Sind Biometrische Daten gut?
Biometrische Daten sind sehr leistungsfähig, aber bei unsachgemässer Handhabung sehr gefährlich. Mit grosser Macht kommt grosse Verantwortung, wie man so schön sagt.
Wie beweisen Sie, dass Sie der sind, für den Sie sich ausgeben? Das ist die grundlegende Frage, die so vielem von dem zugrunde liegt, was wir online tun. Unsere Antworten sind vielfältig: Passwörter. Numerischer Code. Und zunehmend Biometrie.
Biometrie wird allgemein als ein Aspekt des Körpers einer Person definiert, der für sie einzigartig und sehr schwierig – sogar fast unmöglich – zu reproduzieren ist. Und obwohl wir mit Dingen wie Fingerabdrücken und Gesichtsscans am besten vertraut sind, sagt Drummond Reed, Director of Trust Services von Avast, dass die Kategorie auch einen Handflächenscan, DNA-Scan, Tippmuster, Laufmuster – sogar ein Foto – umfassen kann.
„In der Regel lassen sich biometrische Daten nur sehr schwer oder gar nicht ändern“, sagt Reed. „Sie können Ihren Namen oder sogar Ihre Sozialversicherungsnummer ändern. Aber man kann zum Beispiel seine DNA nicht verändern.“
Um sich online identifizieren zu können, müssen Ihre biometrischen Daten jedoch digitalisiert werden. Wenn Sie ein biometrisches Merkmal wie zum Beispiel einen Fingerabdruck, aufnehmen, wird es in eine „biometrische Vorlage“ umgewandelt. Diese Vorlage wird dann mit Ihrer tatsächlichen, physischen Biometrie verglichen, um zu überprüfen, ob Sie der sind, von dem Sie sagen, dass Sie es sind – und Sie dürfen auf alles zugreifen, auf das Sie zugreifen möchten, oder für Sie freigeschaltet ist.
Als Beispiel verweist Reed auf eine sehr analoge biometrische Vorlage: einen Führerschein. Ihr Führerschein enthält biometrische Informationen über Sie, einschließlich Ihres Fotos, Ihrer Größe, Ihres Gewichts und Ihrer Augenfarbe, sowie andere Informationen über Sie, wie Ihr Geburtsdatum und welche Art von Fahrzeug Sie fahren dürfen.
Wenn jemand ihn betrachtet und prüft, kann er den Inhalt des Führerscheins mit dem vergleichen, was er vor sich sieht, also Sie. Wenn dieser Jemand davon überzeugt ist, dass Ihre biometrischen Daten (Foto, Grösse, Gewicht, Augenfarbe) mit Ihrer biometrischen Vorlage (Ihrem Führerschein) übereinstimmen, können sie vernünftigerweise davon ausgehen, dass die anderen Informationen über Sie (Geburtsdatum usw.) ebenfalls übereinstimmen.
Wenn wir über digitale Biometrie sprechen, ist diese biometrische Vorlage nichts, was der „Eigentümer“ der Biometrie tatsächlich sehen oder halten kann. Stattdessen werden sie entweder direkt auf einem Gerät gespeichert, wie es zum Beispiel bei Apple-Produkten der Fall ist, oder in einer Datenbank in der Cloud oder auf einem anderen Server.
Welche Nachteile hat die Verwendung biometrischer Daten im Internet?
Viele Menschen sind nervös bei der Erfassung und Verwendung biometrischer Daten, was eine sehr vernünftige Reaktion ist. Denn während Sie ein Passwort ändern können, können Sie Ihren Fingerabdruck nicht ändern. (Zumindest nicht so einfach und nur mit viel Geld.) Wenn Ihre biometrischen Daten also kompromittiert sind, besteht die reale Möglichkeit, dass sie gegen Sie verwendet werden können – und Sie hätten nur sehr wenig Rückgriff.
Andere Probleme mit der Biometrie liegen in ihrem Missbrauch durch Regierungen und Regierungsvertreter. Beispielsweise hat die Polizei in einigen Bundesstaaten der Vereinigten Staaten das Recht, Sie zu zwingen, Ihr Telefon mit Ihrem Fingerabdruck oder Gesichtsscan zu öffnen – aber sie darf Sie nicht zwingen, Ihren Passcode einzugeben.
In China sammelt die Regierung eine riesige Menge an biometrischen Daten, die von Gesichtsscans über Stimmmuster bis hin zur „Gangerkennung“ reichen (eine Biometrie, die Menschen anhand ihres einzigartigen Gehstils und Tempos identifiziert). Während der Demokratieproteste 2014 in Hongkong trugen die Demonstranten Regenschirme, Masken und Helme, um ihre Identität vor der Überwachung durch die Regierung geheim zu halten. Und als das US-Militär Afghanistan verliess, ließen sie die biometrischen Daten von Afghanen zurück, die sie gesammelt hatten, um Terroristen zu identifizieren. Diese Informationen sind jetzt in den Händen der Taliban und könnten verwendet werden, um Vergeltung gegen Afghanen zu schüren, die sich auf der Seite der USA beteiligt haben.
Welche Vorteile bietet die Verwendung biometrischer Daten im Internet?
Die Nachteile der Nutzung biometrischer Daten im Internet liegen auf der Hand – aber es gibt auch einige grosse Vorteile. Biometrische Daten sind nicht nur bequem, sondern auch sehr schwer zu missbrauchen. Obwohl biometrische Datenbanken gehackt wurden, ist es wichtig zu beachten, dass die Technologie, die erforderlich ist, um gestohlene biometrische Informationen wirklich zu nutzen, noch nicht ohne Weiteres verfügbar ist.
Aber genauso wie Kriminelle Wege gefunden haben, jedes andere Authentifizierungssystem, das wir bisher geschaffen haben, zu umgehen, werden sie zweifellos auch Wege finden, um biometrische Daten zu umgehen. Deshalb ist es für die Welt der Cyber Security so wichtig, offensiv zu agieren und mit unseren Sicherheitslösungen den Cyberkriminellen mindestens einen Schritt voraus zu sein.
Reed verweist weiter auf Apples Implementierung von Biometrie als gutes Beispiel dafür, wie dies auf datenschutzfreundliche Weise erfolgen kann. Das Unternehmen speichert Ihre biometrische Vorlage auf dem Gerät selbst, nicht in einer entfernten Datenbank. Das heißt, es besteht keine Gefahr, gestohlen zu werden, wenn beispielsweise eine Datenbank gehackt wird.
Weil sie nicht verlangt, dass sich der Mensch irgendetwas merkt, ist Biometrie auch um Längen besser als unsere derzeit vorherrschende Verifizierungsmethode: Passwörter. Aber genau wie Passwörter können biometrische Daten «gehasht» und «salted» werden (sprich, verschlüsselt, damit Diebe sie nicht lesen können), was bedeutet, dass sie in einer Datenbank gespeichert werden können.
„Eine biometrische Datenbank ist an sich nichts Schlechtes, aber es gibt nur sehr wenige Menschen auf der Welt, die wissen, wie man sie sicher macht“, sagt Reed. „Deshalb gelten biometrische Datenbanken als keine gute Idee. In der Welt des Datenschutzes ist es ein Werkzeug, das sehr, sehr vorsichtig verwendet werden sollte. Bei jedem Projekt, an dem ich beteiligt war, das Biometrie beinhaltete, war das Ziel, sie nicht in eine Datenbank zu stellen.“
Reed weist auch darauf hin, dass genau das, was Biometrie für die Online-Verifizierung so leistungsfähig macht – die Tatsache, dass sie wirklich einzigartig für den Einzelnen sind –auch ein sehr hohes Mass an Sicherheit bei der Verifizierung gibt. Und obwohl sie individuell für jeden Einzelnen sind, können sie anonym sein.
„Alles, was Sie tun müssen, ist den Fingerabdruck, den Gesichtsscan usw. mit der Vorlage abzugleichen“, sagt Reed. „Es kann die Privatsphäre sehr wirkungsvoll schützen. Fast nichts anderes passt in diese Kategorie – es ist eine ziemlich starke Sache.“
Ist Biometrie gut oder schlecht?
Es wäre zwar grossartig, wenn wir alle Dinge einfach als „gut“ oder „schlecht“ klassifizieren könnten, aber die Wahrheit ist, dass fast alles in die Grauzonen zwischen den beiden fällt. Dazu gehört auch die Verwendung biometrischer Daten zur Online-Verifizierung.
„Das Fazit ist, dass ich Biometrie eigentlich sehr optimistisch gegenüberstehe, aber nur, wenn sie richtig eingesetzt wird“, sagt Reed. „Das ist wie beim Umgang mit radioaktiven Stoffen. Sie sind sehr mächtig, aber bei unsachgemässer Handhabung sehr gefährlich. Mit grosser Macht kommt große Verantwortung."