Sicherheit ist bekanntlich ein absolut relativer Begriff. Weil gemäß Murphys Gesetz alles, was schiefgehen kann, auch irgendwann schiefgehen wird, war es nur eine Frage der Zeit, bis man von einem Datenleck wie jenem bei der koreanischen Sicherheitsfirma Suprema hören würde. Sofern die mit Meldungen über Datenskandale bestens saturierte Öffentlichkeit davon überhaupt Notiz nimmt. Indes: sie sollte es. Denn der neueste spektakuläre Vorfall rund um im Netz entdeckte biometrische Datensätze – 27,8 Millionen an der Zahl – bestätigt einmal mehr einen verhängnisvollen Trend …
Was war geschehen? Israelische Sicherheitsforscher fanden eine Datenbank mit Fingerabdrücken und anderen biometrischen Daten des – eigenen Angaben zufolge – in Europa marktführenden Anbieters von biometrischen Zutrittskontrollsystemen. Diese ließ sich im Web frei abrufen [1]. Dem Vernehmen nach wird das zugehörige System nicht nur von Banken genutzt, sondern pikanterweise sogar von der britischen Polizei sowie von mehreren Verteidigungsunternehmen.
Ein riesiges Fragezeichen bei der Sicherheit
Erst recht hahnebüchen wird die Affäre dadurch, dass – wie es in dem Bericht heißt – die vollständigen biometrischen Daten anstatt als so genannter Hash, der sich nicht zurückentwickeln lässt, unverschlüsselt und offen gespeichert waren. Es soll deshalb möglich gewesen sein, sie für die missbräuchliche Verwendung beliebig zu kopieren [2].
Psychologisch gesehen sind Skandale wie dieser äußerst problematisch. Ein unterschwellig vorhandenes, allgemeines Gefühl der Verunsicherung in der Bevölkerung wird so in Zeiten des Umbruchs noch verstärkt. Denn traditionelle Verfahren zum Identitätsnachweis wie Persönliche Identifikationsnummer (PIN) oder Passwort gelten längst als unsicher, da sie sich leicht durch Cyber-Kriminelle aushebeln lassen. Nun jedoch muss die Öffentlichkeit den Eindruck gewinnen, dass hinter die versprochene deutlich höhere Sicherheit der neuen biometrischen Verfahren ein großes Fragezeichen zu machen ist …
Mehrschichtiger Ansatz für den Identitätsnachweis
Wie sicher ist der biometrische Identitätsnachweis wirklich? Eine interessante Stellungnahme hierzu und zum Thema Betrugsprävention kommt von dem Unternehmen Nuance Communications. Nuance ist Marktführer im Bereich des dialogorientierten Einsatzes von KI und liefert für Branchen wie Handel, Telekommunikation, Automotive, Financial Services und Gesundheitswesen Lösungen, die die menschliche Sprache verstehen, analysieren und darauf reagieren können.
Bei Nuance ist man sich vollkommen im Klaren darüber, dass die Idee hundertprozentiger Sicherheit gegen Betrug unrealistisch ist. Um stattdessen das Risiko weitestgehend zu minimieren, wird ein mehrschichtiger Ansatz zur Authentifizierung propagiert, der mehrere Faktoren miteinander verbindet.
Verhaltensbiometrie und Kontextfaktoren
Je weiter sich die Biometrie für Authentifizierungszwecke verbreitet, desto stärker konzentrieren sich Kriminelle darauf, diese Sicherheitsverfahren zu umgehen. Die neuesten Verfahren ermöglichen daher zusätzlich die Erfassung von Verhaltensbiometrie und Kontextfaktoren. Das können beispielsweise Informationen zum Telefonmodell eines Anrufers sein. Über die bloße Stimmbiometrie geht das weit hinaus. So wird es für Betrüger sehr schwierig, die Identität einer legitimen Person nachzuahmen. Zudem werden neue Technologien wie künstliche Intelligenz (KI) laufend leistungsfähiger. Mit ihrer Hilfe lassen sich Betrugsmuster frühzeitig erkennen.
Während mit dem technologischen Fortschritt die Methoden von Betrügern raffinierter werden, arbeitet man also zum Glück auch intensiv an innovativen Strategien für die Betrugsprävention. Unternehmen, die hiervon profitieren wollen, sollten laut Nuance allerdings sorgfältig untersuchen, mit wem sie zusammenarbeiten. Wichtig ist in jedem Fall – das eingangs erwähnte Beispiel aus Korea beweist es – dass geeignete Maßnahmen zum Schutz der grundlegenden Daten getroffen werden, auf denen der Identitätsnachweis aufsetzt.
Weitere Informationen:
Nuance Communications, Inc.
www.nuance.com
Quellen:
[1] https://www.theguardian.com/technology/2019/aug/14/major-breach-found-in-biometrics-system-used-by-banks-uk-police-and-defence-firms
[2] https://www.heise.de/security/meldung/Biometriedatenbank-mit-27-8-Millionen-Eintraegen-ungesichert-im-Netz-4496575.html
