Ravensburg, im Mai 2025 – Biometrische Authentifizierung wie Fingerabdruck- und Gesichtserkennung ist etabliert und bietet hohe Sicherheit sowie Benutzerfreundlichkeit – besonders in Kombination mit MFA. Dennoch bestehen erhebliche Datenschutzbedenken, da biometrische Daten unveränderlich sind und Verstöße dauerhaft wirken können. Entscheidend ist eine sichere, datenschutzkonforme Umsetzung.
Biometrische Authentifizierung nutzt physische Merkmale wie Fingerabdrücke, Gesichtszüge, Stimmerkennung oder Iris-Scans, die für jede Person einzigartig sind. Auch Verhaltensbiometrie wie Tipp-Dynamik oder Mausaktivitäten gehören dazu. Diese Merkmale sind schwer zu fälschen und können schwerer verloren gehen. Ein unrechtmäßiger Zugriff durch Dritte kann somit weitgehend ausgeschlossen werden. Sie bieten daher eine höhere Sicherheit im Vergleich zu traditionellen Methoden wie Passwörtern oder PINs. Anwendung findet die biometrische Authentifizierung beim Entsperren von Endgeräten bis hin zu Zugangskontrollen in Hochsicherheitsbereichen.
Entgegen der unimodalen Authentifizierung kommen bei der multimodalen biometrischen Authentifizierung verschiedene biometrische Daten zur Identitätsprüfung zum Einsatz. So wird das Risiko der Manipulation oder Täuschung erschwert. Zwar kann ein gehacktes Foto zum Täuschen der Gesichtserkennung genutzt werden, scheitert dann aber an einer weiteren Information. So sinkt die Erfolgswahrscheinlichkeit des Angriffs.
Anwender lieben sie wegen ihres praktischen Nutzens. Es muss kein komplexes Passwort gemerkt und monatlich geändert werden. Manche Systeme wie die Gesichtserkennung Hello von Microsoft authentifizieren die Nutzer ohne deren aktives zutun. Es reicht schon vor dem Computer zu sitzen.
Auch IT-Verantwortliche schätzen die Vorteile von biometrischen Anmeldungen. Sie erfordern weniger Schulungsaufwand und müssen nicht ständige geändert werden. Sie stehen nicht auf Post-its oder werden in Browsern gespeichert. Biometrie – Insbesondere multimodale Authentifizierungen – ist somit eine deutliche Verbesserung gegenüber Kennwörtern.
Trotz der Sicherheitsvorteile gibt es erhebliche Datenschutzbedenken. Biometrische Daten sind unveränderlich; einmal gestohlen, können sie nicht wie Passwörter geändert werden. Zudem besteht die Gefahr, dass diese Daten für Überwachung oder Diskriminierung missbraucht werden. Dies bedeutet, dass ein Verstoß oder Missbrauch dauerhafte Folgen haben kann.
In der Datenschutzgrundverordnung (DSGVO) werden biometrische Daten definiert als „mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen einer natürlichen Person, die die eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen, wie Gesichtsbilder oder daktyloskopische Daten“. Somit fallen Sie in die Kategorie besonderer personenbezogener Daten nach Artikel 9 DSGVO. Damit einher gehen die Anforderungen für deren Einsatz:
Andernfalls ist die „Verarbeitung von (…) biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person (…) untersagt.“
Unternehmen sind gefordert, die Zulässigkeit der Verarbeitung biometrischer Daten sicherzustellen. Dazu zählt die Klärung und Einhaltung der gesetzlichen Vorgaben wie der Datenschutz-Grundverordnung (DSGVO). Sie müssen gewährleisten, dass biometrische Daten sicher gespeichert und verarbeitet werden und dass die Einwilligung der Nutzer transparent eingeholt wird.
Es bietet sich an, eine Datenschutzfolgenabstimmung für die Nutzung biometrischer Daten zu erstellen. Und auch wenn eine Rechtsgrundlage gegeben ist, müssen Verantwortliche die Risiken, die sie in der DSFA dokumentieren, mit angemessenen Schutzmaßnahmen begegnen.
Die Herausforderung in dieser Aufgabe besteht in der Komplexität dieser Systeme. Die Risikobetrachtung umfasst alle zugehörigen Komponenten bzw. deren Schwachstellen wie Erfassungsgeräte, Verarbeitungslogiken, Referenzdatenbanken, Berechtigungsdatenbanken, diverse Schnittstellen, Systembetreiber uvm. Dazu kommen Risiken, die sich aus den Schwachstellen oder einer Kombination dieser ergibt. Ein Beispiel: Werden biometrische Daten mit weiteren personenbezogenen Daten verknüpft, lassen sich die biometrischen Zutrittskontrollen und Zugangskontrollen dazu missbrauchen, heimlich Nutzerprofile anzulegen, zum Beispiel für die Verhaltenskontrolle von Beschäftigten.
Gerade die technologischen Entwicklungen im Bereich der Künstlichen Intelligenz (KI) führen zu weiteren Risiken für die informationelle Selbstbestimmung der Menschen. Ein Beispiel: KI kann das Alter und Geschlecht einer Person zuverlässig anhand von Videoaufnahmen und Gesichtsauswertung bestimmen. Zusätzlich ermöglicht eine Mimik Analyse Rückschlüsse auf die Gefühlslage (Emotional Decoding). Dies geschieht oft ohne Wissen oder Zustimmung der Betroffenen. Solche Techniken messen u.a. die Wirksamkeit von Werbung und passen sie besser an Zielgruppen an.
Ein weiteres Beispiel ist das moderne KI-Algorithmen bereits zum Generieren von Fingerabdrücken eingesetzt werden und mit Erfolg Fingerabdruckscanner täuschen konnten.
Neben den möglichen Schwachstellen können biometrische Systeme sehr wohl manipuliert werden, wie Beispiele jüngster Vergangenheit zeigen. Der Einsatz von Fotos, 3-D-Masken und Silikon-Fingerabdrücke ermöglichen Präsentationsangriffe. Auch reichen bei Fingerabdruckscannern von Smartphones oftmals teilweise Übereinstimmungen mittels Master-Abdruck. Auch kommt es vor, dass berechtigte Nutzer nicht erkannt werden. Beispielsweise bei einer neuen Brille, einem anderen Make-up oder einer gesundheitlichen Beeinträchtigung.
Bei einigen Technologien zur biometrischen Authentifizierung gibt es ernstzunehmende ethische Bedenken durch z. B: systematische Fehler. Gesichtserkennungssysteme erkennen People of Color nicht mit der gleichen Genauigkeit. Grund dafür ist, dass diese Technologien mit Männern weißer Hautfarbe trainiert wurden. Dadurch ist eine gewisse Voreingenommenheit gegenüber Frauen und People of Color in die Systeme integriert.
Biometrie ist und bleibt uns erhalten. Ihre Vorteile überwiegen die Nachteile, sodass Unternehmen weiterhin auf biometrische Authentifizierung setzen werden. Die Herausforderung für Unternehmen liegt darin die Grundlagen für die datenschutzrechtliche Nutzung zu schaffen, aber auch die Fragen zur Sicherheit zu klären. Dadurch können Unternehmen sicherstellen, dass biometrische Technologien sicher und verantwortungsvoll genutzt werden. Biometrie kann ein Schlüssel zur Sicherheit sein, wenn die biometrischen Daten selbst auch sicher sind.
Zusammengefasst sollten Unternehmen, die biometrische Verfahren nutzen möchten, folgende Schritte gehen:
ZIP | 1 MB | inklusive Bildmaterial
