CONSULTANTS INFO - 2001 / III

Der Körper als Schlüssel

Die Absicherung von Systemen mit PIN, TAN und Passwörtern bietet eine gewisse Sicherheit. Ob wirklich die berechtigte Person damit zugreift, lässt sich jedoch nicht sicherstellen. Biometrische Verfahren erhöhen hier die Sicherheit.

In der Werbung einer großen Kreditkartenfirma ist die Biometrie schon Alltag: Transationen werden durch Überprüfung des Fingerabdrucks oder der Iris autorisiert. Obwohl dieser Einsatz noch in der Zukunft liegt, hilft Biometrie schon heute den Zugang sicherer zu gestalten.

Grundlagen

Biometrie ist die Lehre von der Vermessung körpereigener Eigenschaften. Bei der biometrischen Autorisierung werden diese Merkmale aufgenommen und mit bereits hinterlegten Daten verglichen, um die Berechtigung des Benutzers festzustellen. Der Vorteil dieser Methode im Vergleich zu Passwörtern und PINs ist, dass die Anwesenheit der berechtigten Person einwandfrei festgestellt wird. Zudem entfällt das Erlernen von verschiedenen Passwörtern für verschiedene Autorisierungen, da man sein Merkmal immer bei sich trägt. Bei biometrischen Identifikationsverfahren kommen solche Körpermerkmale zum Einsatz, die möglichst einzigartig, universell und konstant sind. Ein erfolgreicher Einsatz eines Systems setzt voraus, dass die Aufnahme des Merkmals für den Anwender einfach und bequem ist. Aufgrund dieser Kriterien fallen viele Merkmale weg, zur Zeit werden nur etwas mehr als ein Dutzend für Systeme genutzt, unter anderem Fingerprint, Handgeometrie, Iris, Retina, Ohrform, Stimme, Gesicht, Lippenbewegung, DNS und Unterschrift. Wichtig ist die Entstehung des biometrischen Merkmals, die genotypisch, randotypisch und konditioniert erfolgen kann. Genotypische Merkmale entstehen durch Vererbung und bereiten Probleme bei der Unterscheidung von eineiigen Zwillingen und Klonungen. Die randotypischen Merkmale entstehen durch zufällige Veränderungen während der embryonalen Frühphase der Entwicklung eines Menschen. Konditionierte Merkmale sind solche, deren Ausprägung durch Training bestimmt ist, wie es bei der Unterschrift oder dem Tastaturanschlag der Fall ist. Für die eindeutige Identifizierung einer Person sind randotypische Anteile auf jeden Fall unverzichtbar, in der Regel enthält ein biometrisches Merkmal unterschiedliche Anteile von allen drei Entstehungsarten. Eine ideale biometrische Körpereigenschaft muss eine hohe Konstanz aufweisen oder am besten von Faktoren wie Wachstum, Alterung, Abnutzung oder Verschmutzung unbeeinflusst bleiben. Als Beispiel für solche Merkmale seien an dieser Stelle die Iris des Auges und die DNA genannt, aber auch der Augenhintergrund (Retina) verändert sich fast nie. Ein gutes System zur biometrischen Autorisierung betrachtet aber nicht nur das Merkmal an sich, sondern auch die Genauigkeit der Messung, den Komfort für den Benutzer und die Kosten. Nur eine kostengünstige und benutzerfreundliche Lösung wird der Biometrie den Weg in die Massenanwendung ebnen.

Identifikation vs. Verifikation

Man unterscheidet bei den Methoden der biometrischen Benutzererkennung zwischen der Verifikation und der Identifikation. Eine Verifikation ist der Abgleich des aktuellen Merkmals gegen genau ein vorher aufgenommenes Merkmal (1 zu 1-Vergleich). Der Benutzer gibt sich dazu gegenüber dem System zu erkennen, zum Beispiel durch die Eingabe einer Benutzerkennung oder einer PIN, wodurch ihm ein bestimmtes Referenzmuster zugeordnet wird. Der Vorgang der Verifikation erfordert nur eine vergleichsweise geringe Rechenleistung, anders hingegen sieht es bei der Identifikation aus: dort erfolgt der Abgleich der aktuell aufgenommenen Daten gegen alle vorliegenden Daten (1 zu n-Vergleich). Je nach Menge der Referenzdaten dauert dieser Vergleich einige Zeit, was die Benutzerfreundlichkeit und die Benutzbarkeit eines biometrischen Erkennungssystems einschränkt. Bei einer kleineren Anzahl von Benutzern stellt die Identifikation aber auch ein Komfortmerkmal da, zum Beispiel wenn sich der Sitz in einem Fahrzeug automatisch auf den Insassen einstellt. Für alle Anwendungen gilt allerdings, dass die meiste Rechenzeit für die Verarbeitung der Bilddaten bei der Mustererkennung verbraucht wird. Erst in der letzten Zeit steht kostengünstige Hardware mit einer Rechenleistung von 100 MIPS zur Verfügung, die solche Verfahren typischerweise benötigen.

Sicherheit von biometrischen Systemen

Die Sicherheit bei biometrischer Benutzererkennung ist immer die Sicherheit gegen eine falsche Autorisierung. Eine falsche Autorisierung kann zustande kommen durch:

die False Accept Rate (FAR). Die FAR ist die Häufigkeit, mit der eine nicht-berechtigte Person als berechtigt akzeptiert wird.
durch gezielte Fälschungsversuche
durch Fehler bei der technischen System-Realisierung

Die FAR sollte bei jedem System so klein wie möglich sein. Im Zusammenhang mit der FAR steht eine andere Größe, die False Reject Rate (FRR). Die FRR beschreibt die Häufigkeit, mit der eine berechtige vom System zurückgewiesen wird. Je kleiner die FAR wird, desto höher wird die FRR (vgl. Abbildung 1). Bei der Beschreibung eines Systems muss darauf geachtet werden, dass beide Werte, FAR und FRR, zur selben Schwelle gehören. Außerdem ist zu beachten, dass alle Werte statistischer Natur sind und nur durch Tests herausgefunden werden können, eine theoretische Herleitung ist nicht möglich.

Enrollment

Vor der biometrischen Benutzererkennung muss das System den Benutzer kennen lernen, in dem seine Merkmalsstruktur erfasst und als Referenz gespeichert wird. Dieser Vorgang wird als Personalisierung oder Enrollment bezeichnet und ist von besonderer Bedeutung. Nur bei sorgfältiger Durchführung eines Enrollment lassen sich genug Daten des körpereigenen Merkmals erfassen, damit für eine spätere Autorisierung auch bei einem schlechten aktuellen Muster noch genug Übereinstimmungen vorhanden sind. Die gewonnenen Daten werden zur Zeit häufig in einer zentralen Datenbank gespeichert, vereinzelt auch schon in Smartcards. Die Lösung mit Karten hat für den Benutzer den Vorteil, dass seine Daten immer in seiner Hand bleiben und nicht weitergegeben werden können. Allerdings lässt sich so nur eine Verifikation durchführen, eine Identifikation setzt immer das Vorhandensein aller Daten voraus.

Verfahren im Detail: Fingerabdruckekennung

Fingerabdrücke werden von der Kriminalistik schon seit mehr als 100 Jahren zur Identifikation einer Person eingesetzt und sind auch bei biometrischen Systemen die am häufigsten eingesetzte Technik. Da dieses Verfahren in der Bevölkerung den höchsten Bekanntheitsgrad hat, genießt es auch die größte Akzeptant. Der Fingerprint wird durch ein Sensorsystem erfasst, welches kapazitiv, optisch, akustisch, thermisch oder drucksensitiv arbeitet. Der Marktführer Siemens setzt in seinen Systemen CMOS-Sensoren von Infineon ein, die aufgrund der kleinen Abmessungen leicht in Geräte und Systeme integrierbar sind. Das vom einem Sensor gelieferte Bild hat typischerweise eine Auflösung von 500 dpi und ist ein Graustufenbild, welches nach dem Scan in Abhängigkeit des Verfahren unterschiedlich weiterverarbeitet wird. Beim Minutiae-Based Fingerprint Matching (MBFM) werden die charakteristischen Punkte des Fingers wie Rillen, Kreuzungen, Verzweigungen und Endungen erfasst. Bei einer Verifikation wird das Referenzbild dann solange verschoben und gedreht, bis die Abweichungen der Minutien minimal ist. Bei schlechter Qualität des aufgenommenen Bildes kann es aber vorkommen, dass Minutien gar nicht erkannt werden. Oder Punkte, die keine Minutien enthalten, werden als Minutie herangezogen. Daher erfordert dieses Verfahren einen erhöhten Aufwand bei der Bildbearbeitung und Auswertung. Einen anderen Ansatz verfolgt das Correlation-Based Fingerprint Matching (CBFM), mit dem versucht wird, einige Probleme des MBFM zu umgehen. Anstatt nur die Position der Minutien zu verwenden, benutzt CBFM die Graustufen-Information aus dem Fingerprint-Bild, da ein Graustufenbild sehr viel detailreichere Informationen liefert. Zuerst werden dazu charakteristische Ausschnitte aus dem Bild als Referenz ausgewählt. Dann sucht ein Algorithmus im aktuell aufgenommenen Bild nach den Positionen, an denen die Ausschnitte übereinstimmen. Zuletzt prüft die Software die Übereinstimmung der Positionen in beiden Fingerabdrücken, um eine Aussage zu treffen. Bei allen Verfahren wird nicht das komplette Bild gespeichert, sondern nur ausgewählte Punkte als Referenz. So reduziert sich die Größe der Daten in Abhängigkeit vom Verfahren auf 120 bis 2000 Byte. Eine größere Anzahl von Vergleichpunkten erhöht zwar die Erkennungssicherheit des Systems, aber auch die Datenmenge. Dies ist vor allem bei einer Identifikation von Bedeutung, wo viele Datensätze in möglichst kurzer Zeit verglichen werden müssen.

Iris-Erkennung

Während es sich bei der Fingerabdruckerkennung um ein schon weit verbreitetes und kostengünstiges Verfahren handelt, ist die Iris-Erkennung das High-End-Verfahren mit der größten Genauigkeit. Allerdings sind auch die Kosten nicht unerheblich. Als körpereigenes Merkmal dient die Iris (griech. Iris = Regenbogenhaut) , die als Blende des Auges dient. Die Weite der Pupille und damit der Lichteinfall wird durch Muskeln in der Iris bestimmt und geregelt. Wegen der hohen Konstanz eignen sich die Merkmale der Iris wie Äderchen, Streifen, Pigmentkrausen usw. sehr gut zur Benutzererkennung, denn im Laufe des Lebens gibt es bei der Iris keine natürlichen Veränderungen. Nur Krankheiten und Verletzungen rufen unter Umständen Veränderungen hervor. Im Vergleich zum Fingerabdruck enthält die Iris sechs- bis achtmal so viele Merkmale, weshalb sich dieses Verfahren besonders für höherwertige Transaktionen empfiehlt. Seit über einem Jahr betreiben die Dresdner Bank und Wincor Nixdorf mit einem Iris-System der US Firma Sensar einen Geldausgabeautomaten in Frankfurt im Rahmen eines Pilotprojekts. An diesem Automaten können registrierte Mitarbeiter der Dresdner Bank Geld ohne PIN abheben, ein Blick in das System genügt. Technisch ist das System als Aufbau für einen normalen Geldausgabeautomaten realisiert. Auch Kontaktlinsen und leicht getönte Sonnenbrillen bereiten dem System keine Schwierigkeiten, lediglich das Iris-Muster muss für die Kamera noch erkennbar sein. Das eingesetzte Sensar R1 enthält 3 verschiedene CCD-Kameras: zwei dienen zur Aufnahme eines Gesamtbild, die dritte ist eine bewegliche Zoom-Kamera. Zuerst ermittelt ein bildverarbeitendes Verfahren im Gesamtbild des Position des Kopfes und der Augen. Mit diesen Informationen wird die Zoom-Kamera auf die Augen gerichtet und es wird eine Nahaufnahme der Iris gemacht. Durch den Einsatz von Infrarot-Lampen wird eine gewisse Unabhängigkeit vom Umgebungslicht erreicht. Über das Iris-Bild legt das System per Software eine Maske aus acht konzentrischen Ringen, die dem Pupillendurchmesser und dem Lidstand angepasst werden. Innerhalb dieser Maske durchsucht die Software die Iris nach den charakteristischen Verästelungen und speichert diese in einer Art menschlichem Barcode. Dieser Barcode hat eine Größe von nur 256 Byte, weist aber die größte Merkmalsdichte aller biometrischen Verfahren auf. Typischweise ist die Wahrscheinlichkeit eines identischen Iris-Codes zwischen 1 zu 1015 und 1 zu 1030. Der erfolgreiche Verlauf des Pilotprojekts zeigt deutlich das Potential der Iris-Erkennung.

Fazit

Biometrie ist eine junge Technologie, aber stark im kommen. Wer heute schon seinen Rechner damit absichern will, findet auf dem Markt verschieden Produkte zu moderaten Preisen. Der Aspekt des Datenschutzes ist hierbei zu vernachlässigen, da alle Daten in der Hand des Anwenders bleiben. Wenn die eigene Firma oder die Bank biometrische Erkennung benutzen, sollte aber auf jeden Fall kritisch hinterfragt werden, wo und wie die Daten gespeichert werden.

Inhalt - CI 2001 / III