalen Datenschutzbehörden im Raum. "Europa ist im Hinblick auf den Datenschutz immer noch sehr zerstückelt... wir planen allerdings, dieses Problem unserer Technologie anzugehen und wir bemühen uns aktiv um Standardisierung", so Delvaux. Der Europäische Datenschutzbeauftragte (EDSB) gab eine weitgehend positive Stellungnahme zu den Turbine-Arbeiten ab. Dabei reagierte man das erste Mal in dieser Weise auf ein europäisches Forschungsprojekt. "Das System macht die biometrischen Darstellungen unumkehrbar und verhindert damit, dass die biometrischen Daten für einen anderen Zweck verwendet werden als ursprünglich vorgesehen. Es gewährleistet außerdem, dass die biometrischen Daten selbst nicht länger als nötig aufbewahrt werden, da sie durch den aus einer Binärzeichenfolge bestehenden Schlüssel ersetzt werden. [...] Dieser Sicherheitsaspekt wird durch das Merkmal der Widerrufbarkeit des Schlüssels noch verstärkt", so die Stellungnahme des Europäischen Datenschutzbeauftragten. "Hier zeigt sich, dass sich unser Ansatz in vielerlei Hinsicht in Einklang mit den Datenschutzgrundsätzen des Europäischen Datenschutzbeauftragtenbefindet", stellt Delvaux fest. "Und das ist sehr ermutigend." Turbine erhielt innerhalb des Unterprogramms "Secure, dependable and trusted infrastructures" des Siebten EU-Rahmenprogramms für Forschung Mittel in Höhe von 6,35 Mio. EUR. Nützliche Links: - "Trusted revocable biometric identities" - Turbine-Projektdatensatz auf CORDIS Weiterführende Artikel: - EU-Projekte zu Vertrauensschutz und Sicherheit - Forscher belegen Sicherheit von Quantenkryptographie - What is the identity of identity in the digital age?