Biometrische Authentifizierung: Fünf Mythen benannt, widerlegt und ausgeräumt

Das Gesicht einer jungen Frau wird mit biometrischer Technologie gescannt
Bild: HQuality Video | Getty Images

Kolportierte Mythen halten sich hartnäckig – unser Gastautor Hagen Pollmüller stellt fünf der verbreitetsten Mythen über Biometrie auf den Prüfstand eines Faktenchecks.

Online Banking ist mittlerweile zu einem essenziellen Bestandteil des Finanzmanagements vieler Deutschen geworden. So ergab eine Studie von PWC vom Juli 2020, dass etwa drei Viertel aller privaten Bankgeschäfte in Deutschland online abgewickelt werden, wobei jeder dritte Bundesbürger seine Bankgeschäfte zu 100 Prozent online erledigt. Einer Umfrage der Bitkom vom Juni 2021 zufolge hat die Pandemie diesen Trend sogar verstärkt und die Zahl der Online Banking-Nutzer auf 80 Prozent ansteigen lassen. Ausschlaggebend sei dabei nach Angaben der Befragten weniger die Marke der Bank als die Qualität der Online App, die vor allem anhand von Funktionalität und Sicherheit bewertet wird.

Die Banken versuchen diesen Qualitätsanforderungen nachzukommen, indem sie beispielsweise neue Funktionen wie die biometrische Authentifizierung implementieren. Mit 29 Prozent nutzen jedoch noch relativ wenige Deutsche das Verfahren zur sicheren Abwicklung ihrer digitalen Banking-Transaktionen. Zum Vergleich: In einer ähnlichen Umfrage gaben 65 Prozent der US-Amerikaner an, ihrer Bank biometrische Daten zur Verfügung zu stellen. Obwohl Verbraucher vermehrt biometrische Verfahren im digitalen Banking akzeptieren, haben viele oftmals noch ein veraltetes oder auch grundlegend falsches Bild davon, wie Biometrische Authentifizierung funktioniert und was damit möglich ist.

Im Folgenden betrachten wir fünf der verbreitetsten Mythen über Biometrie und stellen sie der Realität gegenüber – Tatsachen und Fakten, die sowohl Finanzinstitute als auch Verbraucher kennen sollten: 

Mythos 1:

Gesichts- und Fingerabdruckerkennung können einfach durch einen statischen Fingerabdruck oder ein Foto getäuscht werden.

Realität: Die heutigen hochentwickelten Systeme zur biometrischen Authentifizierung beinhalten die Fähigkeit zur Lebenderkennung, um Angriffe oder Täuschungen abzuwehren – dazu gehören 3D-gedruckte Modelle, Masken, Bilder oder Videos. Die Lebenderkennung kann aktiv durchgeführt werden – indem der Nutzer blinzeln oder seinen Kopf drehen soll – oder passiv, wobei Algorithmen hinter den Kulissen aktiv sind. Diese Algorithmen analysieren biometrische Merkmale auf Indikatoren hin, die zeigen, dass sie nicht von einer echten Person stammen. Beispielsweise gibt es einen Algorithmus, der nach Hinweisen von Papier, digitalen Screens oder Ausschnitten in einer 3D-gedruckten Maske sucht.

Aktive Methoden zur Lebendigkeitskennung sind sichtbarer und für Angreifer leichter einzusehen und zu umgehen. Die passive Lebendigkeitskennung hingegen ist schneller, weniger intrusiv und beinhaltet fortgeschrittenere Methoden, um eine tatsächliche Präsenz festzustellen. Bei sensiblen Fallbeispielen wie mobilem Banking ist eine Drittparteilösung, die mehrere Methoden zur Betrugsbekämpfung und Lebendigkeitskennung umfasst, eine ideale Option.

Mythos 2:

Biometrische Authentifizierung ist weniger vertrauenswürdig als Anmeldedaten.

Realität: Biometrische Authentifizierung kann ein höheres Mass an Vertrauen schaffen als Methoden, die auf Anmeldedaten basieren, weil biometrische Daten nicht einfach so geteilt werden können. Traditionelle Authentifizierungsmethoden wie Passwörter, PINs und andere persönliche Informationen zur Identifizierung können weitergegeben werden. Oder sie können auch, im Rahmen von komplexen Datenschutzverletzungen zum Verkauf der Daten im Darknet Web, geleakt oder gestohlen werden. Darüber hinaus bietet die biometrische Authentifizierung mit aktiver und passiver Lebenderkennung und Anti-Betrug-Technologie zusätzliches Vertrauen, da der Fingerabdruck, das Gesicht oder ein anderes biometrisches Merkmal live und in Verbindung mit dem echten Individuum gezeigt wird.

Mythos 3:

Biometrische Authentifizierung ist eine Datenschutzverletzung.

Realität: Technologien zu Gesichtsvergleich und -erkennung, die in mobilen Anwendungen eingesetzt werden, sind auf einem Einverständnis basierende Fallbeispiele, bei denen ein Verbraucher explizit ein System nutzt, mit dem er sich einfach bei seinem Konto anmelden kann oder eine zusätzliche Sicherheitsebene aktiviert. Dieses System unterscheidet sich von Gesichtserkennungstechnologien, über die immer wieder in den Nachrichten berichtet wird und die sich dadurch auszeichnen, dass sie oft in öffentlichen Räumen eingesetzt werden und Menschen nicht nach ihrer Zustimmung fragen, gefilmt zu werden.

Und noch viel wichtiger: bei der 1:1-Gesichtserkennung werden Fotos nicht zur Identifizierung gespeichert, sondern es wird eine mathematische Repräsentation des Gesichts erstellt. Diese Repräsentation wird zum Vergleich gespeichert und abgerufen, wenn der Benutzer sich anmeldet. Die Daten sind üblicherweise verschlüsselt und für einen Angreifer quasi nutzlos.

Die biometrische Authentifizierung verlässt sich nicht auf die Geheimhaltung biometrischer Merkmale, sondern auf die Schwierigkeit der Nachahmung einer lebenden Person. Am wichtigsten ist die effektive Betrugserkennung, die in vielen biometrischen Systemen fehlen kann.

Mythos 4:

Biometrie ist auf lange Sicht nicht praktikabel, weil Technologien wie Gesichtserkennung oder Fingerabdruckscans dann nicht mehr funktionieren, wenn eine Person älter wird und sich ihr Aussehen verändert.

Realität: Biometrische Merkmale wie die menschliche Iris bleiben im Ablauf der Zeit relativ gleich. Das Gesicht oder die Stimme hingegen können sich leicht verändern. Die Zeitspanne, in der bedeutende Änderungen an individuellen Merkmalen auftreten, spielt für die meisten Authentifizierungs-Anwendungen keine Rolle. In der Regel werden die meisten Verbraucher regelmässig authentifiziert, wobei kleine Änderungen aufgezeichnet und in der Anwendung abgespeichert werden.

Manche Lösungen zur biometrischen Authentifizierung sind dynamisch und aktualisieren regelmässig die hinterlegte Fingerabdruckvorlage des Verbrauchers, damit Änderungen zeitgleich zum Auftreten aufgezeichnet werden. Benutzer können oft auch einen zweiten Fingerabdruck hinterlegen, falls der erste nicht funktioniert. Ein mehrschichtiger Sicherheitsansatz mit mehreren Authentifikationsfaktoren ist der beste Weg.

Mythos 5:

Biometrie funktioniert nur dann, wenn der Nutzer bereits bekannt ist.

Realität: Es kann verhaltensbasierte Biometrie eingesetzt werden, um die Sicherheit zu verstärken und Betrug zu bekämpfen. Verhaltensbasierte Biometrie analysiert, wie eine Person mit dem Mobilgerät interagiert – auch dann, wenn der Benutzer der Organisation noch nicht bekannt ist. Bei einem unbekannten Benutzer, der zum Beispiel ein neues Bankkonto eröffnet, kann verhaltensbasierte Biometrie eingesetzt werden, um das Verhalten des Verbrauchers mit dem typischen Verhalten der allgemeinen Bevölkerung zu vergleichen. Dadurch kann die Wahrscheinlichkeit evaluiert werden, dass ein neuer Benutzer sich wie ein bereits verifizierter Benutzer verhält. Je höher die Ähnlichkeit, desto weniger muss sich die Organisation Sorgen über die Identität des Benutzers oder seine Intention machen. Besteht hingegen wenig Ähnlichkeit zwischen dem Verhalten eines Verbrauchers und dem Vergleichspunkt ähnlicher Personen, kommen zusätzliche Ebenen der Risiko- und Betrugserkennung zum Einsatz. 

Die Biometrie ist eine grundlegende Technologie für die Zukunft des digitalen Bankings. Sie kann jedoch, wie jede Technologie, die man noch nicht kennt, bedrohlich wirken. Umso wichtiger ist es, dass Organisationen wie Finanzinstitute mit diesen Mythen aufräumen und ihren Kunden dabei helfen, diese Technologie zu verstehen. Nur so können sie diese selbstbewusst und mit ruhigem Gewissen bei wichtigen digitalen Transaktionen nutzen.

Der Autor: Hagen Pollmüller

Hagen Pollmüller, DACH Regional Strategy Director bei OneSpan

Hagen Pollmüller arbeitet als DACH Regional Strategy Director bei OneSpan eng mit Top-Banken im Bereich Online & Mobile Banking zusammen, um deren Kunden-Interaktionen sicher und effizient zu machen.

Als Spezialist in den Themen intelligenter Betrugsabwehr und Automatisierung, verfügt Hagen Pollmüller über langjährige Erfahrung in den Bereichen IT, Security sowie Governance und Compliance.