Definition Bearbeiten

Das Wort „Biometrie“ ist ein aus dem Griechischen stammender Begriff, welcher sich aus den Worten bios (Leben) und metron (Mass) zusammensetzt. Danach ist die Biometrie die Wissenschaft der Köper(ver)messung an Lebewesen. In diesen Zusammenhang wird ausschließlich der Mensch mit seinen messbaren körperlichen Merkmalen gestellt. Im engeren, auf die Computerwelt bezogenen Sinne ist der Begriff „Biometrie“ als Synonym für den Identifikationsnachweis von Personen unter Verwendung ihrer personengebundenen Merkmale zu verstehen. Personengebundene Merkmale müssen also so konzipiert sein, dass selbst eineiige Zwillinge unterschieden werden können. Bärte, Brillen und dergleichen dürfen bei der Erkennung ebenfalls keine Hindernisse darstellen. Im Gegensatz zur Forensik sollten biometrische Verfahren die Erkennung in Echtzeit und automatisiert durchführen können.

Abgrenzung
Biometrik, als stark verwandtes Wort zur Biometrie auch vielfach fälschlicherweise als Synonym dafür verwendet, wird vor allem im Zusammenhang mit mathematischer Vermessung und Statistik in der Medizin und Biologie verwendet. Dabei versucht man mit empirischen Untersuchungen Erkenntnisse über medizinische, psychologische, ökologische oder biologische Zusammenhänge zu finden. Dieser Bereich ist häufig auch unter dem Namen der „klassischen Biometrie“ zu finden. Die beiden Begriffe Biometrie und Biometrik sind also nicht austauschbar und werden auch in der englischen Literatur mit „biometry“ (Biometrie) und „biometrics“ (Biometrik) eindeutig unterschieden.

Geschichte Bearbeiten

Klassische Biometrie Bearbeiten

Biometrie hat den Menschen schon sehr früh fasziniert und ist deshalb weder neu, noch revolutionär noch futuristisch. Bereits die frühesten Dokumente trugen Unterschriften. Archäologische Funde belegen, dass bereits die Assyrer in Vorderasien seit 2000 v. Chr. ihren Fingerabdruck verwendeten, um beispielsweise Handelsdokumente zu signieren oder Handwerkskunststücke zu kennzeichnen.

In der neueren Zeit gab es dann eine Menge von Wissenschaftlern, die sich mit biometrischer Identifizierung befassten, darunter auch Leonardo Da Vinci, welcher sich mit der Beschreibung und Vermessung des menschlichen Körpers beschäftigte. Weitere (ausgesuchte) Pioniere sind nachfolgend aufgezeigt:

• 1856: Der deutsche Anthropologe Hermann Welker erforscht die Einzigartigkeit der Haut resp. der Papillarleisten der Finger. Bereits wenige Jahre später wurde dieses Verfahren praktisch eingesetzt.
• 1879 – 1880: Alphones Bertillon entwickelt das erste geschlossene System zur Personenidentifizierung, das vollständig auf Körpermaßen beruht.
• 1888: Sir Francis Galton wird von der britischen Kolonialregierung Indiens aufgefordert, ein in der Praxis unkompliziert zu verwendendes Personenerkennungssystem zu entwickeln. Er beschäftigt sich vor allem mit den mathematischen Aspekten der Daktyloskopie.
• 1914: Die Daktyloskopie wird auf dem internationalen Polizeikongress als internationales Verbrecherregistrierverfahren vorgeschlagen und europaweit eingeführt.

Biometrie ist nicht erst seit den Forschungsarbeiten von den zuvor aufgeführten Wissenschaftlern vorhanden. Unbewusst ist Biometrie überall aufzufinden: Uns bekannte Menschen können wir an ihrer Gangart oder Stimme erkennen, also an biometrischen Eigenschaften.

"neue" Biometrie Bearbeiten

Die klassischen Methoden der Daktyloskopie, wie beispielsweise die Fingerabdruckerkennung, wurden in den 70er Jahren mit dem Aufkommen der ersten Computersysteme weitestgehend automatisiert – es entstand die erste automatisierte Fingerabdruckdatei.

Andere Verfahren wie beispielsweise Iris- oder Retina-Erkennung wurden erst spät entwickelt. Als in den 80er Jahren futuristische Technologien wie beispielsweise Irisscans als nicht bildbare Zukunftsvision dargestellt wurden, ahnte noch niemand, dass diese Technologie wirklich einmal Realität werden würde. Doch bereits bei den olympischen Winterspielen 1998 im japanischen Nagano nutzte man das biometrische Verfahren der Iriserkennung, um den Sportlern den Zugriff auf ihre Sportgeräte zu gewähren. ^[1]

Heutzutage wird die Biometrie mit ihren vielfältigen Methoden als einzig sicheres Verfahren gehandelt welches in der Lage ist, Personen zweifelsfrei zu identifizieren. Fingerabdruck, Iris- oder Gesichtserkennung sind keine Zukunftsszenarien mehr, sondern gehören mittlerweile zu den alltäglichen Mitteln der Verifizierung bzw. Identifizierung. Vor allem Wettbewerbe, ausgeschrieben vom US-amerikanischen Verteidigungsministerium, trieben die Entwicklung biometrischer Systeme stark voran und lösten eine erste Kommerzialisierungswelle aus. ^[2]

Bevor jedoch auf die einzelnen Verfahren im Detail eingegangen wird, soll hier kurz aufgezeigt werden, was Biometrie eigentlich ist und welche Möglichkeiten zum heutigen Zeitpunkt existieren.

Biometrische Verfahren stellen hinsichtlich der Identifizierung bzw. Authentifizierung eine interessante Alternative zu den herkömmlichen, teilweise auch unsicheren Sicherheitstechniken dar. Nichtbiometrische Sicherheitsmechanismen gewähren den Zugriff nur durch Bekanntgabe von „Besitz“ (z. B. Ausweis, Schlüssel) und „Wissen“ (z. B. Kennwort, PIN, Zugangscode), wogegen mit Biometrie auch eigene Körpermerkmale verwendet werden können. Letzteres macht einen Missbrauch unmöglich, da das Legitimationsmittel personengebunden ist. Im Gegensatz dazu steht die Kombination von „Wissen“ und „Besitz“, welche lediglich personenbezogen sind und weitergegeben bzw. verloren werden könnten.

Es gibt eine große Anzahl von biometrischen Verfahren, welche heutzutage primär durch einen Computer ausgewertet werden können. Dazu gehören unter anderem Stimmerkennung, DNA/DNS-Analyse, Iris- oder auch Fingerabdruckerkennung. Eine vollständige Auflistung ist in Tabelle 1 zu finden. Dabei können die Merkmale in passive wie auch aktive aufgeteilt werden.

Die praktikabelsten biometrischen Verfahren (Fingerabdruck-, Iris-, Retina- und Gesichtserkennung) sollen im Folgenden in ihren grundsätzlichen Funktionsweisen beschrieben werden. Zuvor soll aber auch kurz aufgezeigt werden, wo biometrische Verfahren zum Einsatz kommen könnten und wie solche Verfahren grundsätzlich überhaupt funktionieren.

Einsatzgebiete Bearbeiten

Das Einsatzgebiet für biometrische Verfahren lässt sich sehr gross gestalten. Unter anderem kann hier der Zutritt zu Räumen, Gebäuden oder auch Informationstechnologien genannt werden wobei bei letzterem unter anderem Computer, Anwendungen und IT-Netze dazugehören. Vorstellbar wäre demnach der Einsatz an Flughäfen beim Check-In, als Identifizierung beim Geldautomaten, als Grenz- und Einwanderungskontrolle oder auch für den Zugriff auf Waffen. Einige dieser Verfahren, wie beispielsweise die Gesichtserkennung, wird an bestimmten Flughäfen bereits eingesetzt. Dazu gehört auch der Flughafen Zürich, welcher dieses Verfahren schon seit 2003 verwendet^[3]. Darüber hinaus gibt es natürlich noch eine ganze Menge anderer Einsatzgebiete, wie beispielsweise den elektronischen Rechtsverkehr. Wenn Dokumente mit der elektronischen Signatur versehen werden, könnte zur Freischaltung des privaten Schlüssels anstelle des dazugehörigen öffentlichen Schlüssels auf biometrische Merkmale zurückgegriffen werden.

Obwohl die menschliche DNS und das Blutbild in der Rechtsmedizin und Kriminalistik schon seit Jahren verwendet werden, durch viele TV-Sendungen sehr bekannt ist und sich natürlich exzellent zur Identifikation von Personen eignet, ist die Frage offen, ob sich diese Technik auch als biometrisches Verfahren im Sinne von schneller, automatischer Erkennung eignet, da sie ein Eingriff in den menschlichen Körper erfordert.

Wie bereits erwähnt, gibt es eine Vielzahl von biometrischen Verfahren auf dem Markt, welche in den verschiedensten Phasen der Entwicklung stehen. Grundsätzlich kann man aber sagen, dass sich nur die Verfahren erfolgreich durchsetzen werden, die

• ein günstiges Kosten-Nutzen-Verhältnis aufweisen,
• einen hohen Sicherheitsstandart bringen,
• bei den Benutzern auf hohe Akzeptanz stoßen und
• keine hohen Folgekosten bei der Technik auslösen.

Grundlegende Funktionsweise Bearbeiten

Unter biometrischen Verfahren versteht man Methoden, welche Personen anhand ausgewählter, biometrischer Merkmale zu erkennen. Solche Verfahren beinhalten in der Regel meistens drei Komponenten:

• Sensoren (z. B. Kameras, Mikrofone, Scanner oder andere technische Geräte), die individuelle Merkmale erfassen können
• Mathematische bzw. statistische Methoden, die die erfassten Daten abstrahieren können, sodass von den wesentlichen Merkmalen Referenzmuster abgespeichert werden können
• Vergleichsalgorithmen, die ein eindeutiges Vergleichen der Merkmale zulassen

Verifizierung/Identifizierung Bearbeiten

Identifikation und Verifikation (Verifizierung) werden bei einer biometrischen Erkennung wie nachfolgend beschrieben unterschieden. Bei der Verifikation und einem 1:1-Vergleich, auch one-to-one genannt, wird geprüft, ob die Person, die behauptet eine bestimmte zu sein, auch den physiologischen Beweis dazu erbringen kann. Die dazugehörigen aktuellen biometrischen Daten werden demnach nur mit ihren Referenzdaten verglichen. Es erfolgt die Authentifizierung einer bekannten Person, wobei diese entweder bestätigt oder zurückgewiesen werden kann. Bei der Identifikation wird die Identität einer Person ermittelt. Dabei wird anhand eines one-to-many-Vergleichs (1:n) die gesamte Systemdatenbank nach der Identität des Betreffenden durchsucht. Hier wird zwischen positiver und negativer Identifikation unterschieden. Von negativer Identifikation spricht man, wenn die Person nicht erkannt werden möchte, bspw. ein Verbrecher. Auf der anderen Seite steht die positive Identifikation. Dort geht es darum, eine Zugangsberechtigung zu erlangen.

Ablauf einer biometrischen Erkennung Bearbeiten

Der Prozess, welcher bei einer Authentifizierung resp. einer Verifizierung durch ein biometrisches Merkmal durchgeführt wird, kann wie folgt beschrieben werden: Als erstes wird der Benutzer in das System aufgenommen (Enrolment, Registrierung), wobei ein Referenzprofil des Benutzers erstellt wird. Die biometrischen Merkmale werden so mit Hilfe von Sensoren durch mehrfache Messungen erfasst und mit der Identität des Benutzers verknüpft und gespeichert. Dem Vorgang des Enrolment (Ersterfassung) kommt eine besondere Bedeutung zu, denn er bildet die Grundlage für eine gute Erkennungsrate im späteren Einsatz. Nur wenn dieser Vorgang sorgfältig und exakt durchgeführt wird, können genügend Daten des körperlichen Merkmals erfasst werden und auch bei einem nicht aktuellen, schlechten Muster noch genügend viele Übereinstimmungen gefunden werden.

Während des Erkennungsvorgangs wird das Referenzprofil mit dem entsprechenden biometrischen Merkmal (Gesicht, Iris, etc.) verglichen (Matching) und abhängig von diesem Vergleich werden dem Benutzer Rechte ge- oder verwährt.

Nachfolgend sind die Vor- und Nachteile der zuvor erwähnten Abgleichsverfahren gegenübergestellt.

• Im Gegensatz zur Identifikation erfordert die Verifikation lediglich einen Abgleich mit einem Referenzmuster oder Template, was die Vorgangszeit erheblich reduziert und so sehr niedrig hält.
• Abhängig von der Anzahl der in einer Datenbank abgelegten Datensätze sind bei der Identifikation leistungsfähige Server oder Datenbanksysteme notwendig.
• Da bei einer Identifikation die Benutzerdaten in einer Datenbank gespeichert werden müssen, muss festgestellt werden, dass diese gemäß den Datenschutzbestimmungen abgesichert werden.
• Im Bereich der Sicherheit sei erwähnt, dass die Gefahr der Fehlerkennung (z.B. Zulassung einer unberechtigten Person) proportional zur Datenbankgröße steigt.

Der Benutzerkomfort bei der Verifikation ist um einiges geringer, da die zu authentifizierende Person vorab Hilfsmittel einsetzen muss, wie beispielsweise eine benutzerspezifische Smartcard oder ein manuelles Eintippen des Namens^[1].

Falschrückweisungsrate/Falschakzeptanzrate Bearbeiten

Bei der Anwendung der biometrischen Merkmale einer Person zur Identifikation/Verifikation muss sichergestellt werden, dass der Vorgang fehlerfrei erfolgt. Es darf nicht zur Abweisung der Person kommen, genauso wenig wie zur Identifikation/Verifizierung nicht berechtigter Personen. Um diese Problem zu lösen wurden unterschiedliche Kennzahlen entwickelt, die sowohl die Zuverlässigkeit und Leistungsfähigkeit der Verfahren beschreiben, als auch Richtwerte für Toleranzen im Erkennungsprozess vorgeben können.

Die beiden bekanntesten Messgrößen sind die Falschakzeptanzrate (FAR) und die Falschrückweisungsrate (FRR). Sie stehen in direkter Verbindung zueinander. Bei der Identifikation/Verifizierung wird der gespeicherte Referenzdatensatz mit dem aktuell erstellten verglichen. Für den Vergleich der beiden Datensätze kann eine gewisse Toleranz und somit Möglichkeit der Abweichung vorgesehen werden. Die Toleranzbreite muss jedoch sehr gering gewählt werden, da sonst die Wahrscheinlichkeit, dass eine nicht berechtigte Person, als zugangsberechtigt identifiziert wird steigt. Zusätzlich wird durch die FAR auch die Häufigkeit der tatsächlich auftretenden Falschidentifizierungen beschrieben und ist bei jedem biometrischen Verfahren unterschiedlich. Die Verbindung der Falschakzeptanzrate zur Falschrückweisungsrate liegt darin begründet, dass eine zu gering gewählte Toleranz die Möglichkeit überhaupt nicht vom System erkannt zu werden erhöht. Je höher dieser Wert ist, desto höher ist die Wahrscheinlichkeit vom System abgewiesen zu werden.

Neben den zwei bekanntesten wurden weitere Messgrößen entwickelt. Es wurde eine Kennzahl entwickelt die die Möglichkeit betrachtet, während des Enrollment-Prozesses den Referenzdatensatz (einer zu dem System neu hinzuzufügenden Person) nicht erstellen zu können. Hier spricht man von der Nutzerausfallrate (FTE, engl. Failure To Enroll).

Die als Falschidentifikationsrate(FIR) bekannte Kennzahl beschreibt die Häufigkeit mit der eine Person bei der Identifizierung ihrem biometrischen Merkmal ein falscher Referenzdatensatz zugeordnet wird und eine Identifizierung dadurch nicht möglich ist.

Diese Messgrößen werden in die biometrischen Systeme übernommen, und geben einen Rahmen welche Fehlerraten akzeptiert werden. Eine zu gering gewählte FAR-Rate bietet sehr hohen Schutz vor einer falschen Authentifizierung, erhöht aber gleichfalls die Rate der zurückgewiesenen Identifizierungen (FRR). Weiterhin muss beachtet werden, dass jedes biometrische Verfahren unterschiedliche Ausprägungen der Messgrößen aufweist und dies bei der Implementierung des biometrischen Systems berücksichtigt werden muss. So bietet das Verfahren der Iriserkennung eine wesentlich geringere FAR-Rate (0,2%) als das Verfahren der Gesichtserkennung (von 0,4% bis zu 2,0%)^[4]

Fingerabdruckerkennung Bearbeiten

Die Identifikation von Personen durch ihren Fingerabdruck ist wahrscheinlich das älteste biometrische Verfahren (in technischer Hinsicht) und wird in manueller Form schon seit etwa 100 Jahren verwendet (Daktyloskopie). In der Mitte des 17. Jahrhunderts hat man begonnen die Finger nach Gleichheit zu untersuchen und hat festgestellt, dass es keine zwei gleichen Fingerabdrücke gibt und diese zeitlebens gleich bleiben. Studien haben im Verlauf der Zeit erreicht, dass schon 1901 Scotland Yard und dann auch das FBI in den 60er Jahren, wobei diese Fingerabdrücke computergestützt verarbeiteten, verwendeten. Erst seit den 80er Jahren ist die Erkennung von Fingerabdrücken auch für nichtkriminologische Anwendungen interessant, wie beispielsweise die Zutrittskontrolle für bestimmte Räume oder Gebäude.

Die Identifikation von Fingerabdrücken kann in drei grundlegende Aufgaben aufgeteilt werden:

• Fingerabdruckabtastung
• Fingerabdruckklassifizierung
• Fingerabdruckvergleich

Der Abdruck der Fingerbeere oder des Tastballens auf Gegenständen (Papier, Glas, Sensoroberfläche, etc.) wird als Fingerabdruck oder auch Daktylogramm bezeichnet. Diese erhält man als Farbabdruck oder mittels eines Sensors, welche die Papillarlinien abbilden. Papillarlinien sind Muster von schleifen-, wirbel- oder bogenförmig angeordneten Hautleisten des Fingers, welche absolut einzigartig sind. Entgegen vielen anderen modernen morphologischen Kennzeichen des Menschen ist die Anordnung der Papillarlinien nicht vererbbar und bildet sich im Embryostadium aus. Fingerabdrücke verändern sich also nur bei Unfall, Krankheit, Verbrennungen oder anderen Verletzungen.

Das Hautleistenrelief (Abdruck des Fingers auf einem Gegenstand) ist nach bestimmten Grundprinzipien, wie beispielsweise der Lage und den Richtungen der Schleifen oder der Position spezieller Verzweigungs- und Endpunkte von Hautleisten, auch unter dem Begriff Minuzien, klassifizierbar.

Nachfolgend sind die typischen drei Schritte beschrieben, mit welchen einwandfrei festgestellt werden kann, ob ein Fingerabdruck wirklich identisch ist, also auch zum Urheber (Finger) gehört.

Fingerabdruckabtastung Bearbeiten

Grundsätzlich existieren zwei Arten der Fingerabdruckerkennung, nämlich der klassische Farbfingerabdruck mittels Tinte zum Beispiel auf Papier oder die Aufnahme des lebenden Fingers mittels eines Sensors. Bei diesen beiden Arten spricht man auch von online- bzw. offline-Abtastung.

Durch das gleichmässige Abrollen des mit Tinte benetzten Fingers auf einer Unterlage wie bspw. Papier erhält man die Papillarlinien. Solche Abdrücke können in einem weiteren Schritt durch eine Kamera oder einen Scanner elektronisch aufgenommen und gespeichert werden.

Für die Erfassung eines Fingerabdrucks gibt es eine ganze Reihe verschiedener Sensorprinzipien, die für die Lebendabtastung der Papillarlinien verwendet werden können. Dies sind unter anderem:

• Kapazitive Sensoren: Bilden zusammen mit der Finger- und Sensoroberfläche einen Kondensator, dessen Kapazität sich aufgrund des Hautreliefs (Rücken und Täler) ändert.
• Polymere TFT Sensoren: Misst das Licht, das beim Auflegen des Fingers in dem polymeren Substrat dort emittiert wird, wo eine Berührung stattfindet.
• Thermische Sensoren:Registrieren das Wärmebild des aufgelegten Fingers
• EF Sensoren: Messen die örtliche Variation des elektrischen Feldes, das auf dem Relief der Fingeroberfläche bei der Aussendung eines kleinen elektrischen Signals entsteht.
• Kontaktlose 3D Sensoren
• Ultraschallsensoren

All diese örtlichen Veränderungen werden ausgemessen und repräsentieren den Fingerabdruck. Die Qualität der Abdrücke variiert extrem und ist stark vom erreichten Kontrast zwischen den Papillarlinien und den danebenliegenden Furchen abhängig. Bei einer online-Erkennung mittels eines elektronischen Geräts kann die Qualität der aufgenommenen Fingerabdrücke gesteuert und verbessert werden.

Fingerabdruckklassifizierung Bearbeiten

Die Identifikation einer Person erfordert meistens den Vergleich des Fingerabdruckes mit allen Fingerabdrücken in einer Datenbank, die in einigen Fällen mehrere Millionen Einträge aufweisen kann. Eine allgemeine Strategie um die Zahl der Fingerabdruckvergleiche zu verringern und infolgedessen die Antwortzeit des Kennzeichnungsprozesses zu verbessern ist, die Fingerabdrücke in vorbestimmte Kategorien zu unterteilen. Hier weist man jeden Fingerabdruck einer bestimmten Kategorie zu, damit bei einer Suche nur die zutreffende Teilmenge der Datenbank durchsucht werden muss. Schon der zentrale Bereich der Fingerbeere bildet eine spezifische Konfiguration, die zu einer groben systematischen Klassifizierung ausreicht. Die Pattern Area, auch Musterbereich genannt, wird als Teil des gesamten Abdrucks für die Klassifizierung des Fingerabdruckes verwendet. Der Musterbereich wird als innerer Bereich definiert, wobei der durch zwei Typenlinien begrenzt ist.

Während Fingerabdruckvergleiche auf der Basis von Mikroeigenschaften wie Kantenendpunkten und Gabelungen (Minuzien) beruhen, wird bei der Klassifikation auf Makroeigenschaften wie globaler Kantenstruktur aufgesetzt. Alle Klassifikationsentwürfe, welche zur Zeit von der Polizei verwendet werden sind Varianten des Klassifikationsschemas nach Henry, wobei dieser fünf Kategorien definierte: linke/rechte Schleife, Wirbel, flacher/gewölbter Bogen, wobei bei einigen Kategorien noch weitere Subklassen ausgearbeitet wurden.

Fingerabdruckvergleich Bearbeiten

Obwohl die durch die zuvor beschriebene Klassifizierung gewonnenen Informationen wie die Anzahl und Position der Deltas, Zentren und Papillarlinien eine gewisse Unterscheidbarkeit zulassen würden, kann die wahre Individualität des Fingerabdruckes aber nur durch die anatomischen Merkmale der Papillarlinien (Minuzien) und ihre gegenseitige Orientierung festgestellt werden. Die am häufigsten auftretenden Minuzien sind:

• Gabelung (ridge bifurcation)
• Papillarlinienende (ridge ending)

Wie auch auf der nachfolgenden Abbildung zu sehen ist, definiert das Papillarlinienende das Ende einer solchen. Von Gabelung spricht man in dem Augenblick, wenn sich eine Papillarlinie von einem darauf befindlichen Punkt aus in zwei Äste teilt. Die Minuzien können so durch ihren Typ, die x- und y- Koordinaten und durch die Richtung charakterisiert werden (vgl. Abbildung 6, Abbildung 7).

Auf Grafik 5 sind folgende Papillarlinienenden dargestellt (vlnr): Linienendung, einfache Gabelung, zweifache Gabelung, dreifache Gabelung, einfacher Wirbel, zweifacher Wirbel, seitliche Berührung, Haken, Punkt, Intervall, X-Linie, einfache Brücke, zweifache Brücke und fortlaufende Linie. Im Wesentlichen geht es also darum festzustellen, ob zwei Fingerabdrücke zur gleichen Kategorie gehören und eine bestimmte Anzahl von übereinstimmenden Minuzien enthalten. Trifft dies zu, kann eindeutig gesagt werden, dass die beiden Abdrücke identisch sind und vom gleichen Finger stammen.

Verallgemeinert würden die Kriterien für einen Fingerabdruckvergleich wie folgt lauten:

• Übereinstimmung der allgemeinen Musterkonfiguration
• Qualitative Übereinstimmung der Minuzien
• je nach Land müssen unterschiedlich viele identische Minuzien gefunden worden sein (in Deutschland 12)
• Korrespondierende Minuzien müssen in gegenseitiger Beziehung stehen

In der Praxis hat sich eine Reihe von komplexen Protokollen der Fingerabdruckidentifikation herauskristallisiert, welche hier aber nicht ausführlich erklärt werden sollen. Die meisten dieser sind aus der traditionellen daktyloskopischen Methodologie abgeleitet und die wesentlichen Schritte bleiben bei allen Verfahren grundsätzlich gleich. Auf Abbildung 8 ist ein Vergleich mit 18 entsprechenden Minuzien aufgezeigt.

Am schwierigsten gestaltet sich so ein Vergleich zweier Fingerabdrücke, welche sich schon in ihrer Musterkonfiguration ähnlich sind. Falls die Musterkonfigurationen der Abdrücke aber grundsätzlich verschieden sind, kann eindeutig festgestellt werden, dass die Abdrücke unmöglich vom gleichen Finger stammen können. In einem weiteren Schritt werden dann die bedeutenden Minuzien und das Vergleichsgebiet (pattern area) gesucht und verglichen. Leider sind nicht immer alle Punkte klar und mit der gleichen Qualität definiert. Einige Verzweigungen könnten also als Endungen der Papillarlinien interpretiert werden, falls die Fingerabdruckskraft auf dem Lesemedium zu gering war.^[5]

Nachfolgend ist der grundsätzliche Ablauf des Fingerabdruckverfahrens mittels Minuzienvergleich aufgezeigt.

Fake Finger Detection, Lebenderkennung Bearbeiten

Im Gegensatz zu anderen biometrischen Authentifikationsverfahren ist die Fingerabdruckerkennung nicht total Fälschungssicher. Die hauptsächlichen Gefahrenquellen bei dieser Art der Identifizierung sind:

• Angriffe auf den Kommunikationskanal wie beispielsweise Replay-Attacken auf der Leitung zwischen dem Sensor und dem restlichen System
• Attacken auf bestimmte Softwaremodule über Trojaner oder Viren
• Direkte Angriffe auf Fingerabdruckdatenbanken und –systeme
• Fälschungssicherheit bezgl. „falscher Finger“

Gewisse billige Lesegeräte lassen sich bereits durch einen Fingerabdruck auf einem Tesafilmstreifen überlisten. Reicht dieses nicht aus, leistet oft ein Silikon-, Gelatine oder Latexfingerabdruck Abhilfe (vgl. Abb. 7). Besonders optische Lesegeräte sind gegenüber solchen Fälschungsversuchen sehr anfällig. Aus diesen Gründen ist eine gute Lebenderkennung gegen Täuschungen mit künstlichen oder sogar abgeschnittenen Fingern notwendig. Dazu kommen verschiedenste Verfahren wie Hauttemperatur, Pulsschlag oder Leitfähigkeit zum Einsatz, wobei diese teilweise auch kombiniert werden.

Iriserkennung Bearbeiten

Geschichte der Iriserkennung Bearbeiten

Eine erste Erwähnung der Iriserkennung findet sich im James Bond Film Sag niemals nie. Dort wird eine Hornhauttransplantation durchgeführt um dann per Scanning des Auges Zutritt zu streng geheimen Orten zu bekommen. Das hier vorgestellte Verfahren läßt sich zum ersten Mal als Iriserkennung interpretieren.

Das Verfahren der Iriserkennung ist ein noch relativ junger Bereich der Biometrie und wurde erst Mitte der 80er Jahre erforscht und 1987 von Flom und Sadir zum Patent angemeldet.Die ersten einsatzfähigen Methoden zur Iriserkennung wurden Mitte der 90er Jahre entwickelt. Es wurden viele Verfahren und Algorithmen zur Iriserkennung entwickelt, doch bisher gelangte nur das Verfahren von John Daugman zur Praxisanwendung. Bei den olympischen Winterspielen 1998 in Nagano wird die Iriserkennung als Zutrittskontrolle für die Biathleten zur Waffenkammer eingesetzt. Nur so gelangen die Sportler an ihr Sportgerät. Fünfzehn Jahre nach der fiktiven Vorstellung im Film ist die Technologie Wirklichkeit geworden.^[6]

Die Iris Bearbeiten

Als Iris oder auch Regenbogenhaut wird der farbige Ring um die Pupille bezeichnet. Sie ist ein frontal gestelltes Segel zwischen vorderer und hinterer Augenkammer und damit ein Teil der mittleren Augenhaut. Im Zentrum der Iris befindet sich eine zentrale kreisrunde Öffnung – das Sehloch (Pupille). Die Iris bildet ein feinmaschiges Netz aus Rillen, Furchen und Punkten, das sich während eines Lebens kaum verändert. Diese Struktur ist bei jedem Menschen einzigartig und unterscheidet sich sogar bei eineiigen Zwillingen. Daher kann die Aufnahme einer Iris als eindeutiges Erkennungsmerkmal verwendet werden. Es können bis zu 400 verschiedene Merkmale unterschieden werden und damit acht mal mehr als bei einem Fingerabdruck. Eine weitere Eigenschaft des Auges macht die Iriserkennung interessant. Die Augen eines Toten sind leicht von denen eines lebenden zu unterscheiden, da sich die Pupille auf über 80 Prozent ausdehnt und der Augapfel sehr matt und trübe wird. Dadurch sind Fälschungsversuche mit Augen von Toten ausgeschlossen.^[6]

Methoden der Iriserkennung Bearbeiten

Bevor eine Aufnahme der Iris gemacht werden kann, muss diese genau im Auge erkannt werden. Störende Einflüsse, wie Schatten, Reflexionen oder verdeckte Teile müsse zunächst beseitigt werden, damit die Iris komplett sichtbar ist. Die Erkennung der Iris soll bis auf einen Entfernung von einem Meter möglich sein. Für die Qualität der Aufnahme ist jedoch eine geringere Entfernung empfohlen.

Die Aufnahme der Iris erfolgt mit Hilfe einer Kamera. Da bei Menschen mit dunkler Augenfarbe die Iris nur schwer zu erkennen ist, und für jede Person die gleiche Aufnahmequalität gewährleistet sein muss, wird das Auge mit unsichtbarem Licht im hohen Infrarotbereich beleuchtet. Das Infrarotlicht durchdringt die Iris besser als sichtbares Licht und ermöglicht es eine blendfrei Aufnahme bei gesunden Augen anzufertigen.

In diesem Bild sieht man wie die Aufnahme einer Iris und erkennt wie deutlich die Strukturen der Iris zu erkennen sind. Die weißen Linien wurden vom Aufnahmeprogramm erzeugt um den Bereich für die Templateerstellung einzugrenzen. Die Pupille des Auges wird bei der Iriserkennung nicht mit eingeschlossen, dient aber als Bezugspunkt für die Erstellung des Templates, da die Aufnahme immer einen festen Platz haben muss, damit eine Vergleichbarkeit der Templates gewährleistet werden kann.

Aufnahmen der Iris haben einen hohen Grad an Symmetrie die Merkmale befinden sich innerhalb eines Kreises. Abweichungen (veränderter Lichteinfall) können leicht mit Hilfe von mathematischen Verfahren korrigiert werden.

Im nächsten Schritt wird aus dem aufgenommenen Bild ein gleichförmiger Streifen gebildet, der sich unterhalb der Pupille befindet. Auf diesen Ausschnitt der Iris werden mathematische Verfahren angewendet, um einen einzigartigen Datensatz zu erzeugen. Der grundsätzliche Ansatz der mathematischen Verfahren sieht folgende Schritte vor:

Die Aufnahme der Iris wird in eine endlich Anzahl von Rechtecke aufgeteilt,

Für jedes Rechteck wird ein Mittelwert der Helligkeit ermittelt, wobei sehr helle oder sehr dunkle Bereiche im Rechteck nicht mit einbezogen werden,

Über alle Mittelwerte der Helligkeit eines jeden Rechteckes wird wiederum eine Mittelwert gebildet,

Jeder Mittelwert eines Rechteckes wird mit dem Gesamtmittelwert verglichen. Jedes Rechteck das heller ist wird als "1", jedes Rechteck das dunkler wird als "0" im Datensatz des Template hinterlegt. Dabei ist jeder Datensatz ist nur wenige hundert bytes groß.

Der so erzeugte Datensatz ist nur wenige hundert Bytes groß und im Vergleich zu Templates anderer Verfahren sehr klein.

Für die spätere Erkennung durch einen Irisscan wird eine aktuelle Aufnahme der Iris erstellt und in einen Datensatz umgewandelt und mit dem gespeicherten Template verglichen. Durch den Vergleich von Datensätzen ist der Vergleichsalgorithmus sehr schnell.

Sicherheit des Verfahrens Bearbeiten

Grundsätzlich ist die Struktur der Iris hochkomplex und hat eine relativ unveränderliche Struktur und bietet sich daher für Anwendungen bei deinen eine hohe Erkennungsleistung benötigt wird, an..

Das Verfahren der Iriserkennung wird als schnellstes, robustestes und spoofingunanfälligstes Verfahren zur biometrischen Erkennung bezeichnet. Das hinterlegte Vergleichsbeispiel und das tatsächliche Aussehen der Iris sind einfach zu vergleichen und bringen eine gegen Null strebende Fehlerakzeptanzrate und eine sehr geringe Fehlerrückweisungsrate.

Durch Brillen oder Kontaktlinsen kann die Erkennung der Irissrtuktur nicht beeinträchtigt werden. Trotz der recht hohen Sicherheit dieses Verfahren, können auch hier Manipulationsversuche (Spoofing) unternommen werden. Wie auch bei allen anderen biometrischen Verfahren, treffen bei diesem Verfahren die allgemeinen Angriffsmöglichkeiten zu. Zusätzlich besteht die Möglichkeit, das System durch ein hochaufgelöstes Fotos der Iris zu überlisten

Spezielle Probleme
Die Anwendung der Irisscannung ist sehr aufwendig, da das Auge sehr genau zum Scanner positioniert sein muss und kein zu großer Abstand entstehen darf. Zusätzlich muss das Auge perfekt beleuchtet werden. Ein weiteres Problem ist die relativ große Kamera, da sie eigene Lichtquellen enthält. Daraus ergibt sich ein größerer Platzbedarf bei produktiven Einsätzen. Als größtes Problem der Iriserkennung kann jedoch die sehr geringe Benutzerakzeptanz angesehen werden, da diese maßgeblich für den Erfolg eines Einsatzes entscheidet. Die Person muss sich überwinden eine Aufnahme des Auges zuzulassen.

Viele Menschen empfinden es als höchst störend und bedenklich sich im Zuge des Irisscans Licht ins Auge strahlen zu lassen. Dahinter steckt die Angst gesundheitliche Schäden davon zu tragen. Außerdem bringt das Auge einen Schutzmechanismus mit, das bei zu starker Lichtstrahlung einen Reiz des Auges auslöst.

Erkennungszeit
Durch die recht geringe Größe der Datensätze und der schnellen Aufnahmemethoden der Iris wird von einer Erkennungszeit von weniger als 2 Sekunden ausgegangen. Die einmalige Aufnahmeprozedur nimmt bis zu einer Minute in Anspruch.

Einsatzgebiete Bearbeiten

Als berührungsloses Verfahren zur Identifikation bietet sich die Iriserkennung ganz besonders zur Zutrittskontrolle an. Wird das Verfahren mit einer geeigneten Lebenderkennung versehen, ist gerade die Absicherung von Hochsicherheitsbereichen interessant. Durch den Einsatz spezieller Leseeinheiten ist ebenso die Verwendung im PC-Umfeld denkbar. Entwicklungen und Einsatzszenarien finden sich im Umfeld der Internetsicherheit, der Sicherheit von Atomkraftwerken, Electronic Commerce Security, Häftlingskontrollen, Gebäudezutrittskontrollen und Bankautomaten mit Iriserkennung.

Die größten bestehenden Anwendungen finden sich zum einen in den Vereinigten Arabischen Emiraten, wo alle einreisenden Passagiere an allen Grenzübergängen sich einem Irisscan unterziehen sollen. Damit sollen Personen besser erkannt werden, denen die Einreise verboten wurde.[1] Das System wurde von den zuständigen Behörden als Erfolg erklärt.

Es fanden bisher auch verschiedene Versuche an Flughäfen, wie z.B. Frankfurt/Main und London Heathrow und Charlotte/USA für die Verwendung von Iriserkennung zur Zutrittskontrolle statt. [2]

Eine Aufstellung der Nutzung von Iriserkennung findet sich auf der Internetseite von John Daugman.

Retinaerkennung Bearbeiten

Die Retina (lateinisch rete = Netz) ist ein weiterer Bestandteil des Auges. Sie wird auch als Netzhaut bezeichnet und befindet sich an der hinteren Innenseite des Auges. Die Retina ist eine Schicht von speziellem Nervengewebe und besteht darüber hinaus aus lichtempfindlichen Gewebeanteilen. In ihr wird das auftreffende Licht, nachdem es die Hornhaut, die Linse und den Glaskörper durchquert hat, in Nervenimpulse umgewandelt. Die einzigartige Struktur der Blutbahnen wird zur biometrischen Erkennung angewandt. Als Technologie hat sich die Retinaerkennung noch nicht so weit durchgesetzt im Gegensatz zur Iriserkennung.^[8]

Der Benutzer darf seinen Kopf beim Erkennungsprozess nicht bewegen und muss auf ein grünes Licht schauen, das vom Gerät gesendet und eingefangen wird. Der Scanner erfasst die durch die Retina reflektierten Lichtstrahlen und erstellt daraus einen 96 Byte großen Datensatz. Die benötigte Zeit beträgt etwa 1,5 Sekunden. Dieses Gerät besitzt eine schmale Öffnung mit Infrarotlicht.

Da Tragen von Kontaktlinsen beeinträchtigt die Erkennung nicht. Eine Brille muss für den Erkennungsvorgang abgenommen werden, da das Auge den Scanner berühren muss und eine Brille dies verhindert.

Die Vorteile der Retinaerkennung liegen in der hohen Fälschungssicherheit, der geringen Datensatzgröße und der geringe Fehlerrate. Demgegenüber stehen aber auch Nachteile die besonders im Bereich der Benutzerakzeptanz liegen. Durch den Kontakt des Auges mit dem Scanner und der Ausleuchtung der Retina mit einem Laser gibt es große gesundheitliche Bedenken und die Auffassung, dass die Retinaerkennung in einen sehr intimen Bereich eindringt. Zum anderen sind die relativ hohen Kosten eine Nachteil für dieses Verfahren.^[10]

Gesichtserkennung Bearbeiten

Die Gesichtserkennung ist dasjenige technische Verfahren, daß den Verfahren am nächsten kommt, mit denen der Mensch seine Artgenossen identifiziert. Dies gilt besonders dort, wo es an anderen Merkmalen, wie der Stimme oder Gesten mangelt, zum Beispiel bei einem Photo. Dabei ist es unerheblich ob es sich um ein Urlaubsphoto oder um das Bild auf einem Ausweisdokument handelt.

Unter den biometrischen Verfahren ist die Gesichtserkennung eines der jüngeren Verfahren. Erste Untersuchungen über Gesichtserkennungssysteme für das das US-amerikanische „Department of Defence“ (DoD) in seinem „Face Recognition Technology Program“ (FRGC) Mitte der 1990er Jahre durch.

Die Vorgehensweise Bearbeiten

Vom Prinzip her basiert das Verfahren darauf, daß ein mit einer Kamera aufgenommenes Bild einer Person mit zuvor gespeicherten Bildern, durch eine Erkennungssoftware verglichen wird. Die Schritte dazu sind, wie die meisten biometrischen Verfahren:

1. Template(s) erzeugen und
2. Templates vergleichen

Template erzeugen Bearbeiten

Für die schnelle und einfache Verarbeitung während der Erkennung und um den Speicherbedarf gering zu halten, werden die Rohdaten auf die für den Erkennungsprozess notwendigen einmaligen Merkmale reduziert. Das Ergebnis ist das Template. Je nach dem, zu welchem Zweck es erzeugt wird, unterscheidet man zwischen Referenz- und Anfrage-Template. Das Referenz-Template ist der Merkmalsdatensatz, gegen den das Anfrage-Template bei dem Vorgang der Identifikation/Verifikation einer Person geprüft wird.

Das Herstellen eines Templates erfolgt in diesen Arbeitsschritten:

1. Bild erfassen: Mit einer Kamera wird ein Bild einer Person aufgenommen („Live-Bild“). Das Ausgangsmaterial kann dafür ein einzelnes digitales Photo oder auch eine Video-Sequenz sein, aus der einzelne Bilder extrahiert werden. Daneben kann auch analoges Bildmaterial eingescannt werden.
2. Gesicht finden: Es wird versucht in dem aufgenommenen Bild einen gesichtsähnlichen Bereich zu finden. Wird ein solcher Bereich nicht gefunden, dann ist das Bild für eine Gesichtserkennung nicht zu gebrauchen.
3. Augen lokalisieren: Da die Augen üblicherweise zwei extrem dunkle Punkte in der oberen Hälfte des Bildes sind, können diese als erste Bezugspunkte leicht identifiziert werden. Wenn dies nicht möglich ist, dann ist die Erkennung gescheitert.
4. Weitere Gesichtspunkte lokalisieren: Ausgehend von der Position der Augen wird versucht die Nase, die Kinnpartie mit dem Mund und den äußeren Rand des Gesichtes zu finden.
5. Gesicht normalisieren: Damit bei allen zu verarbeitenden Bildern die Augenposition im gleichen Bildbereich liegen, werden die Bilder durch Verfahren der Bildmanipulation wie Drehung, Stauchung oder Streckung auf nahezu ähnliche Maße gebracht.
6. Weitere Merkmale extrahieren: Je nach verwendetem Verfahren werden weitere Gesichtsmerkmale gesucht und vermessen.
7. Template erzeugen: Durch ein mathematisches Verfahren werden die Merkmalsdaten zu einem Merkmalsdatensatz von etwa 1000 bis 13000 Byte Größe komprimiert. Das Template ist fertig.

Bei der Identifikation einer Person wird das Template des Life-Bildes mit dem Referenz-Template verglichen, das in einer Datenbank gespeichert ist. Da das Referenz-Template die Grundlage für die Identifikation einer Person ist, werden besondere Anforderungen hinsichtlich der Qualität gestellt. Es muß reich an Informationen sein und daher so viele Gesichtsmerkmale wie möglich enthalten. Das Verfahren zu seiner Herstellung entspricht dem oben beschriebenen Ablauf. Für die Erzeugung des Referenz-Templates können auch mehrere Bilder einer Person verwendet werden. So lassen sich zum Beispiel Veränderungen durch die Mimik ausgleichen.^[11]

Vergleich Bearbeiten

Die Ähnlichkeit von Abfrage- und Referenz-Template erfolgt durch einen statistischen Vergleich der beiden Merkmalsdatensätze. Das Ergebnis gibt einen prozentualen Grad an Übereinstimmung an, der in Prozent ausgedrückt wird. Aus vielerlei Gründen wird dieser nie bei 100 Prozent liegen. Das Ergebnis des Vergleichs muß daher eigentlich lauten: „Wir sind uns ziemlich sicher, daß dies Person X ist.“ und nicht „Das ist Person X.“

Den Verfahren zur Gesichtserkennung liegen unterschiedliche Verfahren aus dem Bereich der Mustererkennung zugrunde. Die Mustererkennung ist ein Teilgebiet der Informatik, daß sich mit dem Erkennen und Auswerten von Mustern in Signalen beschäftigt, um so auch zu versuchen, die menschliche Wahrnehmung nachzubilden. Die Verfahren können grob in zwei Gruppen eingeteilt werden:^[12] - Das äußere Erscheinungsbild wird ausgewertet indem Informationen aus den Bildpunkte miteinander verglichen werden. - Über die Anordnung markanter Punkte im Gesicht (Augen, Nase, Kinn) werden Informationen über die Geometrie des Gesichtes gewonnen.

Einige der Verfahren die Angewendet werden sind:^[11][13]

Template-Matching

Beim Template-Matching werden vom Standpunkt der Gesichtserkennung die Gesichtsregionen vorgegeben, die im zu verarbeitenden Bild des Gesichtes zu suchen sind. Anschließend werden die graphischen Merkmale dieser Bereiche mathematisch mit denen der entsprechenden Bereichen des Referenzbildes kombiniert und daraus eine Ähnlichkeit der Bereiche berechnet. Das Template-Matching wird in der Praxis häufig angewendet, es ist jedoch rechenintensiv. Es stößt schnell dort an seine Grenzen, wo die Zahl der zu identifizierenden Gesichter rasch zunimmt.

Eigengesichter

Mit Mitteln der Vektorrechnung werden von den Einzelgesichtern die Abweichung von einem „Durchschnittsgesicht“ ermittelt und in der Datenbank gespeichert. Für den Vergleich eines Gesichtes mit dem Referenzbild wird nun die Abweichungen des für das Gesicht ermittelten mit den in der Datenbank gespeicherten Koeffizienten des Referenzbildes ermittelt. Dies Verfahren zeigt sich einerseits sehr robust. Andererseits ist es aber sehr aufwändig, neue Gesichter dem System hinzuzufügen. zum einen Muß das Durchschnittsgesicht neu bestimmt werden, zum andern müssen dann natürlich auch die Abweichungen der einzelnen Gesichter neu bestimmt werden.

Elastische Graphen

Im Gesicht werden markante Punkte, zum Beispiel die Nasenspitze, gesucht und durch Linien zu einem Gittermodell verbunden. Unter Bezugnahme auf das Gittermodell des normierten Gesichts wird das zu verarbeitende Gesichtsbild in eine Standardposition gedreht (Normalisiert). Durch Verschiebung und/oder Stauchung wird nun versucht, die Knoten der beiden Bilder in Deckung zu bringen. Die dabei auftretenden Abweichungen in den Knoten der beiden Gittermodelle bilden dabei das Maß für die Ähnlichkeit der beiden Gesichter. Das Verfahren der Elastischen Graphen zeigt sich gegenüber Einflüssen durch Helligkeit, Unschärfe oder leichte Bewegungen des Kopfes unempfindlich. Es ist daher besonders für die Videoüberwachung geeignet. Es kommt jedoch dann zu Schwierigkeiten, wenn es zu Veränderungen im Gesicht aufgrund von Alterung oder des Tragens einer Brille kommt.

Geometrische Merkmale

Dieses Verfahren ist ähnlich dem der Elastischen Graphen. An Stelle der Knoten eines Gittermodells wird die Position der markanten Punkte durch einen mathematischen Vektor beschrieben. Aus dem Vergleich dieses Vektors mit dem des Referenzbildes wird dann das Maß für die Ähnlichkeit der beiden Gesichter bestimmt Vom Aufwand her ist dies Verfahren sehr gering. Das Verfahren stößt jedoch dort an seine Grenzen, wo sich die Merkmale nicht mehr so genau extrahieren lassen. Es ist zudem nicht klar, welche Merkmale für eine zuverlässige Erkennung erfaßt werden müssen.

Eigenschaften Bearbeiten

Gesichtserkennung kann sowohl zur Verifikation als auch zur Identifikation von Personen eingesetzt werden. Die Gesichtserkennung ist ein berührungsloses Verfahren, bei dem es nicht erforderlich ist, daß sich die zu identifizierende Person unmittelbar vor dem Aufzeichnungsgerät befindet, da dies durch Kamera-Objektive ausgeglichen werden kann. Sie ist auch nicht auf die Kooperation der zu überprüfenden Person angewiesen. Eine Person muß daher noch nicht einmal mitbekommen, wenn jemand versucht, ihre Identität zu überprüfen. Daher eignet sich die Gesichtserkennung besonders gut für die die Überwachung von Menschenmengen.^[14]

Sie ist in gewisser Form auch mit bisherigen Ausweisdokumenten kompatibel. Dadurch könnte die Identifizierung verbessert werden, weil die Leistung eines Biometrischen Systems im Laufe eines Arbeitstages nicht nachläßt. Allerdings muß dies nicht der Fall sein. Die Zuverlässigkeit des Systems hinsichtlich der Erkennung kann unter der eines Menschen liegen.^[15]

Selbst aber, wenn die Erkennungsleistung über der eines Menschen liegt, dann muß dies noch lange nicht zu einer tatsächlichen Verbesserung bei der Identifizierung führen. Bisher wurde in diesem Text davon ausgegangen, daß es sich bei einem System zur Gesichtserkennung um ein in sich geschlossenes System handelt, in dem für jede Person ein Referenz-Template im System hinterlegt ist. Bei der automatischen Überprüfung von Ausweisen muß dies aber nicht der Fall sein.

1. Es wird überprüft, ob die Person mit der Person identisch ist, die auf dem Photo des Ausweisdokuments abgebildet ist. Das Referenz-Template wird in diesem Fall vom dem Photo erzeugt, und das Anfrage-Template stammt von einem Live-Bild der zu überprüfenden Person. Es ist offensichtlich, daß so nur eine Aussage über die Übereinstimmung Person zu Photo getroffen werden kann. Über die Identität der Person ist keine Aussage möglich. Die Sicherheit bei diesem Verfahren hängt also letztlich davon ab, wie fälschungssicher das Ausweisdokument ist.
2. Bei der Bekanntmachung einer Person im System wird diese einwandfrei identifiziert. Die persönlichen Daten werden zusammen mit dem Referenz-Template im System hinterlegt. Bei der Identifikation wird das Abfrage-Template gegen das im System gespeicherte Referenz-Template geprüft. Anders als im ersten Fall ist hier eine genauere Aussage über die Identität der Person möglich. Die Sicherheit hängt hier davon ab, daß keine falschen Identitäten in das System aufgenommen werden können.

Was die Falschidentifikations- und Falschrückweisungsrate betrifft, so liegt die Spanne dafür bei bei etwa - 0,1-1% für fälschlich akzeptiert und - bei 10-20% fälschlich zurückgewiesen^[12] Auf das Einsatzszenario, bei dem aus den Besuchermassen eines Fußballstations bekannte Gewalttäter herausgesucht werden sollen, bedeutet dies, „...dass mit der Genauigkeit (Anm: 2004) der heute bekannten biometrischen Methoden unter 100.000 Besuchern bei 10 Personen, nach denen gefahndet wird, 10.000 Unschuldige fälschlicherweise als Gesuchte erkannt werden.“^[16]

Damit aber ein System zur Gesichtserkennung mit einer geringen Falschidentifikations- und Falschrückweisungsrate arbeitet, ist es darauf angewiesen, daß beide Merkmalsdatensätze von hoher Qualität sind. Diese wird unmittelbar durch die Aufnahmebedingungen beeinflusst. Helligkeit, Kopfhaltung aber auch die Schärfe und die Auflösung der Bilder sind solche Faktoren, die unmittelbaren Einfluss auf die Qualität der Merkmalsdatensätze haben. Im Sinne einer hohen Qualität müßten also die Aufnahmebedingungen für die Bilder möglichst identisch sein, was sie natürlich nicht sind.

Ein weiteres Problem ist, daß das Gesicht des Menschen sich im Laufe der Zeit durch Alterung verändert. - Extremfälle wie ein entstelltes Gesicht nach einem Unfall oder durch Gewalteinwirkung seien einmal ausgeschlossen. - Das System kann dem auf zweierlei Arten begegnen:

1. Die Toleranzschwelle ist sehr gering, ein Berechtigter wird als als unberechtigter zurückgewiesen. Damit ein Berechtigter akzeptiert wird, muß häufig ein neues Referenz-Template angelegt werden.
2. Die Toleranzschwelle ist komfortabel ausgelegt. Unberechtigte werden als Berechtigte akzeptiert.

Wie sich dies Problem insgesamt auf die Leistung der Gesichtserkennung auswirkt, kann noch nicht beurteilt werden. Dies ist erst dann möglich, wenn Erfahrungen am alternden Gesicht gewonnen werden können. Die Spanne dafür sind nicht Jahre sondern Jahrzehnte.

Wie andere Verfahren, kann auch die Gesichtserkennung manipuliert werden. Je nach System reichen bereits Photos von Berechtigten, um einem Unberechtigten zu akzeptieren. Auch kann durch Brillen, Masken oder Kosmetik das System überwunden werden, oder die Erkennung verschleiert werden. Sicherlich mag die Vorstellung zunächst grotesk erscheinen, daß jemand sich den Zugang in ein Gebäude erschleicht, indem er sich ein Photo vor das Gesicht hält. Aber ein System zur Gesichtserkennung kann eben das von der Kamera aufgenommene Bild entsprechend seiner Programmierung zu verarbeiten. Eine Kategorie grotesk kennt ein solches System nicht. Dies ist dem Menschen vorbehalten, der aber durch den Einsatz solcher Systeme ja gerade eingespart werden soll.

Die größte Schwachstelle der Biometrie ist die Entpersonifizierung, das heißt es wird versucht sich zu Authentifizieren obwohl die Person nicht anwesend ist. Die Bandbreite geht vom Abnehmen eines Fingerabdruckes von Geräten bis hin zu grausamen Szenarien, dass Finger abgetrennt werden. Solche Geschichten tragen nicht zur Steigerung des Vertrauens und der Akzeptanz in die Authentifizierung durch biometrische Verfahren bei. Die Kompromittierung eines biometrischen Merkmales wirkt ungleich gefährlicher als der Diebstahl eines Passwortes, da hier nicht der eigene Körper betroffen ist und Passwörter wesentlich leichter geändert und gesperrt werden können.

Der Diebstahl von biometrischen Merkmalen geht genauso wie der Diebstahl von Passwörtern von dem vertrauensvollen Umgang des Anwenders aus. Man muss sich bewusst sein, für welche Zwecke die biometrischen Merkmale genutzt werden. Im Zusammenhang mit sicherheitsrelevanten Anwendungen in streng geheimen Umgebungen wird es sehr schwierig sein biometrische Merkmale zu übernehmen und auszunutzen, da die Sicherheit des umgebenden Systems ebenfalls sehr hoch ist. Werden biometrische Merkmale aber an Orten mit einer geringeren sicherheitsrelevanten Umgebung genutzt wird die Chance eines Diebstahls ungleich höher sein. Als Beispiel seien dort Verifizierung an Bankautomaten, Bezahlen an Supermarktkassen oder auch die Identifizierung an Computern genannt. All diese Orte sind leicht zugänglich und somit auch ein guter Angriffspunkt für kriminelle Angriffe auf die eigenen biometrischen Merkmale. Deshalb sollte man sich bewusst sein in welchem Umfang man seine biometrischen Merkmale zur Authentifizierung einsetzt. ^[12]

Kompromittierung von biometrischen Merkmalen Bearbeiten

Unter dem Begriff der Kompromittierung versteht man das Bekanntwerden biometrischer Merkmale. Das Problem das sich im Zusammenhang mit der Verwendung von biometrischen Merkmalen ergibt, liegt darin, dass wenn ein Merkmal bekannt wird, es automatisch unbrauchbar für die weitere Verwendung ist. Im Gegensatz zu Passwörtern die nach Bekanntwerden ausgetauscht werden können, funktioniert das bei biometrischen Merkmalen nicht.

Daher muss besondere Vorsicht bei der Verwendung von biometrischen Merkmalen zur Authentifizierung erfolgen. Andersherum sind ein Großteil der biometrischen Merkmale öffentlich und kann nicht versteckt werden. Daher bietet sich eine Angriffsmöglichkeit zur Kompromittierung gegen die nichts unternommen werden kann. Um die Folgen eines Bekanntwerdens von biometrischen Merkmalen zu verringern, wird eine Kombination aus biometrischem Merkmale und veränderbarem Datensatz gewählt. Nur wenn beide Merkmale zusammen übereinstimmen, gilt die Authentifizierung als erfolgreich. Somit kann bei einer Kompromittierung der Datensatz geändert werden und das biometrische Merkmale verliert nicht seine Brauchbarkeit. Als bekanntes Beispiel für ein solches Vorgehen ist die Einführung der elektronischen Gesundheitskarte oder des biometrischen Reisepasses. Auf ihnen werden die biometrischen Merkmale zur Weiternutzung gespeichert. Dabei muss jedoch auch sichergestellt werden, das keine Unberechtigten Zugang zu diesen Daten haben, auch nicht bei Verlust dieser Dokumente.^[4]

Passwort versus Biometrie Bearbeiten

Das aktuell übliche Verfahren um einen Nutzer zu authentifizieren und damit Zugang zu geheimen Daten und Informationen oder Systemen zu geben, ist die Eingabe eines Passwortes oder Pins. Dieses Verfahren hat jedoch seine Fehler. So müssen zur Erhöhung der Sicherheit bestimmte Regeln eingehalten werden. Passwörter müssen Mindestlängen einhalten, sollen Groß- und Kleinbuchstaben, sowie numerische und nicht-numerische Zeichen enthalten. Ebenso dürfen keine Verbindungen zu Namen, Firma oder Anmeldenamen bestehen und Passwörter sind zeitlich begrenzt. Diese Regeln zeigen bereits eine Schwäche dieses Verfahrens. Eine hohe Sicherheitspolice wirkt sich negativ auf die Benutzerakzeptanz aus. Sichere Passwörter sind schwer zu merken und bei mehr als einem Passwort werden diese zumeist schriftlich hinterlegt und widerlegen den eigentlichen Sicherheitsgedanken. Bei der Authentifizierung kann weiterhin nicht bestimmt werden, ob die Person tatsächlich diejenige ist, der das Passwort/PIN ursprünglich ausgehändigt wurde. Somit hätten auch nichtberechtigte Personen Zugang, sobald sie im Besitz des Passwortes sind. Darin liegt eine weitere Schwäche des Systems Passwort/Pin, dass sie personenbezogen, aber nicht personengebunden sind. Es ist zu erkennen, dass die Sicherheit von Passwörtern stark am Anwender der Passwörter liegt.

Biometrische Merkmale dagegen umgehen, zumindest den fehlenden Punkt der Personengebundenheit, da sie immer an eine Person gebunden sind und wenn nur sehr schwer zu übertragen sind. Doch auch die Nutzung biometrischer Merkmale birgt Risiken.

Es steht nur eine begrenzte Anzahl an biometrischen Merkmalen zur Verfügung. So wirkt sich z.B. eine Kompromittierung des Fingerabdruckes direkt auf die Handlungsmöglichkeiten des Besitzers aus und kann nicht einfach wie ein Passwort ausgetauscht werden. Zusätzlich ist zu beachten, dass biometrische Merkmale keine Geheimnisse sind. So werden z.B. Fingerabdrücke durch die Menschen überall hinterlassen.

Grundlegend läuft der Prozess der Authentifizierung bei beiden Konzepten gleich ab. Ein erzeugter Datensatz wird mit einem Template dass im System gespeichert ist verglichen. Der Unterschied beider Verfahren liegt darin, dass ein Passwort immer zu 100% passen muss. Stimmt das eingegebene Passwort mit dem im System hinterlegten nicht überein, wird der Vorgang abgebrochen und der Zugang verweigert. Da die Aufnahmen von biometrischen Merkmale nie zu 100% gleich sind, kann die Methodik nicht angewandt werden. Bei dem Vergleich des Templates mit dem aktuellen Datensatz müssen Methoden der Wahrscheinlichkeit einbezogen werden. Es muss bestimmt werden wie groß die Abweichung vom Template sein darf. (siehe Abschnitt Kennzahlen).

Biometrische Merkmale werden in IT-Systemen als Datensätze abgespeichert, die sobald eine Zugang existiert Manipulations- und Kopierangriffen ausgesetzt sind.

Diese Probleme zeigen, dass ein Umdenken in den Verfahren der Identifikation der Benutzer stattfinden muss, da das biometrische Merkmal nicht geheim gehalten werden kann. Biometrische Systeme müssen eine sehr hohe Sicherheit, speziell im Bereich der Erfassung und Übertragung der Daten gewährleisten. Ein wichtiger Punkt liegt bereits beim Erstellen der Referenzdaten zum späteren Vergleich. Hierbei muss sichergestellt werden, dass tatsächlich die biometrischen Merkmale der Person eingelesen werden, die später verifiziert werden soll. Die eingelesenen Daten müssen ohne Manipulationsmöglichkeit gespeichert werden. Zudem muss eine sehr hohe Sicherheit der Datenbank, die jene Daten aller Nutzer enthält zukommen. Der Missbrauch von biometrischen Daten würde einen hohen Schaden für die betroffene Person verursachen, denn biometrische Merkmale lassen sich nicht verändern.

Bei der Betrachtung der Sicherheit von Biometrischen Verfahren muss die Frage beantwortet werden, für welchen Zweck diese eingesetzt werden. Daran bemisst sich auch welche Angriffe auf die jeweiligen Systeme getätigt werden oder welche Wege gesucht werden die biometrischen Verfahren auszutricksen. Zum einen gibt es positiv angewendete Systeme die darauf zielen, berechtigten Personen Zugang zu Orten und Anwendungen zu gewähren und nicht berechtigte Personen den Zutritt zu verweigern. Ziel eines Angriffs könnte es sein sich durch verschiedene Verfahren trotzdem Zugang zu verschaffen. Die andere Ausrichtung ist die Nutzung der biometrischen Merkmale um so genannte Black Lists zu erstellen und somit eine Sammlung nicht berechtigter Personen. Sei es um Einreisen in Länder zu verbieten oder Straftäter ausfindig zu machen. Eine Attacke auf diese Systeme zielt darauf, nicht von ihnen erkannt zu werden und die Kontrollen ungehindert zu umgehen. ^[12]

Angriffsmöglichkeiten Bearbeiten

Im Gegensatz zu anderen Sicherheitssystemen wie Passwörter oder PIN Verfahren müssen andere Gegebenheit bei dem Angriff auf solche System berücksichtigt werden. Ein Angriff auf Passwörter eines e-commerce Systems kann unbeachtet und aus großer Entfernung erfolgen. Der Angreifer hat Zeit verschiedene Methoden, z.B. Brute-Force Methodiken anzuwenden um die Passwörter zu knacken. Dieses Vorgehen kann bei biometrischen Verfahren, wie z.B. der Identifizierung an Flughäfen nicht durchgeführt werden, da nur eine begrenzte Zeitspanne vorliegt und keine endlosen Versuche erfolgen können.

Angriffe bei der Authentifizierung Bearbeiten

Um als nicht berechtigte Person Zutritt zu einem System zu bekommen, werden Methoden angewendet die sich gezielt auf den Bereich der Eingabegeräte beziehen. So wird versucht bei durch Veränderung der eigenen biometrischen Merkmale (z.B. Gesicht oder Stimme) Zugang durch das System zu bekommen und das System zu überwinden. Eine andere Attacke besteht durch die Präsentation von echten Daten, z.B. einem kopierten Fingerabdruck. Die drastischste Art um sich Zugang zu verschaffen besteht in der Anwendung von Gewalt.

Die gezielte Veränderung seiner eigenen biometrischen Merkmale, zielt darauf einen berechtigte Person möglichst ähnlich zu werden. Die Bandbreite geht vom Verstellen der Stimme um Authentifizierungen per Stimme zu überlisten, über Verkleidungen und Masken bis hin zu chirurgischen Eingriffen in der plastischen Medizin. Weitere Szenarien beschäftigen sich mit der Nutzung falscher Fingerabdrücke in Form von Gummiabdrücken die auf den Finger geklebt werden. Die Kombination von mehreren biometrischen Merkmalen zur Authentifizierung verringert die Möglichkeit durch Änderung der eigene biometrischen Merkmale authentifiziert zu werden.

Die Präsentation von fremden biometrischen Merkmalen basiert auf der vorherigen Aufzeichnung oder Kopie der Merkmale der Zielperson. Szenarien in diesem Umfeld sind zum Beispiel die Aufnahme der Stimme beim Sprechen bestimmter Textpassagen, oder die Erstellung eines Fotos und späteren Verwendung bei der Gesichtserkennung. Da die Gesichtserkennungssystem jedoch verbessert wurden, ist die Methode kaum noch anwendbar, da mittlerweile auf Dreidimensionalität geprüft wird. Daher müsste diese Methode verfeinert werden. Als Beispiel könnte das Vorhalten eines LCD-Displays mit dem Foto dienen, da es hier schwieriger ist die Fälschung zu erkennen.

Der härteste Eingriff in die Authentifizierung von Person ist die Anwendung von Gewalt. So können Personen unter Androhung von Gewalt gezwungen werden sich zu Identifizieren. Die Nutzung von biometrischen Verfahren an Geldautomaten birgt ein gewisses Risiko für ein solche Art des Angriffs. Die Trennung des biometrischen Merkmales vom eigentlichen Eigentümer, geht da sogar noch einen Schritt weiter. Dieses Szenario ist gehört auch zu den größten Ängsten der Menschen im Zusammenhang mit der Anwendung von Biometrie. Ein klassisches Beispiel ist das Abtrennen eines Fingers. (Link auf Artikel im Spiegel) Um diesem Angriff entgegenzuwirken versuchen die Entwickler solcher System zu überprüfen ob sich das Merkmale in einem lebenden Zustand befindet. Bei Fingern wird der Pulsschlag überprüft, bei Retinascans der Fluss des Blutes, Augen haben die Eigenschaft, dass sich die Pupille um 80 % vergrößert und das Aussehen matt und milchig wird. Auch die Temperatur kann eine Aussage darüber geben, ob das Körperteil noch lebt.[3]

Angriffe auf das biometrische Anwendungssystem Bearbeiten

Weitere Angriffe beziehen sich auf die Anwendung im Bereich der Templatevergleiche. Es können so genannte "Trojanische Pferde" in das System eingeschleust werden. Der Angriff zielt hierbei darauf ab, den Vergleichsprozess zu täuschen. Es werden die aufgezeichneten Daten durch neue Elemente ersetzt, so dass der so erzeugte Datensatz auf einen im System existierenden Datensatz passt und die Authentifizierung erfolgreich abläuft.

Ein weiterer Angriff läuft ebenfalls über das Einschleusen eine "trojanischen Pferdes". Bei diesem Angriff bezieht es sich aber auf den Vergleichsalgorithmus. Es wird versucht durch Manipulation des Algorithmus, immer eine Freigabe zu bekommen. So könnte ein Angreifer die komplette Templatedatenbank auf dem Zielsystem austauschen.

Einen weiteren Angriffspunkt bildet die Übertragung des Ergebnisses aus dem Vergleichsalgorithmus an die weiterverarbeitende Software. Es wird versucht, das Ergebnis durch eigene gefälschte Vergleichsergebnisse zu überschreiben. Dabei werden bestimmt Lücken in der Architektur von bestimmten Systemen ausgenutzt. Als Beispiel dient die Umgehung einer Fingerprinterkennung bei Personen die keine Finger haben. In manchen Systemen gibt es dafür einen super-user Status um die Authentifizierung und den Vergleichsalgorithmus zu umgehen. Der Angriff besteht darin sich diese Rechte zu verschaffen und so das System zu umgehen.

Die letzte Art der Angriff zielt auf die Datenbank zur Speicherung der Vergleichsdatensätze. Eine Möglichkeit zielt auf den Transfer der Templatedaten von der Datenbank zum Vergleichsalgorithmus. Es wird versucht den Transfer zu unterbrechen und eigene Daten stattdessen an den Vergleichsalgorithmus zu senden. Die genau entgegengesetzte Variante besteht darin beim Erstellen eines Vergleichsdatensatzes und der anschließenden Speicherung in der Datenbank, die Übertragung abzubrechen und den originalen Datensatz durch einen gefälschten auszutauschen.^[12]

Die größte Herausforderung bei der Sicherheit von biometrischen Systemen ist die Verringerung möglicher Angriffsziele und somit die Verringerung möglicher anwendbarer Methoden. Nur so kann die Zurückhaltung der Menschen zur Anwendung gesenkt werden.

Seit dem 1.November 2005 kommt in der Bundesrepublik Deutschland ein Elektronischer Reisepass (ePass) zum Einsatz, der es erlaubt biometrische Informationen auf einem integrierten Chip abzuspeichern. Dieses Dokument soll neben den Daten der Frontseite (Dokumentennummer, Name, usw.) auch ein Passbild sowie, in einer zweiten Stufe ab dem 1.November 2007, zwei Fingerabdrücke maschinenlesbar zur Verfügung stellen. Bei der Konzeption wurde unter anderem berücksichtigt, zukünftig weitere biometrische Daten, wie einen Irisscan, in den Reisepass aufnehmen zu können.

Im Folgenden wird die Technik, mit welcher der Elektronische Reisepass umgesetzt wurde beschrieben. Zudem soll im Anschluss auf Datenschutzrechtliche Bendenken eingegangen sowie politische Faktoren benannt sein, die bei der Einführung des ePasses maßgeblich waren.

Technische Umsetzung des ePass Bearbeiten

Wesentlicher Bestandteil bei der Konzeption und Umsetzung des neuen elektronischen Reisepasses war es, neben den herkömmlichen Sicherheitsmerkmalen wie Hologramme und kinegrafischen Strukturen, einen RFID-Chip (Radio Frequency Identification) einzubinden, der es ermöglicht bestimmte persönlichen Daten auszulesen. Dieser 72K Byte fassende Chip soll aus einer maximalen Entfernung von 10 cm ausgelesen werden können und beinhaltet wesentliche Informationen zum Passinhaber.

Die technische Spezifikation wurde durch die Internationale Luftfahrt Behörde ICAO (International Civil Aviation Organisation) entworfen. Dabei wurden neben verwendeten ISO-Standards, auch einige modifiziert, was eine breite Diskussion unter Sicherheitsexperten entfachte und die Einführung des ePasses immer wieder in Frage stellte.

Aufbau des RFID-Chip
Der RFID-Chip, auch Tag genannt, ist ein Smartcard Controller, mit nur einem RFID Interface. Standardmäßig werden solche Controller von Philips oder Infineon mit zwei Interfaces zur Datenkommunikation hergestellt. Auf die zweite Schnittstelle, ein PIN-Interface wurde aber aus Verschleißgründen verzichtet. Außerdem gehören zu den Bestandteilen ein Mikrocontroller und ein Speicher (EEPROM). Dieser EEPROM (Electrically Erasable Programmable Read-Only Memory) unterscheidet sich vom herkömmlichen Flash-Speicher, wie er beispielsweise im USB-Stick zu finden ist, darin, dass die Bytes nicht blockweise ausgelesen werden sondern einzeln auslesbar zur Verfügung stehen. Diese Eigenschaft macht den EEPROM aber auch ungleich teurer. Zur Ausführung der Programme, auf dem RFID kommt ein RAM (Random Access Memory) zum Einsatz. Programme, die in Assembler, C oder Java geschrieben und kompiliert wurden, können dort ausgeführt werden. Ergänzt wird der Chip letztendlich noch durch Beschleunigungshardware, welche speziell die Kryptografie unterstützen soll.

Datenstruktur
Der RFID Chip, auch als Tag bezeichnet, beinhaltet Metainformationen und Dateien. Die Dateien sind dabei in Data Groups DG1 bis DG4 aufgeteilt. In den Metainformationen befinden sich zu diesen Data Groups Angaben, vergleichbar mit denen der Verzeichnisstruktur einer Festplatte. Zudem ist in den Metainformationen ein signierter Hash, eine zusammengefasste Prüfzahl über alle Data Groups, abgelegt die für die Authentifizierung benötigt wird.

Die Organisation innerhalb der Data Groups sieht als gehaltene Informationen für die DG1 Dokumentennummer, Aussteller, Name des Inhabers sowie dessen Geburtsdatum vor. Die DG2 beinhaltet das Gesichtsbild des Inhabers im CDEFF (Common Biometric Encoding File Format) Format. DG3 und DG4 sind von der Standardbeschreibung her optional zu belegen und können den Fingerabdruck und Irisscan abspeichern. Diese Belegung soll in folgender Grafik verdeutlicht werden.

Die Beschreibungssprache der Datenstruktur setzt auf dem XML ähnlichen Standard ASN.1 auf. Die für die Konzeption verantwortliche Internationale Luftfahrtbehörde (ICAO) fügte aber noch weitere Bestandteile der Beschreibungssprache hinzu, was zur Folge hatte, dass für das Auslesen und Einlesen der Informationen spezielle Parser geschrieben werden mussten bzw. vorhandene der neuen Struktur angepasst wurden. Somit musste die Software in den Lesegeräten ebenfalls nachgerüstet werden und es können nur spezielle Lesegeräte für das Auslesen der RFID Information der Reisepässe verwendet werden.

Digitale Sicherheitsmerkmale Bearbeiten

Digitale Signaturen
Für die Prüfung der im RFID Chip gehaltenen Daten auf Authentizität und Integrität kommt eine digitale Signatur zum Einsatz. Es soll dabei sichergestellt werden, dass die personenbezogenen Daten von einer berechtigten Institution gespeichert und im Nachhinein nicht manipuliert werden können. Zudem sollen nur bestimmte Lesegeräte, die über einen Zertifikat verfügen, biometrische Daten auslesen können.

Dazu werden zwei Schlüsselpaare verwendet, bestehend aus jeweils einem privaten und öffentlichen Schlüssel. Die privaten Schlüssel werden dabei auf dem RFID Chip abgelegt. Eines der Schlüsselpaare kennzeichnet dabei das Dokument (Document Signer) und soll sicherstellen, dass nach Erfassung der Daten keine Manipulation mehr erfolgen kann. Das andere Schlüsselpaar kennzeichnet das Pass ausgebende Land (Country Signing CA) und signiert zusätzlich den Document Signer. Die jeweiligen öffentlichen Schlüssel sind im Besitz des Passherstellers bzw. der obersten Zertifizierungsstelle des Landes für Reisepässe.

Um die digitale Signatur für alle teilnehmenden Länder umzusetzen wurde eine globale Public Key Infrastructure (PKI) aufgebaut. So hat jedes Land eine separate Zertifizierungsstelle, die Country Signing Certification Authority (Country Signing CA), welche ihre eigenen Schlüsselpaare generiert und über diese bestimmen kann. Mit diesen Schlüsseln lassen sich dann, die Document Signer zertifizieren, also der Passhersteller im jeweiligen Land, wie beispielsweise in Deutschland die Bundesdruckerei. Und es soll mit dem PKI ein Verteilungssystem umgesetzt werden mit dem die teilnehmenden Länder mit Zertifikaten beliefert werden um die neuen Reisepässe mit ihren Lesegeräten auslesen zu können.

Bei diesem Prozess ist dann auch zu beachten für welchen Zeitraum die jeweiligen Schlüsselpaare gültig sind. So ist der private Schlüssel der Country Signing CA für den Passhersteller drei bis fünf Jahre gültig, der zugehörige öffentliche Schlüssel demnach 13-15 Jahre unter der Berücksichtigung, dass die Pässe 10 Jahre Gültigkeit haben. Der private Schlüssel des Document Signer soll nur eine dreimonatige Gültigkeit haben und nach Ablauf dieser Zeitspanne von der ePass herstellenden Institution ausgewechselt werden. Damit soll im Fall eines kompromittierten Schlüssels nur so wenig wie möglich Pässe betroffen sein. Der öffentliche Schlüssel hat somit eine Laufzeit von 10 Jahren und drei Monaten. Aus diesen Gültigkeitsbereichen lässt sich auch ableiten, dass mindestens jedes Quartal ein neues, erweitertes Zertifikat der Country Signing CA erstellt werden muss, um die Lesegeräte auf die neu produzierten Pässe anwendbar zu machen.

Das Verschlüsselungsverfahren für die Schlüssel ist RSA welches nach R.L. Rivest, A. Shamir und L. Aldeman benannt wurde. Weitere Verschlüsselungsverfahren die in der Spezifikation zugelassen sind, sind DSA (Digital Signature Algorithm) und ECDSA (Elliptic Curve Digital Signature Algorithm). Die vorgegebene Schlüssellänge für den RSA Algorithmus angewendet auf den Country Signer ist 3072 Bit und auf den Document Signer ist 2048 Bit.

Zugriffsschutz
Die verschiedenen Techniken zur Umsetzung des Zugriffsschutzes sollen ein unauthorisiertes Auslesen des RFID Chips sowie das Abhören der Kommunikation zwischen ePass und Lesegerät verhindern. Im Folgenden sind in der Spezifikation vorgesehenen Möglichkeiten des Zuggriffschutzes erläutert, die aber nicht alle beim deutschen Reisepass Anwendung finden.

BAC (Basic Access Controll)
Informationen wie Passnummer, Geburtsdatum und das Ablaufdatum es Reisepasses sind auf der Machine Readable Zone (MRZ), der Datenseite des Reispasses, gespeichert und optisch über ein Lesegerät auslesbar. Einen auf Grundlage dieser Daten berechneten Zugriffsschlüssel berechtigt das Lesegerät nun auf Daten des Reisepasses zuzugreifen. Die sich ergebende Schlüsselstärke von etwa 56 Bit entspricht etwa einem normalen DES-Schlüssel.

EAC (Extended Access Control)
Dieser Zugriffsschutz soll für das Auslesen von besonders sensiblen Daten wie Finger- Abdrücke verwendet werden. Hier wird ein Public Key Authentifizierungsmechanismus für das Lesegerät verwendet. Dafür muss das Lesegerät mit eigenem Schlüsselpaar und einem vom RFID Chip verifizierbaren Zertifikat ausgestattet sein. In einem solchen Zertifikat sind die Rechte des Lesegerätes vereinbart. Somit kann das Land in dem der Reisepass ausgestellt wurde sicherstellen, dass nur Länder Daten auslesen können, für die es auch eine Berechtigung gibt.

Verschlüsselung
Nach der Authentifizierung mit BAC wird der Datenverkehr zwischen Lesegerät und RFID Chip mittels 112-Bit-Triple-DES verschlüsselt. Dieser Schlüssel wird innerhalb des Basic Access Control Protokolls aufgebaut. Für diesen dynamischen Sitzungsschlüssel werden zwei Schlüsselhälften (KReader und KChip) mit dem Zugriffsschlüssel übertragen. Dieser Zugriffschlüssel hat eine Stärke von 56 Bit (siehe BAC). Somit kann dieser Schlüssel sicherlich nach einer Aufzeichnung der Verschlüsselten Kommunikation geknackt werden, doch wird es sich um entschlüsselte Daten des Datengruppenbereichs 1 und 2 handeln, die keine biometrischen Angaben enthalten.

Kritik am ePass Bearbeiten

Ursprüngliche kam der ePass mit biometrischen Daten auf Druck der USA bereits 2003, bedingt durch die Geschehnisse des 11. September, ins Gespräch. Der US Kongress wollte Bürger aus Visa-Waiver-Staaten, deren Pässe keine Fingerabdrücke oder Iris-Muster enthalten, bereits ab dem Herbst 2004 nicht mehr einreisen lassen. Diese Frist wurde dann aber seitens der USA mehrere Male verlegt und schließlich auf den 1.Mai 2006 fixiert, weil viele EU-Staaten, darunter auch Deutschland, bedenken hinsichtlich der organisatorischen und technischen Umsetzung anmeldeten. Zudem war nicht klar ob Fingerabdruck oder Iris Scan als biometrisches Merkmal für den ePass verwendet werden sollte. Der Rat der Europäischen Union beschloss dann aber letztendlich am 13. Dezember 2004 den Pass mit biometrischen Daten einzuführen.

Durch den Zwang zu Pässen mit biometrischen Daten, der seitens der USA auferlegt wurde und der schnellen Reaktion der EU, meldeten sich viele Kritiker zu Wort, die die Vorgehensweise der Europäischen Union und der Bundesrepublik sowohl aus Datschenschutzrechtlichen als auch aus Technischen Aspekten heraus als übereilt und nicht ausreichend geplant beanstandeten.

Einer der Hauptkritikpunkte war die eingesetzte, unausgereifte und nicht standardisierte Technologie. So wurde bemängelt, dass das Zugriffsicherheitsverfahren Basic Access Controll nicht für den Schutz vor unbefugtem Auslesen ausreicht. Wie schon im vorangegangenen Kapitel erwähnt, braucht das Lesegerät einen geheimen Zugriffsschlüssel für das Auslesen des Reisepasses. Dieser Schlüssel setzt sich aus den Informationen der Mashine Readable Zone (MRZ) zusammen. Wer immer Zugriff auf die MRZ hatte (Grenzposten eines Ein- oder Ausreiselandes, Mobilfunkverkäufer oder Bankangestellte) und ausgelesene Informationen speicherte, kann den Reisepass erneut auslesen sobald er in der nähe eines (versteckten) Lesegerätes ist. Auf diese Weise könnten nicht nur Bewegungsprofile erstellt werden sondern auch personenspezifische Bomben entwickelt werden, die genau dann explodieren, wenn sich der Passinhaber in der Nähe befindet.

Ein weiterer Aspekt, der den Datenschutz betrifft, kritisiert, dass die Erfassung und Speicherung von biometrischen Merkmalen außerhalb des Verfügungsbereichs (bspw. bei der Einreise in eine andere Nation) erhöhte Sicherheits- und Datenschutzrisiken für den Passinhaber bedeuten. So gibt es an dieser Stelle für die Bundesrepublik keine Möglichkeit den Aufbau von personenbezogenen Biometrie-Datenbanken durch fremde Länder (etwa der USA) zu überwachen oder zu verhindern. Biometrische Daten von Bundesbürgern können so von den USA in einer zentralen Institution gespeichert und anderen Institutionen zur Verfügung gestellt werden ohne dass der Passbesitzer seine Einwilligung geben muss oder etwa erfährt zu welchem Zweck seine Daten ausgewertet oder übermittelt werden, was nach deutschem Recht eine klare Missachtung des Bundesdatenschutzgesetztes ist.

So wurde der politischen Forderung vieler Kritiker nach einer allenfalls sehr behutsamen und umsichtigen Einführung des Passes mit Biometrischen Daten nicht konsequent nachgekommen.

Noch vor ein paar Jahren war das Thema Biometrie eher eine Randerscheinung. Es wurde geforscht, und alle Jahre wieder die Einsatzreife in 2 bis 4 Jahren in Aussicht gestellt. Das wäre vermutlich auch so weitergegangen, hätten die Anschläge des 11. Septembers, nicht zu einem ungeahnten Hype um Biometrie geführt. Es wird mehr geforscht und forsch werden Fakten gesetzt, indem biometrische Systeme durch Gesetze eingeführt werden. Der Wunsch der Politik, sich durch Aktionismus zu qualifizieren gehen mit den Interessen der Wirtschaft einher, solche Systeme zu verkaufen oder durch den Einsatz solcher Systeme Personal einzusparen. Wenig vertrauenerweckend ist dabei, wenn bei der Ausschreibung solcher System noch nicht einmal die Überwindungssicherheit nachgewiesen werden muß. ^[17] Da verwundert es nicht, daß hinsichtlich der Einsatzreife das Publikum nach wie vor vortröstst wird: „Mindestens zwei Jahre werde es dauern, bis die Gesichtserkennung wenigstens in Situationen funktioniere, in denen sich Verdächtige gar nicht erst die Mühe machen, dem Blick der Kameras zu entgehen.“ ^[18]

Eine breite gesellschaftliche Dabebatte bei der Einführung selbst von solchen Systemen, die die Bevölkerung als ganzes betreffen, bleibt aus. Die Debatte um die Einführung des ePasses blieb weit hinter der zurück, die Ende der 1980er Jahre um die Einführung des maschinenlesbaren Personalausweises geführt wurde. Dies verwundert, denn heute ist das Potential zum Mißbrauch durch die digitale Vernetzung der Welt ungleich größer als noch vor 20 Jahren.

Das Mißverständnis um Biometrie beginnt bereits damit, daß biometrische Verfahren bei der Erkennung keinesfalls ein eindeutiges „richtig“ oder oder „falsch“ liefern, sondern immer nur ein „entschiedenes Vielleicht“.^[19] Und um ein „entschiedenes Vielleicht“ und nicht nur ein „hmm, Vielleicht?“ zu erreichen, begibt man sich sehr weit in das Dilemma der biometrischen Erkennungsverfahen: Bei einem strengen Vergleich kommt es zwar weniger häufig zu einem fälschlichen Erkennen, aber eben auch zu einem gehäuften ablehnen. Das Stichwort ist in diesem Fall „Benutzerakzeptanz“, denn es besteht ein Zusammenhang zwischen der Kooperationsbereitschaft der Nutzer und der Erkennungsleistung des System. Das Problem aber so zu reduzieren:

„In realen Einsatzumgebungen ist aufgrund der zu erwartenden erhöhten Kooperationsbereitschaft mit geringeren Rückweisungsraten zu rechnen, da hier in aller Regel davon auszugehen ist, dass die Nutzer am Erfolg der Verifikation ein unmittelbares Interesse haben.“^[20]

greift aber zu kurz. Im Tagesbetrieb verschmutzte und verschmierte Fingabdruck-Scanner oder die wiederholte Fehlerkennung am Abflugterminal eines Flughafens dürften bei den wenigsten Menschen keinen negativen Einfluss auf die Kooperationsbereitschaft mit der Technik haben. Hinzu kommt, daß die Erkennungsrate direkt auch mit der Häufigkeit zusammenhängt, wie oft eine Person durch ein System erkannt werden soll. Der Wenig-Flieger hat hier gegenüber dem Viel-Flieger das Nachsehen.

Unklar bleibt oft auch das Potential zum Maßbrauch, das Biometrie inhärent ist. Dies steht im Gegensatz dazu womit Biometrie propagiert wird: Das Allheilmittel für die zweifelsfreie Identifikation zu sein. In diesem Irrglauben liegt einiges an Sprengkraft. Wer sich der biometrischen Merkmale einer anderen Person verschafft, kann die Identität dieser Person übernehmen. Dies Problem zu ignorieren und weiterhin die Zweifelsfreiheit der Biometrischen Erkennung zu behaupten, arbeitet dabei unmittelbar den Tätern zu. In wie weit dabei die Beweislast für einen solchen Identitätsdiebstahl auf das Opfer abgewälzt wird, muß die Zukunft zeigen.

Gilt es bisher nur sich hinsichtlich Passwörtern oder Kreditkartennummern bedeckt zu halten, so wird dies in Zukunft wohl auch für Biometrische Merkmale gelten: „Wo habe ich heute überall Fingerabdrücke hinterlassen?“ „Wer hat mich heute photographiert?“ sind in diesem Zusammenhang wohl die Fragen der Zukunft. Ähnliches gilt auch für die Merkmalsdatensätze. Sie können durch Nachlässigkeit oder kriminelles Handeln in Umlauf gebracht und mißbraucht werden. Daß biometrische Merkmale auf Ausweisdokumenten für fremde Staaten eine preiswerte Möglichkeit sind unkontrollierte, personenbezogene Biometrie-Datenbanken aufzubauen, soll nur am Rande erwähnt werden. Wie dabei der Mißbrauch verhindert werden kann, ist eine Diskussion für sich. Es ist eine Paradoxe Situation: Die Bevölkerung soll Biometrie vorbehaltlos akzeptieren, anderseits sollte die Devise sein: „Sei sparsam mit Deinen Merkmalen.“ In der elektronisch vernetzten Welt gibt es keine Möglichkeit, einen einmal „freigesetzten“ Merkmalsdatensatz wieder unter Kontrolle zu bekommen. Biometrie stellt auch den Datenschutz vor vielfältige neue Herausforderungen.

Da sich biometrische Systeme auch zur passiven Identifizierung eignen, können sie auch vorzüglich zur Überwachung von Menschen eingesetzt werden. So können nicht nur gesuchte Personen in einer Menschenmenge identifiziert werden, sondern auch Bewegungsprofile erstellt werden. Sind in dieser Hinsicht den Ermittlungsbehörden noch Beschränkungen auferlegt, so gilt dies für die Wirtschaft in einem weit geringerem Maße, vor allem, da es an tatsächlicher effektiver Kontrolle fehlt. Bewegungsprofile die mit den Überwachungskameras erzeugt werden sind zusammen mit anderen biometrischen Daten, zum Beispiel einem Fingerabdruck, sowie den sonstigen Kundendaten eine für die Ermittlungsbehörden interessante Datensammlung.

Bisher wurde die Einführung von Biometrie immer damit gefordert, daß es möglich sein muß, Identitäten zweifelsfrei zu klären. Dabei gibt es auch gesellschaftlich gewünschte und akzeptierte Mehrfachidentitäten, zum Beispiel bei verdeckten Ermittlern oder bei Personen in Zeugenschutzprogrammen.^[21] Solche Mehrfachidentitäten können vielleicht auf der Ebene der biometrischen Systeme des Staates noch zufriedenstellend verwaltet werden. Zweifelhaft bleibt dies aber in Bezug auf fremde Staaten und vor allem auch auf mögliche biometrische Datensammlungen der Wirtschaft: Einmal im Supermarkt mit „seinem gutem Daumen bezahlt” und der verdeckte Ermittler ist enttarnt.

Bei der Betrachtung der Biometrie geht es aber nicht nur darum, sie zu diskreditieren. Der Einsatz von Biometrie hat unbestreitbar Vorteile, wie „bequeme Benutzung bei moderater (Un)Sicherheit“.^[21] Um die Vorteile nutzen zu können, sollte Biometrie daher sparsam genutzt werden. Dies setzt aber voraus, daß es eine öffentliche Debatte zu dem Thema gibt, in der auf die Risiken und die tatsächliche Leistungsfähigkeit Bezug genommen wird, und nicht das, was die Technik spätestens zwei Jahren zu leisten vermag.

1. ↑ ^{1,0 1,1} Nolde Veronika, Leger (2002): Biometrische Verfahren, Fachverlag Deutscher Wirtschaftsdienst GmbH, Köln
2. ↑ BSI-Studie: www.bsi.de/fachthem/biometrie/einfuehrung.htm
3. ↑ Gesichtserkennung am Flughafen Zürich: http://www.ds.zh.ch/internet/ds/de/informationsstelle/news/News_2006/318farce.html
4. ↑ ^{4,0 4,1} Bromba, Manfred U.A.:Bioidentifikation http://www.bromba.com/faq/biofaqd.htm
5. ↑ BSI-Studie: Bio-Fingerprint http://www.bitkom.org/de/themen_gremien/36861_27046.aspx
6. ↑ ^{6,0 6,1} Elena Filatova und Roman Keller: Iriserkennung: http://www2.informatik.hu-berlin.de/Forschung_Lehre/ algorithmenII/Lehre/SS2004/Biometrie/03Iris/iris.pdf
7. ↑ John Daugman:How Iris Recognition Works http://www.cl.cam.ac.uk/users/jgd1000/irisrecog.pdf
8. ↑ Wikipedia-Retina:http://de.wikipedia.org/wiki/Retina
9. ↑ Treatment of Retinal Diseases at Mayo Clinic http://www.mayoclinic.org/retinal-diseases/images/retina.jpg
10. ↑ Tobias Schwarzkopf und Andreas Mayer:Verfahren zur biometrischen Identifikation:http://www.rz.rwth-aachen.de/mata/downloads/seminar_dv/2003_04/Biometrie_Skript.pdf
11. ↑ ^{11,0 11,1} BSI: Gesichtserkennung http://www.bsi.de/fachthem/biometrie/dokumente/Gesichtserkennung.pdf
12. ↑ ^{12,0 12,1 12,2 12,3 12,4} Ruud M. Bolle, Jonathan H. Connell, Sharath Pankanti, Nalini K.Ratha, Andrew W. Senior Guide to Biometrics, Springer-Verlag New York Inc. ISBN 0-387-40089-3
13. ↑ Braun, Sven; http://www.biometrieinfo.de/content/view/22/38/index.php?id=2
14. ↑ Borchers, Detleff: Foto-Fahndung im Mainzer Hauptbahnhof http://www.heise.de/newsticker/meldung/79262
15. ↑ c't: Versuch mit elektronischer Passbild-Überprüfung gescheitert http://www.heise.de/newsticker/meldung/35464
16. ↑ Bromba in: Borchers, Detlef; Biometrie: die Praxis ruft!; http://www.heise.de/newsticker/meldung/44593
17. ↑ c't; Schily hält biometrische Grenzkontrollen in Frankfurt für sicher http://www.heise.de/newsticker/meldung/46004
18. ↑ Weimer, Ulrike; Augen des Gesetzes; Die Zeit 2007/5; http://www.zeit.de/2007/05/T-Biometrie
19. ↑ Fox, Dirk, Entzaubert, Datenschutz und Datensicherheit 26 450 (2002)
20. ↑ BSI, Studie: Untersuchung der Leistungsfähigkeit von biometrischen Verifikationssystemen -- BioP II Abschlussbericht http://www.bsi.bund.de/literat/studien/biop/biopabschluss2.pdf
21. ↑ ^{21,0 21,1} Pfitzmann, Andreas; Biometrie -- wie einsetzen und wie keinesfalls; Informatik-Spekrtrum 2006/29