Tag: Biometrie
Biometrie als Form der Nutzerauthentifizierung
von Robin Laufenburg, 27. Juni 2025
Fangen wir einmal ganz vorne an: Der Begriff Biometrie leitet sich von den griechischen Begriffen „bios“ (für Leben) und „metrein“ (für messen) ab und bezeichnet erst einmal ganz allgemein Körpermessungen am menschlichen Lebewesen. Biometrische Messdaten sind dabei biologische Merkmale, mit der eine Person als sie selbst authentifiziert werden kann. Dazu gehören sowohl physiologische als auch verhaltensbedingte Charakteristika von Menschen.
Biometrische Authentifizierungsverfahren (kurz: biometrische Verfahren) sind Methoden, mit denen biometrische Daten systematisch und automatisch erfasst und ausgewertet werden können. Damit eine solche Authentifizierungsprüfung funktioniert, muss ein Mechanismus die entsprechenden Merkmale zuerst vermessen und in einem digitalen Datensatz sammeln. Biometrische Identifikationsverfahren werden von Algorithmen mittels Deep-Learning-Methoden erlernt, weiterentwickelt und angewendet.
Biometrische Verfahren prüfen, ob ein Mensch die Person ist, die er zu sein vorgibt. Bild: Pexels/CleytonEwerton
Ziele: Verifikation und Identifikation
Biometrische Verfahren zur Authentifizierung von Personen können äußerst unterschiedlich aussehen. Vor allem verfolgen sie dabei aber zwei unterschiedliche Ziele:
- Die Verifikation mithilfe von biometrischer Messungen dient dazu, die Identität einer Person zu bestätigen. Es wird also mithilfe von biometrischen Verifikationsverfahren kontrolliert, dass es sich bei einer Person um die handelt, als die sie angenommen wird. Verifikation erfordert in diesem Sinne eine dem Verfahren vorausgehende ID-Erkennung, beispielsweise das Vorzeigen eines Ausweisdokuments oder das Eingeben beziehungsweise Auswählen eines Benutzernamens. Hiernach gleichen Maschinen den zur ID erfassten Datensatz mit den physischen Daten ab und prüfen, ob die Person dem Benutzerprofil entspricht. Das Ergebnis eines Verifikationsverfahrens kann die Bestätigung oder Nichtbestätigung der Identität sein.
- Anders als bei der Verifikation dient die Identifikation nicht dazu, das Erscheinungsbild einer Person mit der angegebenen Identität abzugleichen. Vielmehr prüfen biometrische Identifikationsverfahren anhand des Erscheinungsbildes, um welche Person aus einem bestimmten Datensatz es sich handelt. Dazu kontrollieren entsprechende Verfahren die physiologische oder verhaltensbedingte Erscheinung einer Person und gleichen sie mit im System gespeicherten Messdaten ab. Nach der Prüfung kann der Mensch mit Name, Nutzerkennung und Zugriffsrechten als konkrete Person zugeordnet werden.
Biometrische Verifikationsverfahren kommen heute vor allem bei größeren Kontrollen wie Ausweiskontrollen durch die Polizei zum Einsatz. Identifikationsverfahren hingegen sind Maßnahmen, die bereits beim Entsperren des Smartphones standardisiert zum Einsatz kommen.
Arten von biometrischen Verfahren
Biometrische Merkmale und darauf abgestimmte biometrische Verfahren gibt es nahezu unzählige. Dabei können vor allem zwei Gruppen von Merkmalen und entsprechende Nutzerauthentifizierungsmethoden unterschieden werden:
- Bei den meisten heute erfassten biometrischen Daten handelt es sich um physiologische Merkmale wie Fingerabdrücke, Gesichtszüge oder die Ausprägungen der Iris. Die Daten sind hochgradig individuell und im Regelfall eindeutig zuweisbar. Sogar Zwillinge sind anhand solcher Merkmale voneinander zu unterscheiden. Zu den bekanntesten und etabliertesten Methoden zur biometrischen Nutzerauthentifizierung gehören folglich das Fingerabdruck-Mapping, die Gesichtserkennung und der Retina-/Iris-Scan. Aber auch weitere physiologische Merkmale wie Venenmuster auf Hand- und Armgelenk oder Handabdruck werden als Authentifizierungsmethoden immer beliebter.
- Verhaltensbedingte Verfahren beinhalten Messungen von Schreib- und Sprechverhalten, von Stimme, Lippenbewegung, Gangart, Körpersprache und -haltung sowie den Abgleich von physischen oder digitalen Unterschriften. Die bekannteste verhaltensbedingte Zugangsbeschränkung ist dabei die Spracherkennung, häufig in Verbindung mit einer konkreten Namens- oder Zugangscodenennung.
Natürlich gibt es auch biometrische Verfahren, die verschiedene physiologische und verhaltensbedingte biometrische Merkmale kombinatorisch prüfen, so beispielsweise zeitgleich als Gesichts- und Stimmerkennung fungieren.
Zu den bekanntesten und am häufigsten kontrollierten biometrischen Merkmalen gehören Fingerabdrücke. Bild: Pexels/cottonbro
Nutzung biometrischer Merkmale: Einsatzbereiche
Heute ist das Haupteinsatzgebiet von Biometrie die Authentifizierung von Personen zur Kontrolle von Zugangs- und Zugriffsrechten. Biometrische Verfahren – meistens Identifikationsverfahren – fungieren dabei als Zugangsbeschränkung zu physischen Räumen oder als digitale Nutzerauthentifizierungen. Meistens werden damit personenbezogene Daten, vertrauliche Dokumente oder physische und digitale Bereiche, in denen sich sensible Informationen finden, geschützt.
Unter anderem nutzen Türschloss-Systeme heute schon nicht selten Zugangsbeschränkungen, die biometrische Daten auswerten. Besonders bei Tresoren und Tresorräumen werden verschiedene biometrische Daten ausgewertet, um einen Zugriffsversuch zu verifizieren. Aber auch bei Haustüren des Smart Home oder Zugängen zu Rechenzentren kommen nicht selten biometrische Nutzerauthentifizierungsmethoden zum Einsatz. Und nicht nur der Zugang zu Räumen, sondern auch die Nutzung von Geräten oder Maschinen kann durch Biometrie eingeschränkt werden. Ford zieht so in Betracht, biometrische Sensoren in Autos zu verbauen. Auf diese Weise wird die Person am Lenkrad als legitimer Fahrer authentifiziert.
Digitale Anmeldungen per Biometrie
Auch auf Websites und in Apps kommen Anmeldungen durch Biometrie immer häufiger zum Einsatz. Die Citibank nutzt Spracherkennung bereits standardisiert, die britische Bank Halifax testet, Kundenidentitäten via Herzschlag zu kontrollieren. Aber auch in alltäglicher genutzten Anwendungen ist die Anmeldung per Biometrie heute schon etabliert. Unter anderem funktioniert eine Form der WhatsApp-Anmeldung per Fingerabdruck oder Face ID.
Vorreiter von Anmeldungen mithilfe von biometrischen Daten waren übrigens Smartphones diverser Hersteller. Jeder dürfte biometrische Entsperrmöglichkeiten am Handy kennen. Das Handyentsperren mittels Fingerauflegen (Touch ID) ist dabei die Etablierteste. Doch heute wird auch die Entsperrung mittels Gesichtserkennung (Face ID) und Stimmerkennung (Voice ID) immer beliebter.
Die Technologie zur Gesichtserkennung auf Apples iPhone X projiziert dabei bereits circa 30.000 Infrarotpunkte auf das Gesicht des Users, um ihn mithilfe eines biometrischen Musterabgleichs authentifizieren zu können. Auch Google Pixel nutzt eine vergleichbare Gesichtserkennungstechnologie, die auf einer Kombination aus Infrarotsensorik, maschinellem Lernen und sicherer Chip-Architektur basiert. Neuere Modelle wie das Pixel 8 Pro verfügen darüber hinaus über zusätzliche Sensoren zur Tiefenerkennung und adaptives Lernen zur Verbesserung der Erkennungsrate im Alltag.
Einige Smartphone-Hersteller kombinieren inzwischen gleich mehrere biometrische Verfahren, etwa Gesichtserkennung, Fingerabdruckscanner unter dem Display und Spracherkennung. LG-Smartphones nutzten schon vor ihrem Rückzug aus dem Markt kombinierte biometrische Verfahren, wobei alle sensiblen biometrischen Daten lokal auf dem Gerät – in einem sogenannten „Trusted Execution Environment“ (TEE) – gespeichert wurden. Auch Samsung setzt seit 2024 verstärkt auf Multi-Modal-Biometrie, bei der Iris-Scan, 3D-Gesichtserkennung und Fingerabdruckdaten parallel abgeglichen werden.
Wichtig ist: Moderne Geräte speichern diese hochsensiblen Informationen in besonders geschützten Speicherbereichen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt, dass biometrische Daten ausschließlich lokal verarbeitet und nicht in Cloud-Systemen gespeichert werden sollten, um Missbrauch zu vermeiden.
Biometrische Daten auf Ausweisdokumenten
Auf der ganzen Welt werden biometrische Daten bereits in Ausweisdokumenten wie Reisepässen erfasst und können über entsprechende Pässe geprüft werden. In den USA sind elektronische Reisepässe bereits standardisiert mit Computerchips ausgestattet, die digitale Fotos vom Gesicht, vom Fingerabdruck und/oder der Iris beinhalten.
In Deutschland ist die Abgabe des Fingerabdrucks für den Personalausweis seit dem 2. August 2021 Pflicht. Traditionell findet sich auf dem Dokument zum Nachweis der deutschen Staatsbürgerschaft ein Passfoto, über das sich verschiedene biometrische Daten wie Kopfform, Gesichtsproportionen und -positionen erkennen lassen. Auch angegebene Daten wie Körpergröße und Augenfarbe nehmen Bezug auf biometrische Merkmale. Die Computerchips, die in Ausweisdokumenten zum Einsatz kommen und jetzt standardisiert auch Fingerabdrücke speichern, sind mit einer Technologie ausgestattet, die das unbefugte Datenlesen verhindert.
Biometrische Daten finden sich im Alltag beispielsweise zentral auf Ausweisdokumenten. Bild: Pexels/SpencerDavis
Biometrie: Gefahren durch Datenmissbrauch
Nichtsdestotrotz stehen Datenschützer der verpflichtenden Fingerabdruckerfassung auf Ausweisdokumenten äußerst kritisch gegenüber. Denn jede Technologie kann irgendwann auch in die falschen Hände gelangen oder entsprechend neuerschlossen werden. Erbeuten Kriminelle erst einmal ein Ausweisdokument, können sie so womöglich auch an die biometrischen Daten gelangen. Dann könnten sie nicht nur mithilfe eines digitalen Fingerabdrucks Smartphones entsperren, Türschlösser öffnen und andere Zugangsbeschränkungen durchbrechen, sondern geradezu professionellen Identitätsdiebstahl betreiben und größere Social-Engineering-Angriffe durchführen.
Auch ist es sowieso schon, das zeigen aktuelle Studien, alles andere als schwierig, an die Fingerabdrücke von beliebigen Personen zu kommen. Immerhin hinterlassen wir sie im Alltag überall. Aber auch Aufnahmen vom Gesicht einer konkreten Person zu finden, ist heute keine große Kunst mehr. Fast jeder ist heute in den Social Media vertreten und ist dort meistens auch mit dem ein oder anderen Foto verlinkt. Und wie der LinkedIn-Hack im Jahr 2021 zeigte, kann es auch immer passieren, dass Daten geleaked und unwiderruflich an die Öffentlichkeit getragen werden.
Datenklau und Datengenerierung durch Deepfakes
Aber selbst dann, wenn Sie von sich kein Foto im Internet platziert haben, ist die Wahrscheinlichkeit groß, dass sich detaillierte Aufnahmen Ihres Gesichts irgendwo in den Tiefen des World Wide Web finden. Immerhin finden sich in jeder Großstadt und an jedem Flughafen weltweit heute dutzende Gesichtserkennungskameras. Das schürt zurecht nicht nur die Angst vor Überwachung und Datentracking, sondern auch vor Datenmissbrauch.
Denn das Videomaterial muss irgendwo gespeichert werden. Und Datenbanken mit personenbezogenen Datensätzen sind ein besonders beliebtes Ziel von Hackerangriffen, insbesondere von Advanced Persistent Threats. Bei einem Hack des US-amerikanischen Office of Personnel Management haben professionell agierende Cyberkriminelle beispielsweise biometrische und andere personelle Daten von circa 5,6 Millionen US-Regierungsmitarbeitern gestohlen.
Mit sogenanntem Deepfaking können Algorithmen mittels Deep Learning aus wenigen Sprachnachrichten, Stimmmitschnitten und einzelnen Fotos erschreckend authentische Stimm- und Gesichtsaufnahmen generieren. Mit diesen können dann Nutzerauthentifizierungen und Zugangsbeschränkungen umgangen werden.
Messbarkeit: False Rejection Rate & False Acceptance Rate
Kein biometrisches Verfahren ist fähig, Personen mit hundertprozentiger Sicherheit zu authentifizieren. Nicht nur aufgrund von perfiden Betrügereien, sondern auch aufgrund von Veränderungen an körperlichen oder verhaltenstechnischen Merkmalen können Algorithmen Benutzer fälschlicherweise zulassen oder ablehnen. Zwei wichtige Kennzahlen zur Bewertung der Genauigkeit solcher Systeme sind die False Rejection Rate (FRR) und die False Acceptance Rate (FAR).
- False Rejection Rate (FRR): Dieser Wert gibt an, wie oft ein biometrisches System berechtigte Benutzer fälschlicherweise abweist. Eine hohe FRR kann zu Frustration bei den Nutzern führen und die Benutzerfreundlichkeit des Systems beeinträchtigen.
- False Acceptance Rate (FAR): Dieser Wert misst, wie oft ein System unberechtigten Personen fälschlicherweise Zugriff gewährt. Eine hohe FAR stellt ein erhebliches Sicherheitsrisiko dar, da sie potenziellen Angreifern den Zugang zu sensiblen Informationen ermöglicht.
Es besteht ein inhärenter Zielkonflikt zwischen FAR und FRR: Eine Senkung der FAR kann zu einer Erhöhung der FRR führen und umgekehrt. Daher ist es wichtig, ein ausgewogenes Verhältnis zwischen Sicherheit und Benutzerfreundlichkeit zu finden, das den spezifischen Anforderungen des jeweiligen Einsatzbereichs gerecht wird.
Kriminelle nutzen immer häufiger Biometrie, um sich Zugänge zu verschaffen und Social-Hacking-Angriffe durchzuführen. Bild: Pexels/MikhailNilov
Biometrie: Hilfe bei der IT-Sicherheit
Wenn Sie mit Ihrem kleinen Unternehmen bereits Biometrie nutzen oder zukünftig damit arbeiten wollen, sollten Sie darauf achten, dass Sie die erfassten biometrischen Daten umfassend schützen. Gemäß der Datenschutz-Grundverordnung (DSGVO) gelten biometrische Daten als besonders schützenswert und dürfen nur unter bestimmten Bedingungen verarbeitet werden.
Unternehmen sind verpflichtet, geeignete technische und organisatorische Maßnahmen zu ergreifen, um die Sicherheit dieser Daten zu gewährleisten. Dazu zählen unter anderem die Verschlüsselung der Daten, Zugriffskontrollen und regelmäßige Sicherheitsüberprüfungen.
Sollten Sie Unterstützung bei der Umsetzung von IT-Sicherheitsmaßnahmen oder eine DSGVO-Beratung benötigen, ist PC-SPEZIALIST der geeignete Ansprechpartner für Sie. Wir bieten maßgeschneiderte IT-Sicherheitskonzepte, die sich am BSI-Grundschutzkatalog orientieren, sowie individuelle Beratung und Betreuung durch unsere Standorte in Ihrer Nähe.
Sollten Sie mehr zu Biometrie erfahren wollen, klicken Sie sich doch durch unseren Blog:
