Abstract: Nutzer durch die Karte (Besitz) sowie auch

Abstract: In der heutigen Zeit der Informationstechnik kommt man nicht mehr daran vorbei sichzu authentifizieren. Ob zu Hause oder bei der Arbeit – jeder Zugriff auf E-Mail, Online Shoppingoder andere Accounts erfordert ein Passwort. Diese hingegen haben ihre Schwächen und sind sehrleicht angreifbar.

Doch die Biometrischen Verfahren, die mit körperlichen Merkmalen arbeiten,scheinen immer mehr an Popularität zu gewinnen und diese Probleme der herkömmlichen Methodenzu umgehen. Die vorliegende Ausarbeitung soll einen Überblick über einige gängige Verfahren unddas Konzept dahinter vermitteln.Keywords: Schlüsselwörter1 EinleitungDie folgenden Seiten sind ein Einblick in das Thema der Biometrischen Authentifikation.Dabei gehen wir darauf ein, wie diese funktionieren und im Alltag eingesetzt werden.

Danach werden wir reflektieren, welche Vor- und Nachteile Biometrische Verfahren habenund schaffen uns ein Bild über die Effizienz, Sicherheit und Rechte.Zunächst muss geklärt werden was Authentifikation ist. Angewendet wird die Authentifikationhäufig um den Zugriff in ein IT-System einzuschränken. Nur authorisierten Personensollte der Zugriff erlaubt sein. Die wohl weit verbreiteste Methode ist das Passwort.

Hierbeiauthentifiziert man sich am System mit einem Account und Passwort. Werden diese korrekteingegeben und stimmen mit einem in der Datenbank vorhandenen Datensatz überein, kannman davon ausgehen, dass die Person autorisiert ist. Diese Zugriffseinschränkungen sindnotwendig, um sich vor Angriffen und Diebstahl der Daten zu schützen.Hierbei gibt es mehrere Herangehenweisen: die Authentifizierung durch Wissen (z.

Best services for writing your paper according to Trustpilot

Premium Partner
From $18.00 per page
4,8 / 5
4,80
Writers Experience
4,80
Delivery
4,90
Support
4,70
Price
Recommended Service
From $13.90 per page
4,6 / 5
4,70
Writers Experience
4,70
Delivery
4,60
Support
4,60
Price
From $20.00 per page
4,5 / 5
4,80
Writers Experience
4,50
Delivery
4,40
Support
4,10
Price
* All Partners were chosen among 50+ writing services by our Customer Satisfaction Team

BPasswort, Pin), Besitz (Smartcard, Sim-Karte, USB Token) und durch Merkmale (weiteresdazu in den nächsten Kapiteln). Um eine höhere Sicherheit zu gewährleisten wird oftmalsauch eine Kombination aus diesen Drei Vorgehen verwendet. Bei Bankautomaten zumBeispiel wird der Nutzer durch die Karte (Besitz) sowie auch einer Eingabe eines PIN(Wissen) authentifiziert. Im den kommenden Abschnitten gehen wir genauer auf dieAuthentifizierung mittels biometrischen Verfahren ein. Die biometrischen Verfahren habeneinerseits zu der Authentifikation auch die Möglichkeit der Identifikation von Personen.1 Hochschule Darmstadt, Fachbereich Informatik, [email protected]

de2 Hochschule Darmstadt, Fachbereich Informatik, [email protected] Bao Anh Nguyen, Sabine Wiens2 Biometrische SystemeDie Biometrie (alt-grieschisch ‘bios’ für “Lebenünd ‘metron’ für “Maß”) ist also die Lehreder Messung von lebenden Körpern.Die Definition des Begriffs nach ISO (International Orginization for Standardizization):”Automated recognition of individuals based on their behavioral and biological characteristics.”(ISO) Biometrie ist demnach die automatisierte Erkennung von Individuen anhandihrer verhaltensmäßigen oder biologischen Merkmalen.Biometrische Systeme versuchen daher anhand von Merkmalen oder verhaltenstypischenEigenschaften die Identität einer Person zu erkennen.

Bevor eine Person durch ein BiometrischesSystem erkannt werden kann, muss man Referenzdaten aufgezeichnet und in derDatenbank bzw. einem Speichermedium abgespeichert haben. Diese Art der Registrierungnennt man Enrollment.

Will man sich dann autorisieren, wird das gespeicherte Referenzmustermit den von den Sensoren aufgenommen Daten verglichen. Ist eine hohe prozentualeÜbereinstimmung (Akzeptanzschwelle) erreicht, gewährt das System den Zugang. In derBiometrie gibt es zwei Arten der Überprüfung: zum Einen die Identifikation und zumAnderen die Verifikation. Die Verifikation (One-to-One) überprüft die Person mit genaueinem Profil und bestätigt, dass die Person für den Zugriff auf das System berechtigt ist.

Beider Identifikation (One-to-Many) hingegen vergleicht man mit vielen Daten zum Beispielvon einer Datenbank und identifiziert die Person. Daher kann man bei der Identifikationdavon ausgehen, dass die Person vom System erkannt beziehungsweise identifiziert wordenist und bestätigt deren Zugriff.Abb. 1: Biometrische System Ablauf ISWisA1 Biometrische Verfahren 33 Anforderungen an Biometrische MerkmaleBiometrische Merkmale müssen bestimmte Anforderungen erfüllen, um in einem BiometrischenSystem Anwendung zu finden. Im folgenden Abschnitt werden diese Anforderungennäher erläutert.

Nicht jedes körpereigene Merkmal ist dazu fähig, diesen Anforderungen zuerfüllen. Doch sind alle Anforderungen erfüllt, so kann das Merkmal effizient mit geringerFehlerrate und Fälschunsgrate in einem Biometrischen System genutzt werden.Universalität: Das Merkmal ist weit verbreitet und jede Person, ausgenommen Personen mitErbkranheiten oder Beteiligte eines Unfalls, besitzt dieses Merkmal. Somit kann garantiertwerden, dass das System von einer Mehrheit an Personen genutzt werden kann.Einzigartigkeit: Das Merkmal muss einzigartig sein.

Das heißt die Wahrscheinlichkeit, dasses zwei Personen mit der gleiche Ausprägung gibt, soll so gering sein wie möglich. Ist diesnicht gewährt, kann man dennoch andere Merkmale mit einbeziehen bzw. in Kombinationnutzen (multi-modale Verfahren) und somit die Wahrscheinlichkeit, dass Personen nichtunterscheidbar sind, um ein Wesentliches verringern.Permanenz: Die biometrischen Merkmale ändern sich zeitlich nicht. Das Merkmal istwertlos nach Forderung der Einzigartigkeit und Universalität wenn es sich im Verlaufder Alterung verändert. Dadurch wäre es nicht mehr möglich die Fälschungssicherheit zugewährleisten.

Fälschungssicherheit: Aus dem Merkmal sollte es nicht bzw. nur mit viel Aufwand möglichsein Attrappen, Fälschungen und Kopien zu erzeugen.Erfassbarkeit: Das Merkmal muss messbar sein.

Nur dadurch ist es erst möglich das Merkmalelektronisch zu verarbeiten.Abb. 2: Beispiele für bewährte Biometrische Verfahren zB4 Bao Anh Nguyen, Sabine Wiens4 Klassifikation4.1 IrisBei der Iriserkennung wird die Irisstruktur analysiert. Die Iris, oder auch Regenbogenhautgenannt, liegt auf der Augenlinse und umschließt die Pupille, wo sie durch Kontraktionund Ausdehnung ihrer Muskeln als Blende fungiert. So erhöht sie beispielsweise imDunkeln den Lichteinfall durch Ausdehnung, um die Sicht zu verbessern, und verkleinertdie Pupille bei hellem Licht durch Zusammenziehen der Muskeln. In der vorderen Schichtder Regenbogenhaut befinden sich die Pigmente, die für die Färbung verantwortlich sind.Die Augefarbe kann in den ersten Lebensjahren noch variieren, wohingegen die Bildungder Irisstrukur ab dem 8.

Schwangerschaftsmonat abgeschlossen ist und sich im Laufe desLebens nicht verändert. Sie erfolgt zufällig und ist somit genetisch unabhängig. Außerdemunterscheidet sich die Struktur des rechten von der des linken Auges. Die Wahrscheinlichkeitfür zwei zufällig identische Strukturmuster liegt bei 1 : 1078.

Hier ist somit von einerEinzigartigkeit auszugehen.Bei der Erstellung des Iriscodes wird der von dem amerikanischen Informatiker JohnDaugman entwickelte Algorithmus durchlaufen. Zunächst müssen mit einer (um Fehlerdurch Lichtreflexen vorzubeugen monochromatischen) Kamera Fotos der Iris geschossenwerden. Die Prozedur ist berührungslos und der Abstand beträgt je nach Gerät 3 bis 60 cm.Das Schießen mehrerer Fotos reduziert zufällige Fehler durch Reflexionen, Bewegungen,Kamerawinkel, etc. Danach wird die Position der Iris lokalisiert und das Muster der Strukturextrahiert. Dieses kennzeichnet sich durch gewisse Merkmale aus, wie Streifen, Flecken undRinge.

Aus diesen werden Merkmalsvektoren erzeugt, die wiederum die Grundlage für denIriscode bilden, der mit den in der Datenbank vorhandenen Iriscodes mit XOR-Vergleichenabgeglichen wird.Bei diesem Verfahren ist eine Lebenderkennung recht simpel, aber effektiv gestaltet: eswird erkannt, ob sich die Pupille bei gezielten Lichteinfällen und -strahlen zusammenzieht.So können Glasaugen oder Fotos nicht zur Täuschung verwendet werden.Abb.

3: Iriscode-GenerierungzBWisA1 Biometrische Verfahren 54.2 FingerabdruckFingerabdrücke entstehen durch Papillarleisten. Papillarleisten sind kleine Erhebungen, diesich an Fingern, Fußsohlen, Handflächen, Fußsohlen und Zehenunterseiten zu finden sind.

Diese Strukturen bilden sich im vierten Embryonalmonat aus und sind bei jeder Personeinzigartig. Danach verändern sich die Papillarleisten ohne äußeren Einfluss nicht mehr.Dabei gibt es drei Grundmuster: Schleifen, Bogen- und Wirbelmuster. Diese Grundmusterergeben bestimmte Bilder wie Inseln, Kreuzungen, Gabelung, Linienenden, Delta oderPoren, die von dem Biometrischen System analysiert werden.Abb. 4: Grundmuster und Grundbilder ReUm eine Person anhand der Fingerabdrücke zu identifizieren, wird ein Bild von der Fingerkuppegemacht. Danach wird nach den oben genannten signifikanten Abbildungen gesucht(Inseln, Gabelungen, etc.

). Diese Abschnitte werden gespeichert und später verwendet. Dierestlichen Daten werden verworfen, um die Größe des Datensatzes zu reduzieren. Anhanddieser Datenabschnitte, die man in binäre Daten umwandelt, wird später der Abgleichdurchgeführt.Beim Abgleich muss der Fingerabdruck in der gleichen Position sein wie das gespeicherteReferenzmuster. Dabei ist noch zu erwähnen, dass neben den Datenabschnitten auch diejeweiligen Abstände bestimmter Punkte und Winkel zu einem Kernbild abgespeichertworden sind.

Diese Abstände helfen danach den aufliegenden Finger auf dem Sensorzurückzurechnen und danach die Person zu verifizieren bzw. zu identifizieren.Beim Fingerabdruck werden verschiedene Sensoren benutzt. Es gibt Kameras, Infrarot-,Ultraschall-, Druck-, Kapazitive- und Utraschallsensoren. Die Größe der Maschine undKosten variieren nach den Sensoren. Dennoch ist der Fingerabdruck das meist verbreiteteVerfahren, da es sehr kompakt und effizient ist. Deshalb findet man sie heutzutage sehr oftin Laptops, Handys und am Flughafen.Stellt sich noch die Frage: wie sicher ist dieses Authentifikationsverfahren? Als möglicheAngriffe kommt als erstes Erzeugen eines Fingerabdrucks in Frage.

Um diese Gefahr zuveranschaulichen hat der “Chaos Computer Club” (CC) einen Selbstversuch gemacht undeinen Fingerabdruck nachgebildet. Dazu haben sie einen Fingerabdruck auf einer Oberflächemit Graphitpulver oder Sekundenkleber sichtbar gemacht. Danach wurde der Fingerabdruck6 Bao Anh Nguyen, Sabine Wiensmit einer Kamera digitalisiert und anschließend am Computer grafisch nachbearbeitet. Hatman nun ein digitales Abbild des Fingerabdrucks, wird dieser mittels Laserdrucker auf eineFolie gedruckt. Diesen klebt man nun auf den eigenen Finger als Attrappe und schon istder gefälschte Fingerabdruck fertig.

(Chaos Computer Club: Wie können Fingerabdrückenachgebildet werden?)Dies zeigt, dass es sehr wohl im Bereich des Möglichen liegt einen Fingerabdruckscannerauszutricksen. Für den alltäglichen Einsatz bei kleinen eletronischen Geräten dürfte diesesVorgehen zu aufwendig sein. Wird allerdings das eigene Haus oder das Bankonto mitdieser Methode geschützt, könnte dieses Verfahren als alleinige Sicherheitsmaßnahmemöglicherweise nicht ausreichen.Das zweite mögliche Angriffsszenario ist, dass die Person, deren Identität gestohlen werdensoll, im gleichen Raum ist und mittels Gewalt gezwungen wird den Fingerabdruckscannerzu betätigen.

Bei diesem Szenario ist allerdings ein Passwort auch nicht sicherer. Trotz dermöglichen Angriffe stellt ein Fingerabdruckscanner eine gute Möglichkeit zur Authentifikationdar. Das gilt insbesondere, wenn er durch weitere Authentifikationsverfahren unterstütztwird.4.3 GesichtBei der Gesichtserkennung wird versucht – ähnlich wie das menschliche Gehirn – einenMenschen beim Anblick des Gesichtes zu erkennen. Durch stetige Steigerung der Rechenleistungin den letzten Jahren, kann dieses Verfahren immer effizienter eingesetzt werden.Das Verfahren ist besonders ausschlaggebend für Sicherheitsvorkehrung, Kriminalistik undForensik geworden.Die Gesichtserkennung ist in mehreren Schritten eingeteilt.

Zunächst wird das Gesichtdurch Kameras aufgenommen. Die Aufnahme erfolgt dabei berührungslos und kann ohnegroße Mühen digitalisiert werden. Das Merkmal hat eine große Verbreitung und einweiterer guter Vorteil ist, dass deren Erfassung mittels Kamera von den Menschen als nichtlästig empfunden wird. Nach der Digitalisierung versucht eine Erkennungssoftware denBildbereich des Gesichts zu bestimmen, um das Gesicht zu segmentieren.Die Segmentierung findet durch Einsatz von Gitternetzen statt. Anhand dieses Gitternetzeswerden bestimmte Gesichtsmerkmale als sogenannte Landmarken markiert.

Landmarkensind Punkte, die markante Bereiche wie Augen, Nasen und andere Gesichtspunkte kennzeichnenund deren Abstände zueinander durch Verbindungen herstellen. Dadurch ensteht einGitternetz, die das Gesicht in Regionen einteilt. Die Regionen werden dann zum Vergleichgenutzt, um eine Identität nachzuweisen zu können. Dieses entstandede Template oder auchReferenzmuster wird gespeichert und später zum Vergleich aufgerufen.Hierbei gibt es noch zwei Arten der Bilder: die Klassischen sind das 2D-Bild und das3D-Bild.

Unter Verwendung des Viola-Jones-Algorithmus werden Muster in einem 2D-BildWisA1 Biometrische Verfahren 7gesucht. Dieser Algorithmus versucht selbst Ähnlichkeiten im Bild herauszufinden und undstützt sich dabei auf vier Basismuster, die in Graustufen arbeiten. Dieses Bild wandelt dasSystem in eine Matrix um und speichert sie ab. Diese Methode ist sehr effizient und ist mitwenigen Kameras realisierbar. Doch Angriffe mit einem Foto reichen schon aus um dasSystem zu umgehen.

Bei dem 3D-Bild hingegen ist die Kopfform, Geometrie und Relationen ausschlaggebend.Das 3D-Bild wird von speziellen 3D-Kameras erfasst. Die Aufnahme erfolgt mittelsStreifenprojektion, das heißt, dass aus vielen 2D-Bilder streifenweise ein 3D-Bild erzeugtwird.Die festgehaltenen Merkmale des 3D-Bildes sind schwieriger zu kopieren und somitein sichereres Verfahren als das 2D-Bild-Verfahren. Doch diese Art der Erfassung stehtvor einigen Problemen. Die Einsatzmöglichkeiten sind sehr beschränkt, da man einenkomplizierten Aufbau braucht. Die Aufnahme gelingt nur aus nächster Nähe, braucht mehrZeit und benötigt mehr Verarbeitungsaufwand.

Hinzu kommt noch das Problem derenKomplexität und deren Ungenauigkeit.Abb. 5: Gitternetz Segmentierung des Gesichtes MuDabei steht das System vor einigen Herausforderungen um eine hohe Erfolgsrate zu gewährleisten.Das Gesicht ist ein dynamisches Merkmal,da die Form durch das Knochengerüst,der Muskulatur, der Haare und der Hautoberfläche beeinflusst wird. Daher müssen dieLandmarken, dort gesetzt werden, wo die Mimik das Gesicht nicht ständig stark beeinflussen,zum Beispiel die obere Kanten der Augenhöhlen, der Bereich um die Wangenknochenund die Seiten des Mundes. Und auch nicht immer ist das Gesicht ideal zur Kamera hinpositioniert. Ideal wäre eine frontale Aufnahme. Ist die Position des Gesichts zum Beispielvon der Seite oder zu nah an der Kamera dran, so ist die Fehlerrate extrem hoch.

Somitmuss die Erkennungssoftware einiges anpassen, damit das Bild als Template genutzt werdenkann.4.4 VenenDie Venenstruktur bildet sich bereits vor der Geburt. Danach verändert sich die Struktur nichtmehr, bis auf die Größe der Blutgefäße im Laufe des Wachstums. Heutige Verfahren nutzen8 Bao Anh Nguyen, Sabine Wiensbeim Venenscan die Handflächen, Handrücken und Finger, da sie sehr leicht zugänglichsind.

Die Venenstruktur ist sogar so variabel, sodass man Zwillinge unterscheiden kann.Bei der Aufnahme der Daten wird mit einer Kamera ein schwarz/weiss Bild mit Nahinfrarotfiltervon der Handoberfläche gemacht. Dabei wird die Venenstruktur sichtbar. Dieses Bildwird binär dargestellt und danach werden markante Strukturen abgespeichert. Die Datenwerden durch Vektorrechnung und XOR-Verknüpfungen in einen Hashwert umgewandeltund in einer Datenbank hinterlegt. Bei der Verifikation wird der gleiche Prozess an derHandfläche ausgeführt und der erhaltene Hashwert verglichen. Stimmt der erhaltene Hashwertmit einem in der Datenbank vorhandenen überein, kann man davon ausgehen, dass dasSubjekt authentifiziert ist.Ebenfalls ist es hier möglich eine Lebenderkennung mit einzubeziehen, um den Venenscanum einiges sicherer zu machen.

Auch zu erwähnen ist, dass die Venen schwerer angreifbarsind als andere Biometrische Verfahren. Zum einen da sich Venen – im Gegensatz zuFingerabdrücken – nicht einfach so hinterlassen oder extrahiert werden können. Ebenfallssind diese auf Anhieb nicht sichtbar und können nicht ohne großen Aufwand und Gerätegestohlen oder Attrappen erzeugt werden. Daher gilt der Venenscan zu einer der sicherstenMethoden.

Die Kosten und Entwicklung hingegen sind bei dieser Methode noch nichtsehr ausgereift, sodass nur Sicherheitsfirmen oder große Firmen auf dieses Verfahrenzurückgreifen.WisA1 Biometrische Verfahren 95 Privatsphäre und RechteMittlerweile sind Biometrische Verfahren zur Authentifizierung im Alltag angelangt. BeimFingerabdruck im Personalausweis oder der Gesichtserkennung am Handy hat der Benutzerseine hochsensiblen Daten noch in der eigenen Hand.

Wenn diese allerdings auf einerfremden Datenbank verwahrt werden, steigt die Skepsis. Die Anbieter BiometrischerVerfahren haben daher besonderen Wert auf Datenschutz, im Besonderen Gewährleistungder Sicherheit der Daten, zu legen. Die Datenschutzrechtlinien variieren zwischen Ländernund Anwendungen.

Viele Nutzer fürchten einen Missbrauch ihrer sehr persönlichen Daten,da sich aus einigen Verfahren Rückschlüsse auf den gesundheitlichen Zustand herleitenlassen (zum Beispiel bei der Iris- oder Venenerkennung), oder es besteht Sorge vor einemIdentitätsdiebstahl. Die Europäische Union Datenschutz-Grundverordnung 2016/679 ordnetebiometrische Daten als sensible persönliche Daten ein, die daher besonders zu schützensind. Das beginnt bereits bei der offenen Datenerhebung, bei der dem Nutzer von Anfangan klar ist, welche Daten genau und zu welchem Zweck sie gespeichert werden. Genausodarf der Anbieter auch nur die tatsächlich notwendigen Daten verarbeiten.In diesem Zusammenhang muss zusätzlich sichergestellt werden, dass die in einer Datenbankhinterlegten Daten ausreichend gesichert sind (solche Datenbanken haben zum Beispiel keineInternetverbindung oder die Daten werden auf einer Chipkarte gesichert) und dass aus denReferenzdaten keine Verbindung zur natürlichen Person hergestellt werden kann. Dies wirdbeispielsweise verhindert, indem Merkmalsvektoren statt der Merkmale an sich gespeichertwerden, was auch weniger Speicherverbrauch und schnellere Vergleiche ermöglicht. Fernersollte es nicht möglich sein durch Hinzuziehen weiterer biometrischer Daten einer Personeiner anderen Anwendung ein Benutzerprofil zu erstellen oder verschiedene Templatesmiteinander zu vergleichen.

Dies sollte durch das Recht auf Privatsphäre verhindert werden.Um umfangreiche Sicherheit für den Nutzer gewährleisten zu können, wurde der datenschutzfreundlicheStandard Biometric Template Protection (BTP) Systems gemäß ISO/IECentwickelt. Dieser definiert die Speicherung biometrischer Templates sowie die Referenzarchitekturder BTP Systeme. Nach deren Vorbild wurden bereits einige, verschiedene BTPSysteme entwickelt.

6 FazitBereits jetzt werden Biometrische Systeme im Alltag nicht nur zur Entlastung an Sicherheitseingängengenutzt. Der Zugriff auf Handys und Laptops per Fingerabdruck oderGesichtserkennung ist Standard – und auch beim Geldabheben werden bereits biometrischeDaten abgefragt (wie zum Beispiel die Venenerkennung bei der Banco Bradesco in Brasilien).Biometrische Verfahren bieten eine hohe Sicherheit – nicht zuletzt aufgrund des simplenPrinzips: der Nutzer kann sich alleine durch seine Merkmale authentifizieren ohne zusätzlichesWissen oder Besitz (PIN und Karte zum Beispiel). Das macht Fälschungsversuche umeiniges schwerer, wenn auch nicht unmöglich.10 Bao Anh Nguyen, Sabine WiensEs herrscht noch viel Skepsis gegenüber dieser Verfahren, da die Verarbeitung der Datendurch die Anbieter der Biometrischen Dienste nicht in jedem Fall transparent zu sein scheint:der Nutzer ist sich nicht sicher, was mit seinen Daten geschieht. Mögliche Konzepte derGesichtserkennung bei Überwachungskameras bedeuten einen Verlust der Privatsphäre undder möglichen ständigen Überwachung. Die Systeme sind bei weitem auch nicht fehlerfrei.

So wie mancher Betrüger die Dienste überlistet, werden auch andere korrekt registrierteNutzer fälschlicherweise zurückgewiesen (False Rejection), was das Vertrauen in diese Artder Authentifizierung schwächt.Nichtsdestotrotz setzen viele Firmen auf diese preiswerte Methodik, da ihnen der Sicherheitsaspektzu Gute kommt. In der Forensik wird sie genutzt, um Verbrechen aufzuklärenund für Sicherheit zu sorgen. Obwohl viele Biometrische Verfahren noch ihre Fehler haben,sind sie eine gute Alternative zu der herkömmlichen Weise und eröffnen neue Aussichtenauf zukünftige Technologien und Möglichkeiten der Sicherheit.