Zum Inhalt springen

Services, Wiki-Artikel, Blog-Beiträge und Glossar-Einträge durchsuchen

↑↓NavigierenEnterÖffnenESCSchließen
Identity & Access Management Glossar

Biometrie - Biometrische Authentifizierung in der Sicherheit

Biometrische Authentifizierung nutzt einzigartige körperliche Merkmale (Fingerabdruck, Gesicht, Iris, Stimme) oder Verhaltensmuster (Tipprhythmus, Gangart) zur Identifikation. Sie ist phishing-resistent, bequem - hat aber spezifische Risiken: gestohlene Biometrie kann nie geändert werden, Liveness-Detection-Angriffe und DSGVO-Besonderheiten (Art. 9) erfordern sorgfältige Implementierung.

Biometrische Authentifizierung kombiniert zwei Authentifizierungseigenschaften: “was du bist” (Fingerabdruck, Gesicht) und “was du hast” (das Gerät das das biometrische Template speichert). Modern implementiert - z.B. via FIDO2/Passkeys - ist sie phishing-resistent und erheblich bequemer als Passwörter. Die Fallstricke liegen in der Implementierung und im Datenschutz.

Biometrische Erkennungstypen

Physiologische Biometrie

Fingerabdruck (Fingerprintscanner)

Technologien:

  • Kapazitiv: Misst Kapazitäts-Unterschied (verbreitet in Smartphones)

  • Optisch: Kamera unter Glas (neuere Smartphones, In-Display)

  • Ultraschall: Sonar-artig, funktioniert bei nassen Fingern (Qualcomm 3D Sonic)

  • FAR (False Accept Rate): ca. 0.001% (1 von 100.000 Falschakzeptanz)

  • FRR (False Reject Rate): ca. 1-2% (1-2% legitime User abgelehnt)

  • Risiko: gestohlene Fingerabdrücke (Chaos Computer Club: aus Foto des Außenministers)

Gesichtserkennung (Face ID, Windows Hello)

SystemTechnologieFAR
Apple Face ID3D-Infrarot-Projektor (strukturiertes Licht), Liveness Detection1:1.000.000 (bestes Consumer-Produkt)
Windows Hello FaceIR-Kamera + Tiefensensor< 1:100.000
2D-Kamerasohne Tiefensensorunsicher (Foto-Bypass möglich!)

Angriffe:

  • 2D-Photo: bei schlechten Implementierungen möglich
  • 3D-Maske: sehr aufwändig, kaum praktisch relevant
  • Deepfake Video: neue Bedrohung für Video-basierte KYC

Iris-Erkennung

  • Genauigkeit: FAR < 1:1.000.000 (sehr hoch)
  • Verwendung: Hochsicherheitsbereiche, Grenzschutz (EU-Entry/Exit System)
  • Komfort: gering (User muss Kamera anstarren)
  • Fälschung: Kontaktlinsen mit gefaktem Muster (in Forschung demonstriert)

Stimmbiometrie

  • Verwendung: Call-Center-Authentifizierung, Sprachassistenten
  • Angriffe: Deepfake-Audio (zunehmend einfach mit AI!)
  • FAR: stark verschlechternd bei guten Deepfakes
  • Empfehlung: NICHT als alleiniger Faktor für kritische Systeme

Verhaltensbasierte Biometrie

Keystroke Dynamics

  • Tipp-Rhythmus, Tasten-Druck, Inter-Key-Timing
  • Transparente Authentifizierung (User merkt nichts)
  • Anwendung: Banking (anomaler Tipprhythmus → MFA-Challenge)
  • Risiko: Lernphase nötig, Erkennungsrate schwächer als physiologisch

Mouse Dynamics

  • Mausbewegungsmuster, Klick-Präzision
  • Kombination mit Keystroke: deutlich besser
  • Einsatz: Fraud Detection, nicht als primäre Authentifizierung

Ganganalyse (Gait Recognition)

  • Schrittsensor-Auswertung (Smartphone-Beschleunigungssensor)
  • Wissenschaftliche Forschung, noch kaum produktiv genutzt
  • Datenschutz-Problem: permanente Überwachung

Biometrie und FIDO2/Passkeys

WICHTIG: Bei Passkeys/FIDO2 verlässt Biometrie das Gerät NIEMALS!

Ablauf

Registrierung:

  1. Gerät erstellt Schlüsselpaar: privat (lokal) + öffentlich (Server)
  2. Privater Schlüssel: verschlüsselt gespeichert, nur entsperrbar via Biometrie
  3. Öffentlicher Schlüssel: auf Server gespeichert

Authentifizierung:

  1. Server schickt Challenge
  2. Gerät: “Bitte Fingerabdruck/FaceID zur Entsperrung”
  3. Fingerabdruck entsperrt lokalen privaten Schlüssel
  4. Gerät signiert Challenge mit privatem Schlüssel
  5. Server verifiziert Signatur mit öffentlichem Schlüssel
  6. Biometrie-Daten: VERLASSEN DAS GERÄT NIE

Biometrie-Speicherung: Sicher vs. Unsicher

Sicher (lokal):

  • Apple Secure Enclave (iPhone): biometrisches Template kryptografisch isoliert
  • Qualcomm SPU: ähnliches Konzept für Android
  • Windows Trusted Platform Module (TPM): Windows Hello-Template
  • FIDO2-Hardware-Key: Template im Secure Element
  • Angreifer braucht physischen Gerätezugriff + Sicherheitslücke

Unsicher (zentral):

  • Server-seitige Gesichtserkennung-Datenbank
  • Biometrische Daten im Cloud-Backend
  • Einbruch → alle Biometrie-Templates gestohlen
  • Gestohlene Biometrie kann nie geändert werden
  • Prominentes Beispiel: Suprema Biostar 2 (2019): 1 Mio. Fingerabdrücke im Klartext

FAR und FRR: Die zwei Fehlertypen

FAR (False Accept Rate):

  • Definition: Wie oft wird ein Fremder fälschlicherweise akzeptiert?
  • Beispiel FAR 0.001%: 1 von 100.000 zufälligen Versuchen erfolgreich
  • Sicherheitsrelevant: niedrige FAR = sicherer

FRR (False Reject Rate):

  • Definition: Wie oft wird ein legitimer User abgelehnt?
  • Beispiel FRR 1%: 1 von 100 echten Logins scheitert
  • Komfortrelevant: hohe FRR = frustrierend

Equal Error Rate (EER):

  • Punkt wo FAR = FRR (Graph-Kreuzungspunkt)
  • Niedrige EER = besseres System
SystemEER
Apple Face ID< 0.001%
Smartphone-Fingerabdruck~0.5%
Basis-Fingerabdruck-Sensor~2-5%

Anpassung der Schwellenwerte

Hohe Sicherheit (z.B. Kernkraftwerk):

  • FAR sehr niedrig (0.0001%), FRR höher (5%)
  • Lieber User ablehnen als Angreifer akzeptieren

Hoher Komfort (z.B. Smartphone-Entsperrung):

  • FRR niedrig (0.1%), FAR etwas höher (0.01%)
  • User akzeptiert, gelegentlich falscher Zugang möglich

Liveness Detection

  • Unterscheidet echte Person von Foto/Video/Maske
  • Passive Liveness: Software analysiert Bild (Tiefe, Mikrobewegungen)
  • Active Liveness: User muss blinzeln, Kopf drehen, sprechen
  • Wichtig für: Gesichtserkennung ohne 3D-Sensor
  • Deepfake-Risiko 2025: Passive Liveness-Detection oft umgehbar!

Datenschutz und DSGVO

Art. 9 DSGVO: Besondere Kategorien personenbezogener Daten

Biometrische Daten zur eindeutigen Identifizierung = besonders geschützt

Verbot mit Ausnahmen:

  • a) Ausdrückliche Einwilligung der betroffenen Person
  • b) Erheblich öffentliches Interesse (nationale Sicherheit)
  • c) Medizinische Versorgung

Keine Einwilligung = Verarbeitung verboten!

Praktische Fälle für Unternehmen

Fall 1: Biometrie auf dem eigenen Gerät (Passkeys, Windows Hello)

  • Daten verlassen das Gerät nicht
  • Kein Server-seitiges Template
  • Art. 9 DSGVO: interpretativ kein Problem (EDPB: wenn keine Identifizierungsfunktion, kein “Identifizierungs-Biometrie”)
  • In der Praxis: Passkeys mit FaceID sind datenschutzrechtlich akzeptabel

Fall 2: Zeiterfassung via Fingerabdruck-Terminal

  • Templates zentral gespeichert
  • Art. 9 DSGVO → DSFA (Datenschutz-Folgenabschätzung) meist erforderlich
  • Einwilligung Mitarbeiter: problematisch (Machtgefälle, keine echte Freiwilligkeit)
  • Empfehlung: Alternative anbieten (PIN/Chip-Karte)!
  • Datenschutzbehörde Hamburg: biometrische Zeiterfassung ohne Alternative = rechtswidrig

Fall 3: Gesichtserkennung im Bürogebäude

  • Art. 9 DSGVO + weitere Datenschutzgesetze
  • DSFA obligatorisch
  • In vielen EU-Ländern: nur mit starkem öffentlichem Interesse erlaubt
  • EU AI Act: biometrische Echtzeit-Identifizierung im öffentlichen Raum = grundsätzlich verboten (Ausnahmen: Terrorismusabwehr, vermisste Kinder)

DSFA-Checkliste für Biometrie

  • Zweck legitimiert biometrische Daten?
  • Weniger datenschutzintensive Alternative möglich?
  • Einwilligungsfreiheit gewährleistet (Alternativangebot!)?
  • Technische Schutzmaßnahmen: Verschlüsselung, Zugangskontrollen
  • Löschkonzept: wann werden Templates gelöscht?
  • Datenschutzbeauftragter involviert?
  • DSB-Konsultation erforderlich? (Art. 36 DSGVO)

AWARE7 Leistungen zum Thema

ISO 27001 Beratung

Ausführlicher Wiki-Artikel

Identity & Access Management (IAM): Identitäten sicher verwalten

12 min Lesezeit

Mobile Device Management (MDM): Smartphones und Tablets sicher verwalten

Verwandte Begriffe

IAM (Identity and Access Management) MFA (Multi-Faktor-Authentifizierung) Zwei-Faktor-Authentifizierung (2FA)
Zurück zum Glossar Erstberatung vereinbaren

Cookielose Analyse via Matomo (selbst gehostet, kein Tracking-Cookie). Datenschutzerklärung