Biometrische Identifikations- und Sicherungssysteme

1. Prüfungsvorleistung
Vorgelegt von Michael Nauen

Fachhochschule Niederrhein
Fachbereich Wirtschaft
Studiengang Betriebswirtschaftliches externes Studium mit Präsenzphase
Veranstaltung: Betriebsinformatik II
Wintersemester 2002 / 2003

1. Grundlagen 2
1.1 Begriffsbestimmung 2
1.2 Merkmale 3
1.3 Aufbau von biometrischen Identifikationssystemen 4

2. Anwendungsfelder 6
2.1 Identitätsfindung 6
2.2 Identitätsbestätigung 6

3. Sicherheit der Authentifizierung 6
3.1 Fehlerraten 7
3.2 Replay Attacken 9
3.2.1 Physikalische Replay Attacken 9
3.2.2 Elektronische Replay Attacken 9
3.3 Sicherheitsmassnahmen 10
3.3.1 Schutz vor physikalischen Replay Attacken 10
3.3.1.1 Lebenderkennung 11
3.3.1.2 Erfassung von zusätzlichen Informationen 11
3.3.1.3 Multimodale Merkmalserfassung 12
3.3.2 Schutz vor elektronischen Replay Attacken 12
3.3.2.1 Manipulationsüberwachung 12
3.3.2.2 Verschlüsselung 12
3.3.2.3 Integritätsprüfung 12
3.3.3 Systemsicherheit 13

4. Verfahren 13
4.1 Fingerprint 13
4.2 Gesichtserkennung 18
4.3 Iriserkennung 21

5. Recht 23
5.1 Einsatzfelder 23
5.2 Rechtlicher Datenschutz 24
5.3 Technischer Datenschutz 26
5.4 Ausblick in die Zukunft 26

Literaturverzeichnis 28

1. Grundlagen

1.1 Begriffsbestimmung

Biometrie
Entgegen den traditionellen Authentifizierungstechniken, die darauf beruhen, dass ein Benutzer über ein bestimmtes, nur ihm bekanntes Wissen und/oder einen persönlichen Berechtigungsschlüssel verfügt, verwendet die Biometrie physiologische oder verhaltenstypische Merkmale zur Authentifikation des Benutzers.
(vgl. Teletrust, Kriterienkatalog, 2002, S. 1)

Identifikation
Bei der Identifikation wird eine unbekannte Person identifiziert. D.h. anhand eines 1:n Vergleichs wird die Identität der Person aus den gesamten dem System bekannten Personen festgestellt.

Verifikation
Bei der Verifikation wird die Identität einer bekannten Person bestätigt. D.h. anhand eines 1:1 Vergleichs mit den, dem System bekannten, Referenzdaten wird festgestellt ob es sich bei der Person um diejenige handelt, für die sie sich ausgibt.

Authentifizierung
Bei der Authentifizierung wird die Echtheit der Person bezeugt. Dies geschieht mittels einer Identifikation oder Verifikation. Eine erfolgreiche Authentifizierung bedarf also einer positiven Identifikation oder Verifikation.

Autorisierung
Autorisierung bedeutet „Ermächtigung“ oder „Bevollmächtigung“. Ist also durch eine erfolgreiche Authentifizierung die Echtheit der Person bezeugt, so wird die Person autorisiert bestimmte Handlungen durchzuführen oder bestimmte Dienste in Anspruch zu nehmen.
(vgl. Teletrust, Kriterienkatalog, 2002, S. 4f)

1.2 Merkmale

Die in der Biometrie zur Verwendung kommenden Merkmale teilt man in zwei unterschiedliche Kategorien, die passiven bzw. physiologischen und die aktiven bzw. verhaltensbasierenden Merkmale auf.

Physiologische Merkmale sind statische Körpermerkmale, wie z.B. der Fingerabdruck, das Irismuster oder die Handgeometrie.

Verhaltensbasierende Merkmale sind dynamische Merkmale, wie z.B. die Unterschriftsdynamik, die Stimmerkennung oder die Anschlagdynamik auf einer Tastatur.
(vgl. Nolde, 2002, S. 21)

Um für ein biometrisches Verfahren geeignet zu sein sollte ein Merkmal die folgenden Eigenschaften besitzen:

Universalität
Das Merkmal muss bei jeder Person vorhanden sein.

Einzigartigkeit
Das Merkmal muss die Unterscheidung verschiedener Menschen ermöglichen.

Konstanz
Das Merkmal muss in seiner Ausprägung konstant sein. Es sollte sich im Laufe der Zeit möglichst wenig ändern.

Erfassbarkeit
Das Merkmal muss erfassbar sein. D.h. es muss sich quantitativ erheben lassen.
(vgl. Behrens, Roth, 2001, S. 21)

Akzeptanz
Das Merkmal muss von den potentiellen Betreibern und Nutzern akzeptiert werden. Ein Merkmal, das wegen fehlender Akzeptanz in einer Anwendung nicht genutzt wird, ist für ein biometrisches Verfahren ungeeignet.
(vgl. Teletrust, Kriterienkatalog, 2002, S. 8)

1.3 Aufbau von biometrischen Identifikationssystemen

Biometrische Erkennungssysteme erfassen biometrische Merkmale von Personen und verarbeiten diese mit dem Ziel die Identität dieser Personen zu bestätigen oder zurückzuweisen. Dies geschieht mittels vorher erfasster Referenzdaten der zu prüfenden biometrischen Merkmale.

Referenzdaten
Bei der Erfassung der Referenzdaten wird ein digitales Abbild des zu prüfenden Merkmals genommen. Aus diesen Rohdaten wird die zu untersuchende Merkmalseigenschaft extrahiert. Dies kann z. B. bei einem Fingerabdruck die Lage der Kreuzungspunkte, Endpunkte und Verzweigungen, die sog. Minutien sein. Man erhält auf diese Weise einen eindeutig von einem bestimmten biometrischen Merkmal abgeleiteten kleinen Datensatz. Diesen Datensatz nennt man Templat. Ein Templat ist ungefähr mit einem biometrischen Kennwort zu vergleichen. Da es sich bei den Templaten nur um kleine Datensätze handelt, sind sie deutlich leichter zu handhaben als die ursprünglichen Rohdaten.

[....]