BFIT-Home Alle News Biometrische Systeme im Unternehmenseinsatz
Biometrische Systeme im Unternehmenseinsatz Drucken E-Mail

Biometrische Systeme im Unternehmenseinsatz

In der öffentlichen Diskussion über Biometrie stehen hoheitliche Anwendungen und die Frage nach dem Sicherheitsgewinn solcher Schutzmaßnahmen im Vordergrund. Unumstritten ist ihr Nutzen dagegen bei einem zahlenmäßig begrenzten Anwenderkreis, etwa in Unternehmen. Was es alles gibt und was man wo am besten einsetzt, zeigt die Marktübersicht. 

Sicherheit bei biometrischen Anwendungen lässt sich unter mehreren Aspekten betrachten: Erstens sollen biometrische Systeme den Schutz vor unberechtigtem Zutritt oder Zugriff gewährleisten. Zweitens spielt aus der Perspektive des Datenschutzes der Schutz der biometrischen Referenzdaten eine große Rolle, den das Unternehmen durch geeignete Maßnahmen wie Verschlüsselung gewährleisten muss. Beide Aspekte sind im Folgenden berücksichtigt. 

Dass es ein bestes System für alle Zwecke nicht gibt, war bereits Quintessenz einer Marktübersicht im vergangenen Jahr [1]. Jeder Einsatz stellt andere Anforderungen, denn das gewählte biometrische Verfahren und das Sicherheitsniveau hängen eng mit der geplanten Anwendung zusammen: Es ist ein Unterschied, ob ein Fitnessstudio oder ein Zoo die Berechtigung seiner Jahreskartenbesitzer biometrisch prüft oder ob ein Unternehmen Rechenzentrum, Forschungslabor oder Tresorraum vor unerwünschten Besuchern schützen möchte. Letztlich bestimmt auch die Höhe des Budgets Komfort, Umfang und technische Raffinessen der Anwendung. 

Die für die Marktübersicht bei den Herstellern abgefragten Kriterien betreffen vor allem Einsatzbereiche und Sicherheitsfeatures. Zum kleinen Biometrie-Latinum gehört die Tatsache, dass kein System eine hundertprozentige Erkennung garantieren kann, sondern bestenfalls eine hinreichende Ähnlichkeit zwischen den bei der Zutrittskontrolle aufgenommenen Merkmalen des Betreffenden und den hinterlegten biometrischen Referenzdaten. 
Erkennen oder Nichterkennen ... 

Immer bleibt eine Wahrscheinlichkeit, dass das System Unberechtigte einlässt (False Acceptance Rate, FAR) oder Berechtigte abweist (False Rejection Rate, FRR) – wobei Letzteres zwar lästig, aber nicht sicherheitsrelevant ist. Diese Werte sind von verschiedenen Faktoren abhängig und somit kaum aussagekräftig in Bezug auf die Zuverlässigkeit eines Systems. Sie sind daher nicht in der Tabelle berücksichtigt. 

Ein Blick auf die Tabelle zeigt: Das größte Angebot gibt es im Bereich Fingerabdruck. Über die Hälfte der Anbieter setzt auf dieses biometrische Merkmal – für Zeiterfassung und Zutrittskontrolle, für den Zugang zu PCs, Arbeitsplatzrechnern, IT-Applikationen und zum Netzwerk. Andere Verfahren wie die Erkennung der Iris, Handvenen, Handflächen, des Gesichts, der Stimme und der Handschrift teilen sich die andere Hälfte. 

Fingerabdruckverfahren eignen sich für den Einsatz in sauberer Umgebung, Handgeometrie und Venenerkennung in Werkstattumgebung, Iris- und 3D-Gesichtserkennung im Bereich der Hochsicherheit. Wer die Stimme biometrisch einsetzen will, sollte die Hintergrundgeräusche auf ein moderates Maß reduzieren, und dass niemand die Autotür mithilfe der Unterschriftenerkennung öffnen möchte, sagt einem der gesunde Menschenverstand. 

Zwar gilt die Fingerabdruckerkennung bei Experten als zuverlässiges Verfahren, dennoch funktioniert sie nicht überall. So hat der Hannoversche Zoo im Jahr 2001 seine darauf basierende Anwendung wieder abgeschafft, weil bei Kindern die Handlinien noch nicht ausgeprägt genug für eine Erkennung sind. Statistisch gesehen erzeugen zwei Prozent der Weltbevölkerung keinen verwertbaren Fingerabdruck – bei einer Belegschaft von 2000 sind das immerhin 40 Menschen, die eine Zutritts-Alternative benötigen. 
Gummifinger unerwünscht 

Wer echte Finger von Kopien unterscheiden möchte, sollte sich mit dem Thema Lebenderkennung beschäftigen – was aber nicht einfach ist, da die meisten Hersteller die Feinheiten hier verständlicherweise nicht offenlegen. Einige der Fingerabdruck-Scanner erfassen zur Unterscheidung bestimmte Merkmale wie Puls, Blutzirkulation, Wärmebild oder 3D-Tiefenmuster. 

Als sicherheitsbedenklich bei den Fingerabdrücken gelten unter anderem zurückbleibende latente Abdrücke. Verdeutlicht hat das eindrucksvoll der Chaos-Computer-Club, der den Fingerabdruck von Bundesinnenminister Schäuble aus Abdrücken von einem Wasserglas rekonstruiert und im März dieses Jahres verbreitet hatte. 

Ein Biometrie-System sollte einen Gummifinger erkennen können – oder eine dünne Folie mit einem gefälschten Fingerabdruck, die sich ein Betrüger auf seinen Finger legt. Ob die Systeme das leisten, hängt unter anderem vom verwendeten Sensor ab. Die stark verbreiteten optischen Sensoren sind anfällig für Betrugsversuche – nicht schlimm in kontrollierten Umgebungen, wenn beispielsweise der Pförtner daneben steht. An unbeobachteten Orten aber durchaus relevant. 

Andere Sensoren arbeiten thermisch oder kapazitiv. Für Umgebungen mit hoher Luftfeuchtigkeit können spezielle Heizungen an den Sensoren das Entstehen von Kondenswasser verhindern. Im Unterschied zur Iris-, Stimm- oder Gesichtserkennung erfordern Fingerabdruckverfahren die Kooperation des Benutzers. Er setzt seinen Finger bewusst auf die dafür vorgesehene Fläche, eine unbemerkte Erkennung ist nicht möglich. Der Nachteil: Nicht jeder findet die Fettfinger seiner Vorgänger appetitlich, lax formuliert. Hygiene gilt immer noch als ein wichtiges Kriterium der Nutzerakzeptanz. 
Scanner ohne „Hinterlassenschaften“ 


Vollständig berührungslos geht der Scan-Vorgang auch mit dem Sensor von TST Biometrics nicht vonstatten, aber der Benutzer hinterlässt zumindest keine rekonstruierbaren Latenzabdrücke auf dem Gerät


Auf ein alternatives Verfahren setzt beispielsweise das Unternehmen TST Biometrics GmbH, das kürzlich mit einem berührungslosen optischen Fingerabdrucksensor namens BiRD die Palette der optischen Sensoren erweitert hat. Dabei hält der Nutzer seinen Finger in eine Führung über die Sensorfläche (Abb. 1). Die integrierte CMOS-Kamera fotografiert den Finger ohne direkten Hautkontakt. So hinterlässt der Benutzer keine latenten Abdrücke am Sensor. Eine Lebend- und Falschfingererkennung erfolgt nach Herstellerangaben mittels optischer Verfahren. 

Fingerabdruckverfahren sichern zunehmend auch externe Datenträger wie USB-Festplatten oder -Sticks. Hygienebedingungen dürften hier kaum eine Rolle spielen, da diese Geräte meist nur einem Benutzer gehören. Stealth MXP und Stealth MXP von Memory Expert setzen das integrierte Sicherheitsfeature überdies gleich für weitere Zwecke ein: Es kann dem Netzwerk-Login, Single Sign-On und Remote Access dienen, die Daten auf dem Stick sind verschlüsselt. 
Einzigartige Handvenen 


Die Handvenenerkennung erfolgt berührungslos. Das in Japan verbreitete Verfahren erfreut sich dort aufgrund der hygienischen Rahmenbedingungen und der Fälschungsresistenz großer Beliebtheit

Komplett berührungslos funktionieren Handvenen-Verfahren, die entweder die Venen auf dem Handrücken oder in der Handfläche untersuchen (Abb. 2). Daher können Unternehmen sie im Unterschied zum Fingerabdruck-Verfahren selbst in schmutzigen Werkstattumgebungen einsetzen, da die Erkennung trotzdem funktioniert. Überdies gilt das Verfahren als sehr schwer zu fälschen, denn es funktioniert nur bei pulsierendem Blutkreislauf. 

Über die Eigenschaften und Probleme der Gesichtserkennung hat iX bereits im vergangenen Jahr ausführlich berichtet [1]. So setzt zum Beispiel der Hannoversche Zoo seit einigen Jahren ein Gesichtserkennungssystem als Zutrittskontrolle bei Jahreskartenbesitzern ein. Um gesuchte Personen aus Menschenmassen herauszufiltern, wurden im Projekt Mainzer Hauptbahnhof mehrere Gesichtserkennungssysteme im Identifikationsverfahren getestet [2]. Tenor der Erfahrungen: Eine zentrale Rolle spielen die Beleuchtung und das kooperierende Verhalten der Passanten. Den Mangel an Letzterem soll die 3D-Erkennung ausgleichen. 

Zahlreiche Anwendungsbeispiele hat kürzlich der Branchenverband Bitkom in der Broschüre „Biometrie-Referenzprojekte“ zusammengestellt, die auf der Webseite des Branchenverbands zum kostenlosen Download bereitsteht [3]. 
Iriserkennung für Hochsicherheit 

Ebenfalls als relativ fälschungssicher gilt die Iriserkennung, die im praktischen Einsatz Tresorräume, Rechenzentren, Banken und mehr sichert. Allerdings war im Rahmen des Artikels nicht zu klären, ob nicht vielleicht doch das System mit einer manipulierten Kontaktlinse zu überlisten ist. 

Als Manipulationsschutz hat Panasonic ein zusätzliches Feature in sein System eingebaut: Wenn jemand im laufenden Betrieb die vordere Gehäuseabdeckung oder das ganze Gerät entfernen will, löscht die Firmware des Lesers gegebenenfalls lokal gespeicherte Irisdaten und ein Warnsignal ertönt. 

Als Vorteil der Iriserkennung gilt die geringe False Acceptance Rate (FAR), weshalb sie häufig in Hochsicherheitsbereichen anzutreffen ist – entsprechend hoch sind die Preise solcher Systeme. Ein niedrigeres Preissegment steuert byometric systems mit seinem Produkt byoAccess an. Damit sollen auch kleine und mittlere Unternehmen die Iriserkennung für Zeiterfassung sowie Zutrittskontrolle nutzen können. Als Besonderheit kann ein einziger Iriserkennungs-Controller die Kameras an mehreren Türen steuern. Zuvor war ein Controller für jede Tür erforderlich. 

Verfolgt man die aktuellen Entwicklungen des Einsatzes von Biometrie im Unternehmensumfeld, bewegt sich im Bereich der Stimmbiometrie derzeit am meisten – man nutzt sie für den Zugang zu IT-Systemen aus der Ferne, für Telefonbanking oder im Umfeld von Callcentern für das Zurücksetzen von Passwörtern. Im Unterschied zu den anderen Verfahren benötigen die Systeme keine eigene Hardware. Tastatur und Telefon genügen. 
Passwort-Reset mit Stimme 

Imitatoren haben keine Chance, behaupten die Hersteller. Als Sicherheit hierfür gilt zum einen der interaktive Kontext, in dem das Telefongespräch steht. So fragt Voice.Trust zum Beispiel beim Enrolment und bei der Authentifizierung zufällige Worte aus einem großen Wort-Pool ab. Diese Worte kommen in natürlicher Rede nur sehr selten vor und lassen sich folglich schwer fälschen. Zum anderen unterscheidet Voice.Trust nach eigenen Angaben natürliche Sprache von aufgenommener oder synthetischer auf der Basis eines mathematischen Verfahrens. Der Algorithmus steht kurz vor der Patentierung. 

Das individuelle Stimmprofil, bestehend aus 1200 charakteristischen Datenpunkten, ermittelt der Voice.Trust-Server aus etwa 200 000 möglichen Datenpunkten. Zum Vergleich: Fingerabdruck-Scanner werten in der Regel etwa 24 individuelle Elemente des Fingerabdrucks aus. 

Im praktischen Einsatz befindet sich das System beispielsweise in einem internen Sprachportal der Volksfürsorge. Außendienstmitarbeiter erhalten dort nach erfolgter Authentifizierung telefonisch den Zugriff auf Adressdaten. Ein weiteres Beispiel: Bei Volkswagen Financial Services regelt das System den telefonischen Passwort-Reset. Weitere Anwendungen gibt es bei der Allianz, der Deutschen Post, der HypoVereinsbank, Michelin und O2. Als Reseller vermarkten IBM, Siemens und T-Systems das Authentifizierungsprodukt. Laut Voice.Trust hat das Unternehmen bereits 1,5 Millionen Lizenzen verkauft. 
Fälschungssicher durch Dialog 

Das Unternehmen Sitkom gewährleistet die Lebenderkennung für sein System VoiceIdent durch die Erkennung charakteristischer Resonanzfrequenzen, die nicht der willentlichen Steuerung unterliegen. Außerdem muss der Anrufer zufällige Zahlenfolgen nachsprechen. 

Zu den weniger verbreiteten biometrischen Verfahren gehört die Unterschriftenerkennung oder das Tippverhalten, in der Marktübersicht durch das im Dezember 2007 gegründete Unternehmen Psylock vertreten. Es stammt aus dem Umfeld des Forschungsinstituts ibi research an der Universität Regensburg, die das System zur Produktreife gebracht hatte. Als Einsatzgebiet nennt das Unternehmen das Zurücksetzen von Passwörtern und das Web-Login. 

Die Kombination mehrerer Verfahren kann die Sicherheit erhöhen. Integratoren wie Bosch oder Interflex bieten eine Zusammenführung verschiedener Verfahren an. Insgesamt scheint aber das Thema Multibiometrie im Unternehmenseinsatz nicht sehr verbreitet zu sein. Das unterschiedliche Sicherheitsbedürfnis bei den Einsatzbereichen im Unternehmen hat zum Beispiel die Schweizer Bank Privatbank Pictet&Cie Banquiers in Genf wie folgt gelöst: Zutritt und Zeiterfassung via 3D-Gesichtserkennung, Hochsicherheit im Tresorraum durch Iriserkennung. 

An einem Software Development Kit (SDK) namens BioLANCC (Biometric Local Area Network Control Center) für die Integration mehrerer Verfahren arbeitet derzeit das Unternehmen Biometronix. Dabei handelt es sich um eine Zutrittskontroll-Managementsoftware, mit der Unternehmen verschiedene Biometriegeräte zentral administrieren können. 

Unternehmen wie Bosch Sicherheitssysteme oder Interflex integrieren unterschiedliche Biometrieverfahren in die Unternehmensumgebungen – überhaupt ist die Integration und Implementierung einer angemessenen Anwendung in das Unternehmensumfeld die große Herausforderung beim Einsatz solcher Verfahren. 
Daten müssen geschützt werden 

Wer in seinem Unternehmen biometrische Systeme einführen will, sollte dies von Anfang an gemeinsam mit den Betriebs- und Personalräten tun, sagen die Experten. Schließlich geht es sowohl um die Sicherheit des Unternehmens als auch um diejenige der Mitarbeiter beziehungsweise ihrer Daten. Denn: Was passiert, wenn die Referenzdatensätze verloren gehen? Passwort-Klau an sich ist schon schlimm genug, aber im großen Stil gestohlene biometrische Daten könnten das Aus für die Biometrie bedeuten. Zumindest, sofern die Diebe mit den Daten etwas anfangen und aus unverschlüsselten Templates eine Attrappe generieren können. 

Die biometrischen Referenzdaten können in einer zentralen Datenbank, lokal im Arbeitsplatzrechner, im Terminal, beim externen Dienstleister oder in einem externen Token liegen. Viele Hersteller lassen ihren Kunden die Qual der Wahl und gestalten ihre Produkte in diesem Punkt frei konfigurierbar. 

Wie Unternehmen einen Missbrauch ihrer Mitarbeiterdaten verhindern können, ist Thema des „White Paper zu Biometrie und Datenschutz“ von Teletrust, das die Sicherheit der Datenhaltung hinterfragt. Einer der Hauptaspekte des Papiers betrifft die Kontrolle der Nutzer über ihr biometrisches Template. Zu gewährleisten sei dies am besten, wenn der komplette biometrische Teil der Anwendung, bestehend aus Sensor, Merkmalsextraktion und Referenzdatenspeicher in einem externen Token liegt, das der Nutzer bei sich führt. 

Auch der Vergleich der biometrischen Daten kann im Token stattfinden (System on Card). Möglich ist laut Whitepaper ebenso, dass das Token einen Schlüssel enthält, der die biometrischen Daten im Zentralarchiv ver- und entschlüsselt. Wenn das Token verloren geht oder der Nutzer ihn bei fehlendem Vertrauen zerstört, sind die Daten des Zentralarchivs wertlos. Selbst ein Diebstahl der Datenbank kann in dem Fall kein großes Unheil anrichten. 

Die Empfehlung für Unternehmen: Sie sollten bei der Einführung von biometrischen Systemen Schutzmechanismen implementieren und sich überlegen, wie sie die biometrischen Daten im Unternehmensnetz ablegen: verschlüsselt, in einer zentralen Datenbank oder auf einem externen Token, das die größte Sicherheit und Kontrolle für den Nutzer bietet. 

Vor allem aber sollten sie Mitarbeitervertretungen von Anfang an in ihre Biometriepläne einbeziehen. Betriebsräte haben laut Betriebsverfassungsgesetz ein Mitbestimmungsrecht bei der Einführung biometrischer Systeme – nach aktueller Rechtsprechung auch dann, wenn ein Mitarbeiter eines Unternehmens im Betrieb eines Kunden biometrisch erfasst wird. 

An einer größeren Sicherheit der Templates arbeitet auch die Forschung. Zum Beispiel entwickeln Wissenschaftler am Fraunhofer Institut Graphische Datenverarbeitung IGD Verfahren zur „Template Protection“, die das Template in einen nicht umkehrbaren Hash-Wert wandelt. 
Templates vor Missbrauch schützen 

Auf EU-Ebene gibt es das Projekt TURBINE (TrUsted Revocable Biometric IdeNtitiEs), das eine sichere Benutzer-Identifikation per Fingerabdruck-Biometrie zum Ziel hat. Mittels Kryptografie will man die Rekonstruktion eines Original-Fingerabdrucks aus dem Template verhindern. Außerdem sollen Benutzer mit einem biometrischen Merkmal mehrere „Pseudo-Identitäten“ für unterschiedliche Applikationen erstellen und wieder zurückziehen können. Die Identitäten sollen auf einem externen Token liegen 

Sichere Templates gehören zu den wichtigsten biometrischen Features aus Datenschutzsicht. Gestohlene Referenzdaten haben Auswirkungen auf den Betroffenen und auf das Unternehmen, wenn der Dieb aus den Referenzdaten ein Originalmerkmal rekonstruieren kann, das er anderen Systemen vorlegen kann. 

Aus Unternehmenssicht kann sich die Sicherheit verschiedener Zugriffs- oder Zutrittsanwendungen durch den Einsatz biometrischer Verfahren erhöhen – das biometrische Merkmal kann man im Unterschied zu Karte und PIN eben nicht so leicht verlieren oder vergessen. Der Anwendungsfall bestimmt aber die Sicherheitsstufe und das geeignete Verfahren. (ur) 

Quelle: IX-Magazin Autor: Barbara Lange 

ist IT-Journalistin und Inhaberin des Redaktionsbüros kurz&einfach in Lengede. 

Literatur 

[1] Barbara Lange; Vermessen; Systeme zur biometrischen Zutrittskontrolle im Einsatz; iX 10/2007, S. 50 

[2] Barbara Lange; Aktuelle Kamera; Gesichtserkennung im Dienst der Fahndung; iX 10/2007; S. 58 

[3] Bitkom-Broschüre „Biometrie-Referenzprojekte“; 2008 

In der Printausgabe finden Sie zu diesem Artikel eine tabellarische Marktübersicht zu über 40 Produkten.
iX-TRACT
Nicht jedes biometrische Verfahren ist für alle Anwendungen geeignet – Budget, Umgebungsbedingungen und Sicherheitsaspekte beeinflussen die sinnvolle Auswahl. 
Vor der Einführung biometrischer Systeme sollte sich ein Unternehmen insbesondere mit der sicheren Speicherung der Templates befassen. 
Aus der Perspektive des Datenschutzes ist die Speicherung der biometrischen Referenzdaten auf einem externen Token unter der Kontrolle des Merkmalseigentümers zu bevorzugen.