Sicherheit – Biometrische Techniken
Codes des Körpers
Jeder Mensch ist einmalig. Diese Erkenntnis der Philosophen nutzen Techniker, um "unverlierbare Schlüssel" zu generieren. Sie entwickeln Verfahren, mit denen sich charakteristische Merkmale von Auge, Gesicht oder Stimme in digitale Datensätze verwandeln und untereinander vergleichen lassen.
Keine moderne Kunst, sondern ein neues Messverfahren: Über projizierte Farbstreifen lassen sich die "Höhenlinien" des Gesichts – und damit seine dreidimensionale Form – ermitteln
Mord im Oktober 1902 in Paris: Henri-Léon Scheffer tötet eine Zahnarztangestellte und hinterlässt am Tatort Fingerabdrücke auf einer Glasscheibe. Sein Pech, denn Polizeichef Alphonse Bertillon hat die Wissenschaft auf seiner Seite. Mit Hilfe des noch jungen Fingerabdruckverfahrens, der Daktyloskopie, überführt er den Verbrecher. Die Wissenschaft der statistischen Untersuchung von Lebewesen, die Biometrie, feiert einen ihrer ersten Triumphe.
100 Jahre später ist das Fingerabdruckverfahren nicht nur ein Werkzeug für Kriminalisten, sondern auch ein Schlüssel, der Eingänge öffnet. Bei der wachsenden Zahl an Passwörtern oder PIN-Codes, die verloren, gestohlen oder gefälscht werden können, zeigt die Biometrie den Ausweg: Das Sesam-öffne-Dich ist der eigene Körper – wie der Fingerabdruck auf dem Sensor einer Computermaus von Siemens. Damit erkennt der PC einen autorisierten Nutzer. Der fingernagelgroße Silizium-Sensor misst an 65 000 Punkten die Kapazität – und damit den exakten Abstand – zwischen der Chip- und der Fingeroberfläche. So wird ein digitales Graustufenbild erzeugt. Die Software ermittelt dann charakteristische Merkmale der Fingerlinien (Minuzien) und vergleicht sie mit denen eines zuvor gespeicherten Fingerabdrucks.
Biometrieforscher haben in den vergangenen Jahren eine ganze Palette solcher Verfahren entwickelt. Sie messen physiologische Merkmale wie die des Gesichts, der Iris, der Hand oder auch verhaltensabhängige Kennzeichen wie die Dynamik der Handschrift oder der Stimme. "Siemens ist zwar nicht auf allen Feldern gleichermaßen aktiv, kann aber als Integrator sämtliche Biometrien in Anwendungen einbinden", erläutert Dr. Wolfgang Küpper, Leiter des Kompetenzfelds Biometrie bei Siemens Corporate Technology (CT) in München. Die oben beschriebene Fingerabdruckerkennung per Mikrochip wurde vor einigen Jahren bei CT entwickelt und wird nun von Infineon als Sensorlösung vermarktet. Derzeit konzentrieren sich die Biometrieexperten von CT vor allem auf die Sprechererkennung (siehe Beitrag Biometrie). Küpper: "Aus meiner Sicht ist die Sprechererkennung bei Telefonanwendungen die ideale Biometrie. Wenn sowieso eine automatische Spracherkennung installiert ist, fallen keine Zusatzkosten für den biometrischen Sensor an und kein zusätzlicher Aufwand für den Benutzer."
Probleme wie laute Hindergrundgeräusche, sagt Küpper, seien in den Griff zu bekommen. "Hier profitieren wir von neuen Entwicklungen zur Störgeräuschunterdrückung. Dabei werden sowohl Mikrofon-Arrays – also neue Sensorhardware – als auch adaptive Filterverfahren untersucht. Zudem können wir einen Sprecher dann sicher identifizieren, wenn wir wissen, was er spricht." Damit hat die Sprechererkennung viel mit der automatischen Spracherkennung gemeinsam, bei der es ja darum geht, etwa Namen aus dem Telefonbuch des Handys zu erkennen.
Zwei Ansätze werden verfolgt: Entweder wählt der Nutzer eine ausreichend lange Äußerung für die Authentifizierung. Die Sprache spielt keine Rolle, der Satz muss auch nicht geheim bleiben – bloß merken sollte man ihn sich. Oder das System fordert den Benutzer auf, Wörter oder Zufallszahlen nachzusprechen, was die Erkennung sicherer macht. Aus dem akustischen Signal werden wieder charakteristische Merkmale ermittelt. Für den Vergleich mit den Referenzen bevorzugt Küpper den "nichtlinearen Mustervergleich" (Template-Matching). Dieses Verfahren benötigt weniger Speicherplatz und Rechenkapazität als andere Methoden, was es für Handys gut geeignet macht. Bei den ersten Handys werden die Stimmerkenner allerdings wohl noch eher als Komfortfeature verwendet werden, denn als Sicherheitsschutz. Für Verträge ist die Unterschrift die ideale Biometrie. Ob sie echt oder gefälscht war, ließ sich bisher nur an ihrem Erscheinungsbild beurteilen – für gute Fälscher keine große Hürde. Biometrische Verfahren messen aber auch dynamische Faktoren wie Geschwindigkeit, Beschleunigung, Druck oder Auf- und Absetzpunkte des Stifts. Als Sensoren dienen für Stifteingabe geeignete Grafiktabletts, Displays oder künftig auch Spezialstifte mit Kontaktsensoren.
Entscheidend ist aber nicht nur der Sensor, "genauso wichtig ist, welcher Algorithmus für die Erkennung verwendet wird", erläutert Küpper. Siemens entwickelte dafür ein Stroke-basiertes Verfahren. Unter Stroke versteht man einen zusammenhängenden Schriftzug, der ohne Absetzen des Stifts zustande kommt. Die Merkmale der Verbindungszüge, wie Richtung der Schriftlinien und Geschwindigkeitskomponenten, ergeben ein Muster, das mit den Referenzmustern der Originalunterschrift verglichen wird. Diese können geschützt auf einer Chipkarte gespeichert sein.
In Zukunft können Handys ihren Benutzer an der Stimme erkennen
Gesichtserkennung in 3D. Für die Gesichtserkennung wurde von Siemens CT im Rahmen des europäischen Forschungsprojekts HISCORE ein Kamerasystem entwickelt, das Gesichter dreidimensional wahrnehmen kann. Der 3D-Erkenner wirft mit einer Art Diaprojektor ein farbiges Streifenbild aufs Gesicht. Stirn, Augenhöhlen, Nase oder Kinn verformen die Farbstreifen und erzeugen für jede Person ein anderes charakteristisches Muster (siehe Bild am Anfang). In diesen Verbiegungen des Farbmusters stecken 3D-Informationen wie in den Höhenlinien einer Landkarte. Eine Videokamera zeichnet dieses Muster auf. Aus diesen Farbdaten berechnet nun ein Computer die Gesichtsform der untersuchten Person und vergleicht sie mit den Referenzdaten. Dabei werden Standardverfahren zur 2D-Gesichtserkennung mit der Tiefeninformation gekoppelt. Der Vorteil von 3D-Daten: Sie sind unabhängig von Störfaktoren wie Beleuchtung oder Kopfhaltung und machen das Verfahren robuster und sicherer als die 2D-Gesichtserkennung. Zur Zeit sind Pilotprojekte in Vorbereitung, bei denen diese Vorteile demonstriert werden sollen.
Um die Hand und ihre charakteristischen Merkmale aufzunehmen, genügt den Siemens-Entwicklern eine simple Videokamera mit Grauwerten. Daraus werden die Handkontur sowie Fingerlängen und -dicken herausgefiltert. Ein solches Verfahren hat Siemens CT in ein System zur Gestikerkennung integriert. Der Benutzer wird dabei durch eine einfache Handgeste identifiziert – ein Komfortmerkmal etwa für Messebesucher. In Zukunft könnte man auch die 3D-Erkennung des Gesichts mit der 3D-Erkennung der Hand kombinieren und so zu Systemen mit hoher Erkennungssicherheit gelangen.
Schau' mir in die Augen. Als das derzeit genaueste biometrische Identifikationsverfahren gilt der Iris-Scan, wie er etwa von der US-Firma Iridian Technologies entwickelt und bei Siemens in Australien als Zugangskontrolle für E-Business-Geschäfte getestet wurde. Will sich ein PC-Nutzer in seinen Computer einloggen, blickt er zuvor in eine kleine Videokamera. Eine infrarote Lichtquelle leuchtet das Auge unsichtbar aus. Die Kamera mustert die Iris, das ringförmige Feld um die Pupille. In Hunderten von Segmentschritten wird dieses Bild dann auf spezifische Merkmale untersucht. Derartige Iris-Scans sind derzeit allerdings noch recht aufwändig. Entweder ist die System-Hardware teuer, die die Kamera automatisch aufs Auge und die Iris fokussiert, oder der Benutzer muss sein Auge in die richtige Position zur Kameralinse bringen, was nicht besonders komfortabel ist. Aber Sicherheit hat eben ihren Preis.
Um die Sicherheit weiter zu erhöhen, lassen sich auch verschiedene Verfahren kombinieren. So demonstriert Siemens im Rahmen des vom deutschen Bundesforschungsministerium geförderten Leitprojekts Smartkom in zwei Anwendungsszenarien unter anderem die Verwendung der Biometrien Stimme, Unterschrift und Handgeometrie. Auch Siemens Business Services hat im Sommer 2002 ein multiples Biometrieverfahren vorgestellt. Auf einer Smartcard sind drei biometrische Erkennungsverfahren – Sprache, Gesicht und Fingerabdruck – kombiniert (siehe Beitrag "Ihren Finger bitte!").
Zwar haben biometrische Verfahren den Massenmarkt noch nicht erreicht, aber sie stehen kurz davor: Sicherheitsüberlegungen sind dabei ebenso Treiber wie der Wunsch nach höherem Komfort. Sich Dutzende von PIN-Zahlen und Codes zu merken, ist eben weniger angenehm, als den Finger auf einen Chip zu legen oder in eine Kamera zu blicken. Wenn die Kosten für Sensoren und Hardware weiter sinken und die Biometrie in immer mehr Anwendungen ihre Verlässlichkeit beweist, dann steht einer breiten Markteinführung nichts mehr im Wege (siehe Fakten und Prognosen: Biometrie).
Die Sicherheit ist dabei selten das entscheidende Kriterium, denn mit höherem Aufwand und höheren Kosten lässt sich auch die Sicherheit der Verfahren erhöhen. Doch oft ist der Komfortaspekt wichtiger. Der Nutzer wird biometrische Techniken dann gerne akzeptieren, wenn er einfach damit umgehen kann, sagt Küpper: "Vertrauen in die neuen Verfahren kann die Bevölkerung am leichtesten über einen eher spielerischen Umgang mit Biometrie gewinnen. Dies könnte z.B. beim breiten Einsatz von Mobiltelefonen mit Sprechererkennung passieren."
Rolf Sterbak
Funktionsweise und Sicherheit der Biometrie
Zu einem biometrischen System gehören drei Elemente: ein Sensor, die Erkennungssoftware und die sichere Integration in eine Anwendung. Am Anfang steht das so genannte Enrollment. Dabei werden die biometrischen Merkmale des Nutzers erstmalig aufgenommen und vermessen. Charakteristische Merkmale werden zu einem Referenzdatensatz zusammengefasst und gespeichert. Wird der Anwender später kontrolliert, vergleicht das System die dabei gewonnenen Daten mit der gespeicherten Referenz. Stimmen sie in hohem Grad überein, gilt die Überprüfung als erfolgreich.
Prinzipiell werden zwei Arten der Kontrolle unterschieden: die Verifikation und die Identifikation. Ein Verifikationssystem untersucht die behauptete Identität des Benutzers, vergleicht also die aktuellen Messdaten mit den Referenzdaten (die der Benutzer z.B. auf einer Chipkarte mit sich führt). Beim Identifikationssystem werden die biometrischen Daten mit den (meist zentral gespeicherten) Referenzen aller zuvor registrierten Benutzer verglichen und der beste Treffer ermittelt.
Allgemein gilt: Je sicherer ein System sein soll, desto höher ist die Wahrscheinlichkeit, dass ein berechtigter Nutzer zurückgewiesen wird. Man spricht hier von der "Falsch-Rückweisungs-Rate" (FRR). Umgekehrt: Je fehlertoleranter ein System gestaltet ist, umso häufiger können auch nichtberechtigte Benutzer eindringen. Das heißt, die "Falsch-Akzeptanz-Rate" (FAR) wird höher. Solche Fehlerraten lassen sich nicht theoretisch berechnen, sondern müssen durch Evaluierungen im Rahmen von Szenarien ermittelt werden. FAR und FRR sind Kenngrößen für die Leistungsfähigkeit eines biometrischen Systems.
Verschiedene biometrische Systeme seriös miteinander zu vergleichen ist zur Zeit nur schwer möglich, da ein allgemeiner Teststandard fehlt. Mehrere nationale und internationale Gremien sind aber dabei, "Kriterien für eine zukünftige Evaluation biometrischer Systeme zu definieren", wie es das Büro für Technikfolgen-Abschätzung beim Deutschen Bundestag im Forschungszentrum Karlsruhe beschreibt. Für den Biometrie-Anwender werden verlässliche Evaluationen, die auf zuverlässigen Kriterien basieren, unverzichtbar. Siemens sieht sich dazu gerüstet, wie der Biometrie-Experte Wolfgang Küpper sagt: "Unsere Erfahrung bei der Evaluierung der verschiedensten Biometrien in unterschiedlichen Anwendungsszenarien kann unseren Kunden hohe Fehlinvestitionen ersparen."