Die Sparkassenorganisation hält Biometrie im Bankenumfeld frühestens in zehn Jahren für einsatzreif - die Probleme sind prototypisch für große Anwendungsszenarien
Es gibt wohl kaum einen Geldkarten-Nutzer, der sich nicht irgendwo griffbereit - trotz aller Warnungen der Banken - seine Geheimzahl notiert hat. Zu groß ist die Angst, die PIN doch einmal zu vergessen. Um eine höhere Sicherheit und eine größere Benutzerfreundlichkeit zu schaffen, ist daher seit langem die Verwendung biometrischer Merkmale zur Kundenidentifizierung am Geldautomaten im Gespräch. Doch die Sparkassenorganisation erteilte dem auf charakteristischen Körpermerkmalen basierenden Prüfverfahren für die nächste Zukunft eine klare Absage. Entgegen aller Hoffnungen der Lösungsanbieter macht eben auch der vielmals als "Rettungsanker" beschworene 11. September die Technik nicht besser.
"Bitte geben Sie Ihre PIN ein!" Die unabdingliche Aufforderung hat schon manchen Geldbedürftigen in Schweiß gebracht, der aufgrund der durchs Internet intensivierten Passwort- und Geheimzahlinflation den Überblick und die Erinnerung verlor. Den Weg zu den Scheinen vereinfachen und Risiken im Umgang mit PINs verkleinern würde eine Kundenerkennung am Geldautomaten per Fingerabdruck oder Augenaufschlag.
Zahlreiche Geldinstitute in den USA und Europa wie die Bank United of Texas oder die Dresdner Bank experimentieren daher seit Ende der Neunziger mit der Einführung biometrischer Systeme im Terminalbereich. Verbraucher- und Datenschützer stehen der Einführung der neuen Technik am Geldausgabeautomaten bei geeigneter technischer und organisatorischer Gestaltung positiv gegenüber. Die große Chance für die Konsumenten sieht etwa Astrid Albrecht, Referentin bei der Arbeitsgemeinschaft der Verbraucherverbände und Vorsitzende der Arbeitsgruppe "Biometrische Identifikationsverfahren" beim Verein TeleTrust in der "Entlastung im Bereich der Sorgfaltspflicht, die momentan bei der Verwendung der ec-Karte auf sie abgewälzt wird". Bei biometrischen Verfahren müssten die Verbraucher schließlich nichts geheim halten. Ihr persönliches Merkmal, das die Authentifizierung ermöglicht, haben sie ja immer dabei.
Da die zur Identifizierung genutzten physiologischen Charakteristika nur schwer gestohlen oder kopiert werden können, würde auch Christoph Thiel, Referent in der Sicherheitskompetenzabteilung des Informatikzentrums der Sparkassenorganisation ( SIZ), den Einzug der Biometrie in den Bankenalltag begrüßen. Erreichbar wäre damit "bei ausreichender Reife der Systeme eine neue Stufe gegenüber den traditionellen Sicherheitstechniken". Doch bis dahin ist es dem Branchenkenner zufolge noch ein weiter Weg. "Optimistisch geschätzt", schockierte Thiel die auf der OmniCard (www.omnicard.de/) in Berlin versammelte Chipkarten-Industrie, "ist mit einem flächendeckenden Einsatz der Biometrie an Geldautomaten in den nächsten zehn Jahren nicht zu rechnen".
Bedrohungsszenarien
Als einen der wichtigsten Gründe für seine skeptische Prognose nennt Thiel die zahlreichen zusätzlichen Angriffsmöglichkeiten, die biometrische Systeme heutzutage mit sich bringen und die Hackerherzen höher schlagen lassen. In seinen Bedrohungsszenarien wimmelt es nur so von abgehörten, kopierten oder unberechtigt gespeicherten biometrischen Datenmerkmalen oder ihren in Referenzdateien auf zentralen Systemen oder Chipkarten abgelegten Pendants. Derlei Informationen lassen sich zur Täuschung der Sensoren am Bankautomaten theoretisch wieder "einspielen" (Replay-Attacke), was das Berechtigungsverfahren aushebelt.
Zahlreiche Feldversuche wie im Rahmen des von TeleTrust geleiteten Projekts BioTrust hätten zudem gezeigt, dass die Fehlerraten aller marktgängiger Systeme zwischen zwei und 20 Prozent liegen. Für sicherheitsrelevante Anwendungen mit einer größeren und offenen Benutzergruppe reiche der technische Reifegrad daher beileibe nicht aus. Um ein günstiges Kosten-Nutzen-Verhältnis zu erzielen und um bei den Anwendern psychologische Hemmungen zu vermeiden, kämen für Finanzinstitute hauptsächlich Fingerabdruck-Verfahren in Frage. Die lassen Marktforschern zufolge allerdings im Gegensatz zu den teureren Iris- oder Retina-Scans die geforderte Genauigkeit in der Mustererkennung vermissen.
An der PIN führt kein Weg vorbei
Selbst wenn die Systeme in Zukunft leistungsfähiger werden und die Hersteller über die Schaffung der bislang fehlenden offenen Standards Schnittstellen-Kompatibilität schaffen und so die Preise drücken, ist damit laut Thiel die gute alte PIN aber immer noch nicht Geschichte: "Es ist immer zu berücksichtigen", widerlegt der Techniker eines der Hauptargumente der Körpermerkmalfraktion, "dass 100-prozentige Ja-Nein-Entscheidungen ohne Fehlerraten mit biometrischen Lösungen nicht erreichbar sind." Einzelne Kunden ließen sich zudem überhaupt nicht anhand einzelner biometrischer Merkmale erfassen. Als Notfallinstrument und zur Ersatzauthentifizierung sei die PIN daher auch in Zukunft immer erforderlich.
Auf Banken und Sparkassen, die sich trotz der momentanen Probleme mittelfristig für den Einsatz biometrischer Verfahren erwärmen, kommt nach Thiel zudem ein kleines organisatorisches Horrorszenario zu. Das fängt bei der Aufnahme der Referenzmuster an, die nur durch besonders geschultes - und damit teures - Personal zu leisten sei. Auch das Aufbringen der Merkmale auf die Chipkarte dürfe nur unter höchsten Sicherheitsvorkehrungen erfolgen. Ferner müssten die Sensoren im Geldautomaten so konstruiert sein, dass das Anfertigungen von Fälschungen biometrischer Merkmale eine mit entsprechender krimineller Energie und Finanzkraft ausgestattete Täterklasse erfordere. Auch eine Lebenderkennung sei zu integrieren, um ein Austricksen der Prüfeinrichtung durch abgeschnittene Daumen oder Knetfinger auszuschließen.
Verbraucher- und Datenschützer stellen hohe Anforderungen
Dazu kommen des Weiteren eine ganze Reihe von Anforderungen aus Kreisen der Verbraucherschützer. Demnach sollten die Geldinstitute unter anderem durch entsprechende Geschäftsbedingungen das Risiko durch Missbrauchsfälle durch Dritte auf sich nehmen und nicht zu Lasten der Bankkunden ausgestalten. Dem Kunden dürfte die Haftung selbst bei grob fahrlässigem Verhalten nicht aufgebürdet werden, da die Finanzeinrichtungen das Risiko selbst veranlassen. Das Geldinstitut brauche nur dann für einen Schaden nicht auftreten, wenn es dem Kunden schuldhaftes Verhalten positiv nachweisen könne. Und natürlich dürften durch die Systemumstellung für den Endnutzer keine zusätzlichen Kosten entstehen.
Datenschützer dringen zudem darauf, dass zur Erfüllung von Auskunfts- und Änderungsrechten Geldinstitute unentgeltlich Geräte zur Verfügung stellen, die einem berechtigten Benutzer die auf seiner Karte gespeicherten personenbezogenen Daten anzeigen. Sie warnen ferner generell vor dem Aufbau zentraler biometrischer Datenregister, da diese hohe Angriffsflächen bieten und zum Objekt der Begierde auch für staatliche Sicherheitsbehörden werden könnten. Ohne Einwilligung des Kunden in die Verarbeitung der biometrischen Muster gehe schließlich gar nichts.
Die Schlussfolgerung Thiels lautet, dass "der Aufbau einer adäquaten, flächendeckenden Infrastruktur mit den notwendigen Änderungen der Hintergrundsysteme, Abläufe und Organisationsstrukturen extrem kostenintensiv sein wird". Da der Kunde zudem nicht nur bei seiner Hausbank per Handauflegen Geld abheben wolle, seien zudem langwierige Abstimmungsprozesse auf nationaler beziehungsweise internationaler Ebene notwendig. Die könnten sich, so sie überhaupt jemals gestartet werden könnten, eben über mehrere Jahre hinweg ziehen.
Die Warnungen des Sparkassen-Informatikers vor einer Euphorie über die Einsatzmöglichkeiten biometrischer Systeme dürften weit über den Bankenbereich hinaus Gültigkeit haben, auch wenn dort der Sicherheitsanspruch der Verbraucher natürlich besonders hoch ist. Ein bezeichnendes Licht werfen die skizzierten Probleme beispielsweise auf im Raum stehende Großprojekte wie die von Bundesinnenminister Otto Schily im Rahmen des zweiten Sicherheitspakets geforderte Aufnahme biometrischer Merkmale in den Pass und den Personalausweis. Der die Entscheidung über diese Frage treffende Bundestag wird sich gut überlegen müssen, ob der gesamte organisatorische und finanzielle Aufwand zum Aufbau von Infrastrukturen für biometrische Identifikationsmöglichkeiten wirklich einen entscheidenden Schritt im Kampf gegen den internationalen Terrorismus leisten kann.
Es gibt wohl kaum einen Geldkarten-Nutzer, der sich nicht irgendwo griffbereit - trotz aller Warnungen der Banken - seine Geheimzahl notiert hat. Zu groß ist die Angst, die PIN doch einmal zu vergessen. Um eine höhere Sicherheit und eine größere Benutzerfreundlichkeit zu schaffen, ist daher seit langem die Verwendung biometrischer Merkmale zur Kundenidentifizierung am Geldautomaten im Gespräch. Doch die Sparkassenorganisation erteilte dem auf charakteristischen Körpermerkmalen basierenden Prüfverfahren für die nächste Zukunft eine klare Absage. Entgegen aller Hoffnungen der Lösungsanbieter macht eben auch der vielmals als "Rettungsanker" beschworene 11. September die Technik nicht besser.
"Bitte geben Sie Ihre PIN ein!" Die unabdingliche Aufforderung hat schon manchen Geldbedürftigen in Schweiß gebracht, der aufgrund der durchs Internet intensivierten Passwort- und Geheimzahlinflation den Überblick und die Erinnerung verlor. Den Weg zu den Scheinen vereinfachen und Risiken im Umgang mit PINs verkleinern würde eine Kundenerkennung am Geldautomaten per Fingerabdruck oder Augenaufschlag.
Zahlreiche Geldinstitute in den USA und Europa wie die Bank United of Texas oder die Dresdner Bank experimentieren daher seit Ende der Neunziger mit der Einführung biometrischer Systeme im Terminalbereich. Verbraucher- und Datenschützer stehen der Einführung der neuen Technik am Geldausgabeautomaten bei geeigneter technischer und organisatorischer Gestaltung positiv gegenüber. Die große Chance für die Konsumenten sieht etwa Astrid Albrecht, Referentin bei der Arbeitsgemeinschaft der Verbraucherverbände und Vorsitzende der Arbeitsgruppe "Biometrische Identifikationsverfahren" beim Verein TeleTrust in der "Entlastung im Bereich der Sorgfaltspflicht, die momentan bei der Verwendung der ec-Karte auf sie abgewälzt wird". Bei biometrischen Verfahren müssten die Verbraucher schließlich nichts geheim halten. Ihr persönliches Merkmal, das die Authentifizierung ermöglicht, haben sie ja immer dabei.
Da die zur Identifizierung genutzten physiologischen Charakteristika nur schwer gestohlen oder kopiert werden können, würde auch Christoph Thiel, Referent in der Sicherheitskompetenzabteilung des Informatikzentrums der Sparkassenorganisation ( SIZ), den Einzug der Biometrie in den Bankenalltag begrüßen. Erreichbar wäre damit "bei ausreichender Reife der Systeme eine neue Stufe gegenüber den traditionellen Sicherheitstechniken". Doch bis dahin ist es dem Branchenkenner zufolge noch ein weiter Weg. "Optimistisch geschätzt", schockierte Thiel die auf der OmniCard (www.omnicard.de/) in Berlin versammelte Chipkarten-Industrie, "ist mit einem flächendeckenden Einsatz der Biometrie an Geldautomaten in den nächsten zehn Jahren nicht zu rechnen".
Bedrohungsszenarien
Als einen der wichtigsten Gründe für seine skeptische Prognose nennt Thiel die zahlreichen zusätzlichen Angriffsmöglichkeiten, die biometrische Systeme heutzutage mit sich bringen und die Hackerherzen höher schlagen lassen. In seinen Bedrohungsszenarien wimmelt es nur so von abgehörten, kopierten oder unberechtigt gespeicherten biometrischen Datenmerkmalen oder ihren in Referenzdateien auf zentralen Systemen oder Chipkarten abgelegten Pendants. Derlei Informationen lassen sich zur Täuschung der Sensoren am Bankautomaten theoretisch wieder "einspielen" (Replay-Attacke), was das Berechtigungsverfahren aushebelt.
Zahlreiche Feldversuche wie im Rahmen des von TeleTrust geleiteten Projekts BioTrust hätten zudem gezeigt, dass die Fehlerraten aller marktgängiger Systeme zwischen zwei und 20 Prozent liegen. Für sicherheitsrelevante Anwendungen mit einer größeren und offenen Benutzergruppe reiche der technische Reifegrad daher beileibe nicht aus. Um ein günstiges Kosten-Nutzen-Verhältnis zu erzielen und um bei den Anwendern psychologische Hemmungen zu vermeiden, kämen für Finanzinstitute hauptsächlich Fingerabdruck-Verfahren in Frage. Die lassen Marktforschern zufolge allerdings im Gegensatz zu den teureren Iris- oder Retina-Scans die geforderte Genauigkeit in der Mustererkennung vermissen.
An der PIN führt kein Weg vorbei
Selbst wenn die Systeme in Zukunft leistungsfähiger werden und die Hersteller über die Schaffung der bislang fehlenden offenen Standards Schnittstellen-Kompatibilität schaffen und so die Preise drücken, ist damit laut Thiel die gute alte PIN aber immer noch nicht Geschichte: "Es ist immer zu berücksichtigen", widerlegt der Techniker eines der Hauptargumente der Körpermerkmalfraktion, "dass 100-prozentige Ja-Nein-Entscheidungen ohne Fehlerraten mit biometrischen Lösungen nicht erreichbar sind." Einzelne Kunden ließen sich zudem überhaupt nicht anhand einzelner biometrischer Merkmale erfassen. Als Notfallinstrument und zur Ersatzauthentifizierung sei die PIN daher auch in Zukunft immer erforderlich.
Auf Banken und Sparkassen, die sich trotz der momentanen Probleme mittelfristig für den Einsatz biometrischer Verfahren erwärmen, kommt nach Thiel zudem ein kleines organisatorisches Horrorszenario zu. Das fängt bei der Aufnahme der Referenzmuster an, die nur durch besonders geschultes - und damit teures - Personal zu leisten sei. Auch das Aufbringen der Merkmale auf die Chipkarte dürfe nur unter höchsten Sicherheitsvorkehrungen erfolgen. Ferner müssten die Sensoren im Geldautomaten so konstruiert sein, dass das Anfertigungen von Fälschungen biometrischer Merkmale eine mit entsprechender krimineller Energie und Finanzkraft ausgestattete Täterklasse erfordere. Auch eine Lebenderkennung sei zu integrieren, um ein Austricksen der Prüfeinrichtung durch abgeschnittene Daumen oder Knetfinger auszuschließen.
Verbraucher- und Datenschützer stellen hohe Anforderungen
Dazu kommen des Weiteren eine ganze Reihe von Anforderungen aus Kreisen der Verbraucherschützer. Demnach sollten die Geldinstitute unter anderem durch entsprechende Geschäftsbedingungen das Risiko durch Missbrauchsfälle durch Dritte auf sich nehmen und nicht zu Lasten der Bankkunden ausgestalten. Dem Kunden dürfte die Haftung selbst bei grob fahrlässigem Verhalten nicht aufgebürdet werden, da die Finanzeinrichtungen das Risiko selbst veranlassen. Das Geldinstitut brauche nur dann für einen Schaden nicht auftreten, wenn es dem Kunden schuldhaftes Verhalten positiv nachweisen könne. Und natürlich dürften durch die Systemumstellung für den Endnutzer keine zusätzlichen Kosten entstehen.
Datenschützer dringen zudem darauf, dass zur Erfüllung von Auskunfts- und Änderungsrechten Geldinstitute unentgeltlich Geräte zur Verfügung stellen, die einem berechtigten Benutzer die auf seiner Karte gespeicherten personenbezogenen Daten anzeigen. Sie warnen ferner generell vor dem Aufbau zentraler biometrischer Datenregister, da diese hohe Angriffsflächen bieten und zum Objekt der Begierde auch für staatliche Sicherheitsbehörden werden könnten. Ohne Einwilligung des Kunden in die Verarbeitung der biometrischen Muster gehe schließlich gar nichts.
Die Schlussfolgerung Thiels lautet, dass "der Aufbau einer adäquaten, flächendeckenden Infrastruktur mit den notwendigen Änderungen der Hintergrundsysteme, Abläufe und Organisationsstrukturen extrem kostenintensiv sein wird". Da der Kunde zudem nicht nur bei seiner Hausbank per Handauflegen Geld abheben wolle, seien zudem langwierige Abstimmungsprozesse auf nationaler beziehungsweise internationaler Ebene notwendig. Die könnten sich, so sie überhaupt jemals gestartet werden könnten, eben über mehrere Jahre hinweg ziehen.
Die Warnungen des Sparkassen-Informatikers vor einer Euphorie über die Einsatzmöglichkeiten biometrischer Systeme dürften weit über den Bankenbereich hinaus Gültigkeit haben, auch wenn dort der Sicherheitsanspruch der Verbraucher natürlich besonders hoch ist. Ein bezeichnendes Licht werfen die skizzierten Probleme beispielsweise auf im Raum stehende Großprojekte wie die von Bundesinnenminister Otto Schily im Rahmen des zweiten Sicherheitspakets geforderte Aufnahme biometrischer Merkmale in den Pass und den Personalausweis. Der die Entscheidung über diese Frage treffende Bundestag wird sich gut überlegen müssen, ob der gesamte organisatorische und finanzielle Aufwand zum Aufbau von Infrastrukturen für biometrische Identifikationsmöglichkeiten wirklich einen entscheidenden Schritt im Kampf gegen den internationalen Terrorismus leisten kann.
