Biometrie: Das neue Gesicht der Sicherheitstechnik
In grellem Weiß strahlen die rechteckig angeordneten Lampen und beleuchten jeden Winkel des Gesichts. Die Kameraanlage ruckelt noch ein Stück nach unten – Klick! Wenige Minuten später erscheint das Porträtbild auf einem Besucherausweis. Vorsichtsmaßnahme.
Hier an der Kreuzberger Kommandantenstraße dreht sich alles um die Sicherheit. Die Handykamera wird abgeklebt, der Laptop weggeschlossen. Dann erst öffnet sich die Tür der Bundesdruckerei, jenes Staatsunternehmens, das man vor allem mit der Produktion von Geld und Ausweisen in Verbindung bringt.
Grenzkontrollsysteme von der Bundesdruckerei
Aber das ist nur die halbe Wahrheit: „Eigentlich machen wir nur etwa zehn Prozent unseres Umsatzes mit der Herstellung von Geld“, erklärt Jochen Felsner, der dort die Marketingabteilung leitet und zuvor jahrelang als IT-Berater gearbeitet hat.
Die Bundesdruckerei produziert auch die Grenzkontrollsysteme, die sogenannten eGates, für deutsche Flughäfen, an denen die Reisenden automatisch mit den gespeicherten Bildern in ihren Pässen verglichen werden. Außerdem liefert sie seit vergangenem Jahr das Erfassungssystem für Asylsuchende in Deutschland. Diese Technologien basieren auf Informationen über Gesichter und Fingerabdrücke – also auf Biometrie.
Die Vermessung alles Lebendigen
Seit mehr als 100 Jahren analysieren Kriminalisten Fingerabdrücke. Doch in den vergangenen Jahren sind auch andere Teile aus der Biometrie, der Lehre von der Vermessung des Lebendigen, zum Gegenstand der Sicherheitstechnik geworden. Computer können Personen nun anhand von Venenverläufen am Handgelenk erkennen, anhand der Sprechweise oder durch die Analyse des persönlichen Tipp-Rhythmus auf einer PC-Tastatur. Durch Finger-, Iris- und Gesichtserkennung in Smartphones, etwa für ApplePay, den ersten Fingerabdruck-Test von Kreditkartenunternehmen oder der Windows-Funktion Hello, erfährt Biometrie jüngst einen erneuten Hype.
Internationale Analysten wie Research and Markets prognostizieren bis 2025 eine Verzehnfachung der globalen Umsätze auf bis zu 70 Milliarden US-Dollar. Möglicherweise wird künftig der Körper und nicht mehr Unterschrift, Schlüssel und Passwörter zur universellen Eintrittskarte. Die Vision: Diebstähle und Einbrüche gehören irgendwann der Vergangenheit an.
Datenschutz als Wachstumsmotor
Dabei ist die datenschutzkonforme Verwendung der Technik alles andere als banal: „Hier drin ist mein Fingerabdruck kryptografisch verschlüsselt – den kann ich unter keinen Umständen herausbekommen“, sagt Felsner und legt ein Band auf den Tisch, an dem eine Chipkarte baumelt: eine GoID. An gesicherten Türen und Computern soll die Karte zum Einsatz kommen. Dort ersetzt der Abgleich der Fingerlinien mit dem in der Karte gespeicherten Abdruck Passwörter und Zugangscodes. Es lassen sich damit aber genauso E-Mails ver- und entschlüsseln.
Die GoID der Bundesdruckerei ist eine Sicherheitslösung für Unternehmen und zeigt, was in der Sicherheitstechnik in Deutschland aktuell ohne größere Kontroversen möglich ist. Fingerabdrücke etwa zählen zu den personenbezogenen Daten und fallen unter das Recht auf informationelle Selbstbestimmung. Jeder soll selbst entscheiden können, was mit solchen Informationen geschieht. Auch dürfen mit ihnen keine Verhaltensprofile erstellt werden. „Weil es so einfach ist und jetzt auch datenschutzkonform möglich, wird diese Karte für viele Unternehmen der Einstieg in eine Biometrie-Welt sein“, prognostiziert Felsner. Doch eigentlich ist die Entwicklung schon wesentlich weiter. Das zeigen die Produkte von Dermalog, einer Beteiligungsgesellschaft der Bundesdruckerei. Der größte deutsche Biometrie-Hersteller wirbt damit, die Gesichter von 1,4 Milliarden Menschen in 14 Sekunden vergleichen zu können. Durch die Systeme könnten die Gesichter der gesamten Weltbevölkerung in einer Minute durchsucht werden. Dermalog hat in 75 Ländern Systeme installiert, beispielsweise in Saudi-Arabien, auf den Philippinen oder im Sudan.
Erkennung anhand einer Handbewegung
Dass aber sogar Gesichtserkennung bald zum alten Eisen gehören könnte, zeigt ein Besuch beim Hasso-Plattner-Institut (HPI) in Potsdam. „Schauen Sie mal“, sagt Christoph Meinel, während er so tut, als zöge er etwas aus seiner Hemdtasche. „Schon durch diese Bewegung kann man jemanden erkennen – das war für uns absolut erstaunlich.“
Meinel ist Professor für Informatik und Leiter des Lehrstuhls Internet-Technologien und Systeme. In einem Video zeigen einige seiner Studierenden, wie die Identifikation über Bewegung technisch umsetzbar wäre. Am Anfang läuft ein Student mit Smartphone und Smartwatch des anderen durch den Raum. Der an die Wand projizierte Wert fällt schnell auf ein Prozent. Erst als der tatsächliche Besitzer die Geräte wieder an sich nimmt und mit ihnen herumläuft, klettert die Prozentzahl auf 95. Für das System ist die Identität des Handyträgers somit bestätigt. Denn die Bewegungsweise des Smartphones in der Hosentasche und der Uhr am Arm sind bei jedem anders.
Schrittlänge und Hüftbewegungen
Die sogenannte verhaltensbasierte Authentifikation soll das „Leid mit den Passwörtern“ beenden, sagt Meinel. Passwörter können vergessen oder gestohlen werden. Laut dem Sicherheitsunternehmen Gemalto wurden allein 2016 weltweit rund 1,4 Milliarden Datensätze geklaut. Bei mehr als jedem zweiten Fall handelte es sich um digitalen Identitätsraub, worunter auch Passwortdiebstahl fällt. Passwörter seien eigentlich nicht für das Internet gemacht, sagt der Wissenschaftler.
Gute Finger- oder Bilderkennungssensoren hingegen seien aber für viele Anwendungen noch zu teuer: „Deshalb nutzt man beim verhaltensbasierten Ansatz Quellen, die ohnehin da sind.“ Ein Smartphone ist mit bis zu 25 Sensoren ausgestattet. Alleine die Beschleunigungs- und Lagesensoren reichen aus, damit aus Schrittgeschwindigkeit, Schrittlänge und Hüftbewegungen individuelle Datenmuster errechenbar sind. So könnte künftig das Handy der Tür mitteilen, ob eine zutrittsberechtigte Person vor ihr steht. „Wir geben aber keine detaillierten Bewegungsdaten nach draußen“, versichert Meinel.
Familienmitglieder auseinanderhalten
Aber nicht nur unsere Schritte können uns künftig verraten. In den Räumlichkeiten der Telekom Innovation Laboratories in Schöneberg demonstriert Klaus-Peter Hofmann, dass fast jeder Körperteil zum Identifikationsmerkmal werden kann. Der Sicherheitsexperte trägt ein Armband des US-Unternehmens Nymi, das mit seinem Online-Konto verknüpft ist. „Das Band kann meinen persönlichen Herzschlag erkennen“, sagt Hofmann. So etwas gibt es tatsächlich: einen persönlichen Herzschlag. Zumindest in der kleinen Testgruppe seien alle Teilnehmer richtig identifiziert worden.
„Eine prototypische Integration von Biometrie“, erklärt Jörg Heuer, der den Forschungsbereich Digitale Transaktionen leitet. Man habe beobachtet, dass Passwörter oft eine Hürde seien, etwa beim Fernsehabend mit dem Telekom-Pay-TV-Service EntertainTV. „Die große Herausforderung, die wir beispielsweise haben, ist das Auseinanderhalten von Familienmitgliedern. Für Altersfreigaben und wegen der Frage, wer bezahlpflichtige Filme bestellen darf“, sagt er. Deshalb teste man alles Mögliche. Bei jeder neuen Technik sei man aber stets abhängig von den großen Playern, auch beim Nymi-Band: „Wenn diese Art der Biometrie in Smart Watches wie die Applewatch käme, wäre sie vielleicht wirklich erfolgreich“, sagt Heuer.
Das alles ist aber erst der Anfang. DNA, Körpergeruch, sogar die Verteilung der Gesichtswärme, die Beschaffenheit des Nagelbetts und der Salzgehalt des Körpers eignen sich zur Identifizierung. Und das sind nur die Körpereigenschaften, an denen schon geforscht wird.