9. August 2022 Zwei-Faktor-Authentifizierung mittels Biometrie: Funktionsweise und Sicherheitsaspekte

Biometrische Daten kommen in immer mehr Lebensbereichen zum Einsatz. Als „zweiter Faktor“ der Authentifizierung auf Websites und in Apps gelten sie als besonders wirkungsvoll. Dennoch sollten sich Nutzerinnen und Nutzer der Sicherheitsrisiken bewusst sein.  

Ein Blick ins iPhone reicht, um das Gerät zu entsperren. Bestellungen können bei cloudbasierten Sprachdiensten wie Amazons Alexa über das eigene Stimmenprofil aufgegeben werden. Und digitale Identitäten wie die „ID Austria“ funktionieren etwa durch das Scannen des Fingerabdrucks. Biometrische Technologien sind aus dem Alltag nicht mehr wegzudenken. Da jedoch auch biometrische Verfahren gehackt werden können, ist es sinnvoll, sie in Form einer Zwei-Faktor-Authentifizierung (2FA) in Kombination mit sicheren Passwörtern zu nutzen.

Wie funktionieren biometrische Daten?

Im Grunde wird bei der Verwendung biometrischer Technologien zwischen unveränderbaren, physischen Charakteristika – äußere Merkmale wie das Gesicht oder der Fingerabdruck – und veränderbaren, verhaltenstypischen Kennzeichen wie etwa der Stimme unterschieden. Diese Merkmale sind einzigartig und immer nur einer bestimmten Userin oder einem bestimmten User zuzuordnen. Beispielsweise haben nicht einmal eineiige Zwillinge denselben Fingerabdruck.

Biometrische Daten dienen ebenso wie Passwörter oder PIN-Codes der Authentifizierung einer Nutzerin oder eines Nutzers und werden zum Entsperren von Geräten beziehungsweise zum Anmelden für Apps und andere Systeme verwendet. Auch in Ausweisdokumenten kommen häufig biometrische Daten zum Einsatz: In österreichischen Reisepässen ist seit 16. Juni 2006 ein biometrisches Reisepassfoto zur Identitätsprüfung verpflichtend. Dieses ist zusätzlich in elektronischer Form auf dem Chip im Reisepass gespeichert. Weiters werden darauf seit dem 30. März 2009 auch zwei Fingerabdrücke gespeichert. Um solche Daten nutzen zu können, benötigen Systeme:

• Einen Sensor zum Erfassen biometrischer Daten: Je nach Biometrietyp werden unterschiedliche Technologien verwendet. Fingerabdruck-Scanner prüfen die individuellen Rillen in der Fingerkuppe, Stimmerkennungen analysieren die Schallwellen in der Stimme, und Gesichtserkennungen vergleichen physische Merkmale im Gesicht.
• Eine gespeicherte Originaldatei als Referenz: Damit das System einen Vergleich zwischen den erkannten Merkmalen und dem Referenzmaterial der Nutzerin oder des Nutzers anstellen kann, müssen die jeweiligen Originaldateien auf dem Gerät gespeichert werden. Nutzerinnen und Nutzer legen dazu ein persönliches Profil mit allen notwendigen Informationen an.
• Eine Vergleichssoftware zur finalen Authentifizierung: Wollen Nutzerinnen oder Nutzer ihr Handy entsperren, scannt das Gerät ihr Gesicht oder den Fingerabdruck und vergleicht die Daten mit der hinterlegten Referenzdatei. Stimmen die Merkmale überein, gibt das Smartphone den Zugang frei. Tun sie es nicht, bleibt das Gerät gesperrt.

Biometrische Daten als Teil der 2FA

Biometrische Daten stellen eine ideale Ergänzung zu Authentifizierungsmethoden wie Passwörtern oder PIN-Codes dar. Das bedeutet, dass Geräte oder Applikationen zur Identifikation einer Nutzerin oder eines Nutzers nicht nur die Eingabe des Passworts verlangen, sondern auch den Fingerabdruck beziehungsweise das Gesicht scannen und prüfen.

Schwache Passwörter bieten ein hohes Gefahrenpotenzial, da sie leicht geknackt werden können. Idealerweise sollten daher sichere Abfolgen aus mindestens 16 Zeichen gewählt werden, die auch Klein- und Großbuchstaben, Zahlen sowie Sonderzeichen enthalten. Fügen Userinnen und User dieser Identifikationsmethode eine biometrische Authentifizierung hinzu, reduziert sich das Risiko eines unautorisierten Zugriffs auf persönliche Daten signifikant.

Im Vergleich zu sogenannten „unimodalen biometrischen Daten“ – wobei nur ein einziges körperliches Merkmal geprüft wird – bietet die Nutzung einer „multimodalen biometrischen Authentifizierung“ einen weitaus effektiveren Schutz. Dabei werden mehrere unterschiedliche Körpereigenschaften überprüft: Das Smartphone entsperrt sich erst dann, wenn sowohl die Gesichtserkennung als auch der Fingerabdruck zu einer Übereinstimmung kommen.

Wie sicher sind biometrische Daten?

Wenngleich biometrische Verfahren als äußerst bequeme und sichere Art der Authentifizierung gelten, sind auch sie nicht unfehlbar. Charakteristische Merkmale sind zwar von Mensch zu Mensch verschieden, doch die digitalen Informationen hinter der Biometrie können ausgelesen und dupliziert werden.

Viele biometrischen Daten gelangen über kurz oder lang ins Internet. Fotos und Videos finden sich beispielsweise in sozialen Netzwerken, und auch Stimmprofile werden digital gespeichert. 2014 wurde erstmals nachweislich von einer hochauflösenden Fotografie der Fingerabdruck und die Iris einer Person abgelesen – der biometrische Datensatz konnte in weiterer Folge missbräuchlich verwendet werden.

Nutzerinnen und Nutzer sollten daher mit ihren biometrischen Daten nicht achtlos umgehen und diese nur dort registrieren, wo umfassende Sicherheitsvorkehrungen notwendig sind – zum Beispiel bei Online-Banking-Apps. Durch die vermehrte Nutzung biometrischer Authentifizierungsverfahren ist künftig in diesem Bereich mit einer Zunahme von Datenmissbrauch und cyberkriminellen Aktivitäten auszugehen.