Der Sensor liest den Fingerabdruck, vergleicht ihn mit den Fingerabdrücken, die in der Datenbank des bordeigenen Zentralcomputers abgelegt sind und öffnet die Autotür. Gleichzeitig fährt der Fahrersitz in die gewünschte Position. Die Hifi-Anlage wählt die zuletzt gehörte CD und stellt die Klimaanlage auf die richtige Temperatur ein. Bei Ralph Schmidt sind das 18 Grad. Er mag keine überhitzten Autos.
Vision dabei ist, einen echten schlüssellosen Fahrzeugbetrieb zu haben. Das heißt, es ist nichts mitzuführen, kein Schlüssel, keine Fernbedienung und auch kein Transponder. Ziel dabei ist die Erhöhung des Nutzerkomforts.
Einstweilen noch auf einen sanften Fingerdruck hin soll das Auto alle Lieblingseinstellungen seines Fahrers vorbereiten. Später einmal wird der Wagen nach dem Willen der Bosch-Forscher nur noch auf die Stimme seines Fahrers hören. Die biometrische Überprüfung Fingerprint soll nämlich irgendwann durch Stimmerkennung ersetzt werden.
Seit mehr als dreißig Jahren erforschen Automobilzulieferer, Flugzeughersteller und vor allen Dingen Militärs und Sicherheitsdienste wie Schlüssel und andere Sicherheitsmechanismen durch unverwechselbare Merkmale des Menschen ersetzt werden können. Das Stichwort ist Biometrie. Fingerabdruck, Stimmerkennung, das Profil der Körpertemperatur oder die Iris sollen dafür sorgen, dass Menschen besser identifiziert, öffentliche Gebäude, Flughäfen, Eisenbahnen oder auch personenbezogene Daten besser geschützt werden. Die Erwartungen sind hoch.
Einstweilen stehen jedoch zumindest die Automobilhersteller noch vor etlichen Problemen. Ralph Schmidt hat alle Hände voll zu tun, den Wagenschlüssel durch ein wirklich zuverlässiges biometrisches System zu ersetzen. Er steigt in seinen Wagen ein, schließt die Tür und deutet auf eine Stelle oberhalb des Autoradios.
Wir haben die Positionstasten ersetzt, an der Sie normalerweise Ihre Position speichern können, wo Sie Ihren Sitz eingestellt haben, Spiegel, Lenkrad und so weiter. Durch diesen Sensor, da führen Sie einen Roll-Mess durch, speichern Ihre Merkmale ab. Und beim nächsten Mal legen Sie Ihren Finger auf, und alles fährt in die Richtung, wo Sie es abgespeichert haben.
Doch vor den Motorstart haben die Ingenieure eine erneute Identitätskontrolle gesetzt. Auf dem Wahlhebel für das Automatik-Getriebe befindet sich ein weiterer kleiner Sensor, und der scannt Ralph Schmidts rechten Zeigefinger noch einmal.
Ein Sensor älterer Bauart, im Wahlhebel integriert. Sie starten das Fahrzeug wie folgt: Treten aufs Bremspedal, weil wir ein Automatikgetriebe haben. Das könnte man auch mit der Kupplung machen. Legen Ihren Finger auf, und wenn Sie erkannt werden, startet der Motor.
Mitnichten. Der Motor springt nicht an. Ralph Schmidt hat keine Berechtigung für den Motorstart. Die ist in der Biometrie-Datenbank des Bordcomputers nur für seinen linken Zeigefinger hinterlegt, nicht für den rechten, den er gerade hat scannen lassen. Im wirklichen Leben hätte der Fahrer jetzt ein Problem. Als Entwickler des Systems kann sich Ralf Schmidt zum Glück selber helfen. Er trägt die Rechte einfach nach und teilt dem Bordcomputer mit, dass er den Motor auch mit dem rechten Zeigefinger starten darf.
Der Charme dieser Methode ist, dass Sie die Möglichkeit haben, Benutzerrechte zu vergeben. Ähnlich wie ein Administrator in der PC-Welt können Sie beispielsweise aufs Motorsteuergerät die Höchstgeschwindigkeit festsetzen. Ist natürlich interessant, wenn Ihr Sohn oder Ihre Tochter Führerscheinneuling ist, und Sie möchten, dass er nicht schneller wie 100 auf Landstraßen fährt, dann setzen Sie ihm hier in seinem Account die Höchstgeschwindigkeit fest. Oder wenn Sie Autos verleihen, können Sie die Zeitdauer damit begrenzen, sodass derjenige, der bezahlt hat, nur für die Zeit, wo er das bezahlt hat, das Auto bewegen kann.
Über die Solitude-Schnellstraße geht es mit Tempo 100 in Richtung Stuttgart. Wir sind auf dem Weg zu den Patch-Barracks, dem Hauptquartier der US-Streitkräfte in Europa. Die wollen ihre Wagenschlüssel und Fahrzeugpapiere in einen multifunktionalen Dienstausweis integrieren, der ebenfalls auf der Basis des Fingerabdrucks arbeiten soll. Die Fahrzeit nutzt Ralph Schmidt, um die Ausstattung seines Testwagens noch etwas ausführlicher zu erklären.
Im Moment sieht das System wie folgt aus: Wir haben einen Sensor, den wir von Sensorherstellern beziehen, einen Biometriecontroller, ne Eigenentwicklung und das Steuergerät des jeweiligen Fahrzeugs, was aufs Netz zugreift. Auf Dauer ist es natürlich sehr teuer, Controller und Steuergerät getrennt zu halten. Deswegen muss die Tendenz dahin gehen, das Ganze zu vereinen. Hoppla Tschuldigung
Regen kommt auf, und in der Biometriedatenbank ist für den Account von Ralph Schmidt hinterlegt, dass bei nassen Straßen das Tempo deutlich gedrosselt werden soll. Und das macht der Mercedes dann auch.
Und wenn Sie das dann so realisieren, dass Sie das ganze Fahrzeug mit Biometrie ausstatten, dann haben Sie natürlich mehrere Sensoren in den Türen verbaut, Außen- und Innenhaut, im Wahlhebel, das heißt Sie hätten mehrere Sensoren und mehrere Biometriecontroller. Das ist natürlich auch keine effiziente Lösung. Insofern wäre der Endschritt dann, intelligente Sensoren, die direkt aufs Netz zugreifen und dabei nur ein Steuergerät beziehungsweise einen Biometriecontroller ansprechen.
Doch da steht noch ein klassisches Problem der Datenverarbeitung im Weg. Biometriedaten erzeugen recht große Dateien. Ein Fingerabdruck wird in der Regel mit über 90.000 Bildpunkten dargestellt. Im Auto aber sieht die Verkabelung nur sehr geringe Bandbreiten vor. Also muss eine effiziente Datenkompression her. Außerdem müssen die Daten verschlüsselt übertragen werden. Denn sonst könnte ein Autodieb mit einem gefälschten Datensatz, den er direkt in die Datenbank des Bordcomputers einspeist, die Sensoren einfach umgehen. Und noch ein anderer Angriffspunkt etwaiger Autodiebe macht den Biometrie-Konstrukteuren bei Bosch zu schaffen:
Der Angriff durch Fakes an der Datenakquisition, also am Sensor. Ist sicherlich die Angriffsmöglichkeit, wo wir im Augenblick den geringsten Erfahrungswert haben. Deswegen auch der Grund, warum wir für diverse Anwendungen eine Lebendfingererkennung fordern.
Die Lebendfingererkennung - unter Sicherheitsexperten ist sie im Moment ein hochgradig strittiger Punkt. So weist Henning Daum vom Fraunhofer-Institut für graphische Datenverarbeitung in Darmstadt darauf hin, wie leicht Sensoren für die Fingerabdruckprüfung überlistet werden können. In Zusammenarbeit mit dem Bundesamt für Sicherheit in der Informationstechnik haben die Fraunhofer-Forscher diverse Biometrie-Systeme getestet und dabei immer wieder festgestellt, dass die Sensoren, die den Fingerabdruck scannen, eine gefährliche Schwachstelle des Systems sind. Henning Daum.
So wurden bestimmte Sensoren zum Beispiel einfach durch Anhauchen überwunden. Das ist natürlich 'ne Sache, die darf nicht passieren.
Zum Teil entstehen diese Schwachstellen, weil die Biometrie-Hersteller einfach Kosten sparen wollen und Billig-Sensoren einsetzen, die gerade einmal einen Euro oder weniger kosten. Manchmal unterschätzen sie einfach, mit welch findigen Methoden Tüftler Biometrie-Systeme überwinden. Aufsehen erregte Yoichi Ito mit seiner Arbeitsgruppe im Frühjahr dieses Jahres auf einer Biometrie-Konferenz im japanischen Kobe,
wo also der Gummifinger vorgestellt wurde, wie man also Fingerabdrücke fälschen kann, was ich nicht unbedingt gut heiße, was aber jetzt auch nicht mehr zu verhindern ist. Die Gegenmaßnahmen, das sind natürlich immer nur Empfehlungen.
Der Gummifinger, mit dem einem Fingerprint-Sensor vorgetäuscht wurde, dass ein autorisierter Mitarbeiter Zugang zu einem Rechenzentrum bekommen sollte, hat inzwischen Nachfolger bekommen. Studenten der Cornell University haben herausgefunden, dass es nicht ein in vielen Stunden mühsam gedrechselter Gummifinger sein muss, handelsübliche Gelatine tut es auch. Die daraus geformten Kunstfinger lassen Autotüren genauso aufgehen wie Sicherheitssysteme in militärischen Anlagen. Der künstliche Finger weist dabei einen real existierenden Fingerabdruck auf. Und wie man sich den verschafft, wissen Einbrecher, Terroristen und Geheimdienste schon längst.
Durch gängiges Hacken beispielsweise. Und falls die Datenbank so gut gesichert ist, dass das nicht klappt, gibt es noch andere Methoden. In einem ersten Schritt machen sie so genannte Zielpersonen ausfindig, beispielsweise einen US-Offizier, und versuchen, über benutzte Trinkgläser oder präparierte Zeitungen an seinen Fingerabdruck zu kommen. Zutritt zu einer Marinebasis an der amerikanischen Ostküste etwa verschafften sich Einbrecher, indem sie einen Sensor vor der eigentlichen Zutrittskontrolle anbrachten und damit die Fingerabdrücke der Zutrittsberechtigten einfach auslasen. Mitunter werden auch die Leitungen von den Sensoren zu den Datenbankrechnern angezapft und die Fingerabdruckmuster umgeleitet. Auf einen Gelatine oder Gummifinger geklebt sind sie ein wirksames Einbruchswerkzeug.
Legen Sie den Zeigefinger Ihrer rechten Hand auf das Prüfgerät - Bildmuster erfassen - abgeschlossen - Datenbankvergleich läuft - Identifiziert.
Die Biometrie-Hersteller antworteten auf diese Kunstfinger-Angriffe mit der Abfrage zusätzlicher Merkmale, Lebendidentifikation genannt. Ralph Schmidt
Unter Lebendidentifikation fordern Sie, dass also das Merkmal, was Sie auf dem Sensor auflegen, also Ihren Finger, dass der lebend ist. Sie schauen nach vitalen Merkmalen des menschlichen Körpers. Unter Falscherkennung prüfen Sie, ob es ein Fake ist, beispielsweise ein Kunststoff oder ein Silikon. Das wird meistens miteinander verwechselt. Nennen wir es einfach Lebenderkennung.
Doch kaum hatten die Biometrie-Experten einen wirksamen Algorithmus für die so genannte Falschfingererkennung entwickelt, unterliefen südamerikanische Terrorgruppen diesen Sicherheitsmechanismus mit einer ausgesprochen brutalen Methode. Sie trennten einfach den Finger eines Hubschrauber-Piloten der argentinischen Luftwaffe ab. Damit verschafften sie sich Zugang zu einer Luftwaffenbasis, von der aus die Behörden Coca-Felder vernichtet hatten. Keine Frage: Hat man es wirklich mit Terrorgruppen oder Tätern mit hoher krimineller Energie zu tun, steigt das Risiko. Der britische Sicherheitsexperte und Biometrie-Forscher Marek Reijmann-Green warnt denn auch.
Die Risiken liegen darin, dass Ihre Identität gefährdet und gefälscht werden kann. Etwa wenn sich jemand Zugang zu der Datenbank verschafft, die Ihre Identität speichert. Die Biometrie-Datenbank wird ja nicht von Ihnen persönlich vorgehalten, sondern von einer Organisation. So sind die Anforderungen an die Privatheit, Anforderungen an die Sicherheit sehr wichtig. Diese müssen ermittelt und in das Systemdesign eingebaut werden.
Hier gibt es noch große Defizite. Denn noch haben Henning Daum vom Fraunhofer-Institut für Graphische Datenverarbeitung zufolge längst nicht alle Biometrie-Hersteller erkannt,
dass es natürlich nicht ausreicht, etwa den Sensor zu schützen, aber dann für die Datenübertragung eine Standard-Schnittstelle wie seriell oder parallel oder ein FBAS-Videokabel oder USB zu verwenden, wo dann wieder sehr leicht gehorcht und Replay-Attacken oder ähnliche Angriffe gefahren werden können. Dann habe ich zwar den Sensor sehr sicher gemacht, aber die Hintertür habe ich offen gelassen. Die Datenübertragung, Datenspeicherung sind eigentlich Sachen, wo es heute Standardanwendungen für gibt, aber wir müssen uns auch wieder ins Gedächtnis rufen, dass Kosten ein Faktor sind, der die Hersteller oft dazu treibt, darauf keine Rücksicht zu nehmen. Aber die Sicherheit ist nicht für sich isoliert ein Thema, sondern wenn die Sicherheit eines Systems kompromittiert wird, sind auch die Daten kompromittiert. Und damit ist es natürlich durchaus auch ein datenschutzrelevantes Thema.
Beim Ersatz des Autoschlüssels ist der Datenschutz zwar kein so großes Thema wie bei medizinischen Daten oder direkt personenbezogenen Daten in den Unternehmen, dennoch bleibt Ralph Schmidt skeptisch. Im europäischen US-Hauptquartier in Stuttgart angekommen, verabschiedet er sich mit einer ernüchternden Einschätzung der Marktchancen von Biometrie-Systemen.
Die Verifikation mit Biometrie erhöht zwar die Sicherheit, jedoch ist ein alleiniger Schutz von Objekten mit hohen Werten mittels Biometrie im Identifikationsmodus im Moment nicht empfehlenswert aus unserer Sicht.
Bei der US Army sieht man das ein wenig anders. Ausgesprochen gründlich sind die Kontrollen im europäischen Hauptquartier in Stuttgart-Vaihingen. Schon am Autobahnzubringer stoppen schwer bewaffnete deutsche Polizisten jedes Auto. Der Personal- oder Dienstausweis wird verlangt, jeder muss erklären, was er in den Barracks zu tun gedenkt, wo genau er dort arbeitet, wen er sprechen will, wann er das Hauptquartier wieder verlassen wird. 50 Meter weiter der eigentliche Checkpoint. Mit Spiegeln wird der Unterboden des Autos abgesucht, Handtasche und anderes Gepäck peinlich genau kontrolliert. Dann erst öffnet sich das Rolltor und gibt den Blick frei auf zwei Wachlokale mit bis an die Zähne bewaffneten GIs. Was sie beschützen ist ein riesiges Areal, auf dem 5000 Soldaten Dienst tun.
Wer in das EUCOM Headquarter hinein will, muss seine Identität nachweisen. Soldaten, Zivilangestellte und Mitarbeiter von Vertragsfirmen machen das inzwischen mit der Common Access Card, dem biometriegestützten multifunktionalen Dienstausweis, den die US Army seit Juni 2002 einführt: eine Chipkarte im Scheckkartenformat. Ein Lichtbild hat der neue Dienstausweis immer noch. Aber er begnügt sich nicht damit. Die Karte speichert auch den Fingerabdruck seines Trägers in über 90.000 Bildpunkten. Eva-Maria Scheid von EDS Deutschland ist die zuständige Projektmanagerin.
Wir haben hier verschiedene Funktionalitäten verbunden. Wir haben einmal den Sichtausweis über das Foto. Wir haben den Chip, der die verschiedenen Anwendungen speichert, insbesondere auch die Zertifikate. Es gibt verschiedene Barcodes, die vornehmlich dafür gedacht sind, einfach ne Rückwärtskompatibilität zu Altsystemen auch zu gewährleisten, auf die noch zugegriffen werden können soll, die aber nicht mehr für neuere Anwendungen verwendet werden. Und es gibt natürlich verschiedene Sicherheitselemente, wie wir sie von Ausweisen kennen.
Nach der Terrorattacke auf die Twin Towers des World Trade Center hat die General Services Administration angeordnet, die bisher unterschiedlichen Ausweise der einzelnen Waffengattungen zu vereinheitlichen und den neuen Standard-Dienstausweis aus Sicherheitsgründen mit einem biometrischen Merkmal zu versehen. Zuvor gab es abgestuft nach Sicherheitszonen Sichtausweise und Passierscheine. Allerdings bemängelten die Verantwortlichen zu häufigen Missbrauch, insbesondere bei Verlust und beim Diebstahl von Ausweisen. So konnte sich ein Unbefugter mit einem gefundenen Dienstausweis im Winter 2001 Zutritt zum Rollfeld des Airfield Stuttgart verschaffen. Erst als er in einen Schlepper einsteigen wollte, wurde der Mann festgenommen. Außerdem wurden zu lange Wartezeiten bei der Überprüfung in sicherheitsrelevanten Bereichen beanstandet. Die Ausgabe eines Schlüssels für das Offizierskasino konnte schon einmal 45 Minuten dauern. Dringenden Handlungsbedarf sah das Pentagon dann, als bekannt wurde, dass auch die Waffenausgabe bei der Anordnung von Gefechtsbereitschaft schon einmal zusätzliche 15 Minuten beanspruchte. Das gab den Ausschlag bei der Entscheidung zugunsten der Biometrie-Karte.
Auf allen Karten gibt es heute Authentisierung, Verschlüsselung und elektronische Signatur und jeweils, es kommt darauf an, welche Applikationen sich die verschiedenen Organisationen dort noch als erste Applikation ausgesucht haben, dezentrale Applikationen wie zum Beispiel Gebäudezugang oder zum Beispiel Dienstreisemanagement. Es soll natürlich weitere dezentrale Applikationen geben, wie Zeiterfassung, medizinische Informationen, Berechtigung zum Zugang einer Dienstwaffe.
900 Ausgabestationen für den multifunktionalen Dienstausweis gibt es weltweit, auch auf den Kriegsschiffen. 25 dieser Ausgabestationen stehen in Deutschland, eine davon in Stuttgart-Vaihingen. Weltweit werden gegenwärtig 5000 Karten am Tag ausgegeben. Die Anlässe dafür erscheinen manchmal trivial, haben aber nicht zu unterschätzende Konsequenzen. Da schneidet sich etwa ein Soldat morgens in den rechten Zeigefinger. Und schon funktioniert seine Zugangsberechtigung für die Kaserne nicht mehr und er benötigt eine neue Chipkarte. Denn mit einem Pflaster am Finger kann der Sensor keinen Fingerabdruck scannen. Also braucht er eine neue Karte, auf der dann etwa der Fingerabdruck des linken Zeigefingers hinterlegt wird. Da führt kein Weg an der Ausgabestation vorbei. Die wird übrigens von einem in Sachen Biometrie besonders geschulten Offizier betreut. Eva Maria Scheid.
Der wird sich, wenn jemand kommt und hier eine Karte machen lassen möchte, gegenüber dem System mit einem Fingerabdruck identifizieren. Der Mitarbeiter des Militärs, der kommt, muss sich ebenfalls mit seinem Fingerabdruck identifizieren. Der ganze Prozess dauert ungefähr zehn bis zwölf Minuten, nicht deswegen, weil die Karte so lange braucht. Die ist in vier Minuten gedruckt, aber der ganze Papierkram und der ganze Prozess dauern unter 15 Minuten.
In den Stuttgarter Patch-Barracks hat der Biometrie-Offizier sogar ein eigenes abschließbares Büro. Purer Luxus in den Barracks, die ansonsten nur Gemeinschaftsbüros mit viel Lärm und wenig Privatsphäre kennen. Aus Mitarbeitersicht sieht die Ausstellungsprozedur dann so aus.
Der kommt dann also hin mit seinen Unterlagen, identifiziert sich dort, dass er auch derjenige ist, der diese Karte haben darf. Die Certification Authority, die DISA, erstellt die Schlüssel, die dann auf die Karte aufgebracht werden. Die persönlichen Daten, wie Geburtsdatum, die dann auf der Karte sind, werden von der Datenbank Rapids, die über 24 Millionen Einträge heute hat, rausgezogen und dann zusammengebracht und das alles auf der Karte implementiert.
Einstweilen hat man sich beim US-Militär für den Fingerabdruck als biometrisches Merkmal entschieden. Doch das ist keine Entscheidung für die Ewigkeit. Einen Vorteil hat der Fingerabdruck allerdings.
Die Anwender sind an den Fingerabdruck gewöhnt. Hier gibt es das Problem: Können denn alle einen Fingerabdruck abgeben. Das ist bei der Zielgruppe ziemlich praktisch, weil die Mitarbeiter des Militärs in der Regel zwischen 20 und 45 Jahre alt sind. Und es gibt nur ein Prozent der Mitarbeiter, die nicht mit dem Zeigefinger registriert werden können. Da wird dann ein anderer Finger benutzt. Wenn auch das nicht funktioniert? Da wurde mir gesagt: Na ja vielleicht ist er dann auch gar nicht im Militär.
Das amerikanische Verteidigungsministerium will ein zweites biometrisches Merkmal möglichst noch bis zum Jahr 2004 auf die Karte bringen. Das erhöht die Sicherheit und soll auch das Formularwesen nochmals erheblich eindämmen. Noch steht nicht fest, für welches biometrische Merkmal sich die US-Militärs entscheiden. Doch spricht sehr viel dafür, dass es die Unterschrift werden wird.
Das klingt auf den ersten Blick ein wenig erstaunlich, wenn man aber bedenkt, dass bei einer eigenhändigen Unterschrift über 50 so genannte primäre biometrische Merkmale abgeglichen und nahezu 600 sekundäre Merkmale zur Authentifizierung herangezogen werden können, wird deutlich, dass die Unterschrift ein Verfahren auf einem sehr hohen Sicherheitsniveau darstellt, sie wurde bisher nur immer unterschätzt. Außerdem kann die US Army mit der Unterschrift auf dem Dienstausweis viele Formulare abschaffen, die heute noch jedes mal von mindestens zwei Mitarbeitern oder Soldaten unterschrieben werden müssen. Wachbücher bei Dienstwechsel, Ausgabeprotokolle für Waffen, alles das kann künftig per Schreibtablett und Vergleich mit der Ausweis-Smartcard erledigt werden. Im Eucom-Hauptquartier laufen derzeit gerade Tests zur Alltagstauglichkeit des Verfahrens. Jörg Lenz von der Softpro GmbH in Böblingen, einem der weltweit bedeutendsten Anbieter von Systemen zur Unterschriftserkennung:
Es wird ein Unterschriftenvektor ermittelt, d.h. ein Datensatz typischer Merkmale für die Unterschrift. Und anhand dieses Datensatzes kann man wiederum definieren, wie die Ausprägung, also die Bandbreite des Unterschreibenden letztendlich ist, also wie tolerant man einer Unterschrift gegenüber zu sein hat oder wie scharf man sie prüfen kann. Das lässt sich auch justieren. Man kann Unterschriften klassifizieren, man kann ihnen eine Art Wert geben. Sagen wir es mal banal: Wen Sie eine so genannte Paraphe haben, also einen Menschen, der ganz knapp unterschreibt, nur mit einem Kringel. Dann sendet er relativ wenig Signale. Übersetzt auf Verschlüsselungsalgorithmen würde das heißen, jemand verlässt sich auf eine zweistellige Geheimzahl. Jemand der mit Vornamen Mittelinitial und Nachnamen unterschreibt, hat tendenziell eigentlich die höchstmögliche Sicherheit. Jetzt ist eine Unterschrift auch noch geprägt von der sozialen Entwicklung des Menschen. Es gibt Leute, die bleiben ein Leben lang ganz nah an der normalen Schreibschrift. Es ist nicht zwingend das, was man eine besonders individuelle Unterschrift nennen kann. Das heißt, man würde jemandem empfehlen, wenn die Unterschrift ein individuelles und ein sicheres Merkmal sein soll, dann eben nicht der Schönschrift der Schule allzu lange nachzuhängen, sondern im Alter von 16 oder 17 ein individuelles Merkmale auszuprägen.
Zwar handelt es sich bei jeder Unterschrift um ein Unikat, dennoch gibt es berechenbare Faktoren, die einen Abgleich von Unterschriften möglich machen. Das US Militär setzt dafür ein neuartige Schreibtablett ein. Jörg Lenz.
Stellen wir uns das ganz einfach so vor, dass Sie ein Feld haben, in dem eine solche Unterschrift aufgenommen wird, dann ist das ein Ortssignal, an dem Sie aufdrücken und von dem Sie sich dann praktisch zum nächsten Ortspunkt bewegen. Der zweite Faktor ist eine Druckstufe, man kann also nicht nur unterscheiden, ob ein Signal gesendet wird oder nicht, sondern auch mit welcher Intensität. Und die dritte Option, die man daraus ableiten kann ist eben die Geschwindigkeit und die Beschleunigung.
Drei weitere Unterschriften muss der Mitarbeiter, dessen biometrische Daten aufgenommen werden, dann noch leisten, bevor aus den Faktoren seiner Unterschrift ein Unterschriftenvektor berechnet werden kann. Will ein Soldat seine Dienstwaffe abholen, dann muss die so genannte Belegunterschrift nur noch von einem neuronalen Netzwerk mit den Daten des Unterschriftenvektors abgeglichen werden.
Das neuronale Netzwerk prüft zuerst einmal die statischen Merkmale, und darunter nimmt es sich 50 primäre und 600 sekundäre Merkmale heraus. Das sind zuerst einmal augenfällige Faktoren wie Hüllkurven, Schleifen. Es werden aber auch abgeleitete Vektoren gezogen, wie etwa Dichtevektoren. Man prüft also nicht nach rein qualitativen Merkmale- ist das eine schöne Schrift oder eine weniger schöne Schrift, das sind Dinge, die dem Graphologen anheim liegen - Man prüft nach quantitativen Markmalen, nach mathematisch messbaren Größen. Wenn Sie so wollen ist es eine Art Bildinterpretation, wo ich dem ursprünglichen Unterzeichner eben gewisse Abweichungen noch zulasse, und andere Abweichungen geben mir einen Hinweis darauf, dass jemand versucht hat, diese Unterschrift nachzufahren.
Identifiziert. Name: Welchering, Peter. Geboren 28. März 1960, Zutrittsnummer: 4567-1256, letzter Zutritt: 5. April 2003. Berechtigung für die Bereiche: Test. Letzte Sicherheitsprüfung: 24. Juni 2002
Das amerikanische Verteidigungsministerium hat auch mit der menschlichen Iris und Retina als biometrischen Merkmalen experimentiert. Die Experimente mit dem Augenhintergrund sind jedoch eingestellt worden. Die Soldaten und Zivilangestellten lehnten es schlichtweg ab, ihren Augenhintergrund von einem Laserstrahl abtasten zu lassen. So gut wie keine Akzeptanzprobleme bereitete hingegen die Iris-Erkennung. Dietmar Fischer von der SD Industries GmbH
Die Retina-Erkennung liegt im Augenhintergrund und hat mit Laser zu erfolgen, die Iris-Erkennung erfolgt mit einer ganz einfachen Standard-Videokamera. Die Iris ist sehr vielfältig, ich denke, es ist das vielfältigste biometrische Merkmal, das der Mensch hat. Was wir unterscheiden sind Flecke, Ringe, Risse und Streifen. Insgesamt nutzen wir etwa 266 Freiheitsgrade. Wenn Sie das mathematisch sehen, dann befinden Sie sich im 266dimensionalen Raum und suchen da ein Merkmal, einen Punkt heraus. Die Wahrscheinlichkeit, dass zwei Iriden gleich sind, liegt bei 1 zu 10 hoch 78. Wenn man dagegen die Weltbevölkerung mit weniger als 1 zu 10 hoch 10 gegenüber hält, dann sieht man, das ist ein sehr, sehr vielseitiges biometrisches Merkmal. Die Iris ist auch nicht im genetischen Code festgelegt, sondern entsteht in den letzten Wochen vor der Geburt und gleich nach der Geburt durch zufällige Einrisse. Auch das linke und das rechte Auge sind unterschiedlich. Und sie verändert sich im Laufe des Lebens nicht mehr, d.h. von den ersten Monaten bis zu Tod bleibt die Struktur der Iris konstant.
Wie bei allen biometrischen Merkmalen muss auch bei der Iris zunächst ein Bild aufgenommen werden, von dem ein so genannter Iris-Code, eine Referenzdatei erstellt wird. Dietmar Fischer
Im erste Schritt machen wir ein Videobild von der Iris. Wir suchen mit einem Algorithmus die Ränder der Iris aus. Wir suchen das Zentrum, das heißt die Pupille.
Dabei verrechnet der Algorithmus für die Iris-Erkennung, dass die Pupille auf Lichteinfall reagiert und ihre Größe verändert. Auch psychische Belastung kann die Pupillengröße verändern. Deshalb wird individuell für jede Iris eine idealtypische Standardgröße berechnet, auf die alle anderen Merkmale bezogen werden.
Wenn wir das aufgenommen haben, das Video von dem Auge, wird ein 512 Byte großer Iris-Code festgelegt. Das ist etwas, was weltweit standardisiert ist. Dieser Code wird dann mit anderen Codes in der Datenbank verglichen und dann eben entweder akzeptiert oder abgelehnt.
Nicht nur das amerikanische Verteidigungsministerium setzt inzwischen auf so genannte multimodale biometrische Verfahren. Auch die Sicherheitsverantwortlichen der großen Flughäfen in Europa haben entsprechende Projekte aufgesetzt. Dabei werden unterschiedliche biometrische Merkmale miteinander kombiniert. Der Fingerabdruck als Standardausweissystem, ergänzt durch die biometrische Unterschrift und als drittes Merkmal, die Iris-Erkennung. Durch die Abfolge bei der Abfrage werden die Sicherheitsstandards erhöht.
Die Frage ist nur, ob die Fluggäste mitspielen und die Abnahme von gleich mehreren biometrischen Merkmalen akzeptieren werden .
Die weltweite Biometrie-Gemeinde schaut deshalb sehr interessiert auf die Pilotprojekte der USA. Bis zum Jahresende will die Forschungsagentur des Verteidigungsministeriums den endgültigen Beschaffungsplan für den biometrischen Dienstausweis der US-Militärs festgelegt haben. Schon jetzt hat die amerikanische Regierung beschlossen, dass der Fingerabdruck als biometrisches Merkmal in Pässe integriert werden soll. Wer in die Vereinigten Staaten von Amerika einreisen will, kann das bald nur noch mit einem Reisepass, der einen Fingerabdruck enthält. Marktbeobachter erwarten deshalb, dass die Nachfrage nach Biometrie-Systemen in den nächsten Jahren rapide steigen wird.
Dabei dürften neben dem Fingerabdruck die Iris-Erkennung und die Unterschrift das Rennen machen. Mit einer Fehlerquote um die 5 Prozent sind sie technisch am weitesten ausgereift. Die mit der Videoüberwachung gekoppelte Gesichtsvermessung, von der Bayerns Innenminister Beckstein sich bei der Grenzkontrolle viel verspricht, wurde zwar bereits eine zeitlang erfolgreich eingesetzt: in kerntechnischen Anlagen und chemischen Fabriken etwa, konnte sich aber nicht etablieren, weil die Mitarbeiter ihre Privatsphäre verletzt sahen und die Videoüberwachung insgesamt in die Kritik geriet: als Wegbereiterin für einen alles wahrnehmenden Überwachungsstaat. Auch mit dem Profil der Körpertemperatur wurde experimentiert. Doch die hier verwendeten biometrischen Merkmale weisen zu starke Schwankungsbreiten auf. Auch die beste Mustererkennung konnte hier nichts mehr ausrichten.
Bleibt die Stimmerkennung. Kombiniert mit der Unterschrift werden ihr langfristig die besten Chancen eingeräumt. Doch das wird eben noch einige Jahre dauern. Und bis dahin werden wir vermutlich viel öfter als es uns lieb ist, unseren Fingerabdruck vorzeigen müssen, um in die Firma zu kommen oder auf den Flughafen, um die Autotür zu öffnen, im Internet zu surfen oder zu. Für 2004 hat die amerikanische Regierung eine Biometrie-Offensive angekündigt. Dann wird es ernst.
Vision dabei ist, einen echten schlüssellosen Fahrzeugbetrieb zu haben. Das heißt, es ist nichts mitzuführen, kein Schlüssel, keine Fernbedienung und auch kein Transponder. Ziel dabei ist die Erhöhung des Nutzerkomforts.
Einstweilen noch auf einen sanften Fingerdruck hin soll das Auto alle Lieblingseinstellungen seines Fahrers vorbereiten. Später einmal wird der Wagen nach dem Willen der Bosch-Forscher nur noch auf die Stimme seines Fahrers hören. Die biometrische Überprüfung Fingerprint soll nämlich irgendwann durch Stimmerkennung ersetzt werden.
Seit mehr als dreißig Jahren erforschen Automobilzulieferer, Flugzeughersteller und vor allen Dingen Militärs und Sicherheitsdienste wie Schlüssel und andere Sicherheitsmechanismen durch unverwechselbare Merkmale des Menschen ersetzt werden können. Das Stichwort ist Biometrie. Fingerabdruck, Stimmerkennung, das Profil der Körpertemperatur oder die Iris sollen dafür sorgen, dass Menschen besser identifiziert, öffentliche Gebäude, Flughäfen, Eisenbahnen oder auch personenbezogene Daten besser geschützt werden. Die Erwartungen sind hoch.
Einstweilen stehen jedoch zumindest die Automobilhersteller noch vor etlichen Problemen. Ralph Schmidt hat alle Hände voll zu tun, den Wagenschlüssel durch ein wirklich zuverlässiges biometrisches System zu ersetzen. Er steigt in seinen Wagen ein, schließt die Tür und deutet auf eine Stelle oberhalb des Autoradios.
Wir haben die Positionstasten ersetzt, an der Sie normalerweise Ihre Position speichern können, wo Sie Ihren Sitz eingestellt haben, Spiegel, Lenkrad und so weiter. Durch diesen Sensor, da führen Sie einen Roll-Mess durch, speichern Ihre Merkmale ab. Und beim nächsten Mal legen Sie Ihren Finger auf, und alles fährt in die Richtung, wo Sie es abgespeichert haben.
Doch vor den Motorstart haben die Ingenieure eine erneute Identitätskontrolle gesetzt. Auf dem Wahlhebel für das Automatik-Getriebe befindet sich ein weiterer kleiner Sensor, und der scannt Ralph Schmidts rechten Zeigefinger noch einmal.
Ein Sensor älterer Bauart, im Wahlhebel integriert. Sie starten das Fahrzeug wie folgt: Treten aufs Bremspedal, weil wir ein Automatikgetriebe haben. Das könnte man auch mit der Kupplung machen. Legen Ihren Finger auf, und wenn Sie erkannt werden, startet der Motor.
Mitnichten. Der Motor springt nicht an. Ralph Schmidt hat keine Berechtigung für den Motorstart. Die ist in der Biometrie-Datenbank des Bordcomputers nur für seinen linken Zeigefinger hinterlegt, nicht für den rechten, den er gerade hat scannen lassen. Im wirklichen Leben hätte der Fahrer jetzt ein Problem. Als Entwickler des Systems kann sich Ralf Schmidt zum Glück selber helfen. Er trägt die Rechte einfach nach und teilt dem Bordcomputer mit, dass er den Motor auch mit dem rechten Zeigefinger starten darf.
Der Charme dieser Methode ist, dass Sie die Möglichkeit haben, Benutzerrechte zu vergeben. Ähnlich wie ein Administrator in der PC-Welt können Sie beispielsweise aufs Motorsteuergerät die Höchstgeschwindigkeit festsetzen. Ist natürlich interessant, wenn Ihr Sohn oder Ihre Tochter Führerscheinneuling ist, und Sie möchten, dass er nicht schneller wie 100 auf Landstraßen fährt, dann setzen Sie ihm hier in seinem Account die Höchstgeschwindigkeit fest. Oder wenn Sie Autos verleihen, können Sie die Zeitdauer damit begrenzen, sodass derjenige, der bezahlt hat, nur für die Zeit, wo er das bezahlt hat, das Auto bewegen kann.
Über die Solitude-Schnellstraße geht es mit Tempo 100 in Richtung Stuttgart. Wir sind auf dem Weg zu den Patch-Barracks, dem Hauptquartier der US-Streitkräfte in Europa. Die wollen ihre Wagenschlüssel und Fahrzeugpapiere in einen multifunktionalen Dienstausweis integrieren, der ebenfalls auf der Basis des Fingerabdrucks arbeiten soll. Die Fahrzeit nutzt Ralph Schmidt, um die Ausstattung seines Testwagens noch etwas ausführlicher zu erklären.
Im Moment sieht das System wie folgt aus: Wir haben einen Sensor, den wir von Sensorherstellern beziehen, einen Biometriecontroller, ne Eigenentwicklung und das Steuergerät des jeweiligen Fahrzeugs, was aufs Netz zugreift. Auf Dauer ist es natürlich sehr teuer, Controller und Steuergerät getrennt zu halten. Deswegen muss die Tendenz dahin gehen, das Ganze zu vereinen. Hoppla Tschuldigung
Regen kommt auf, und in der Biometriedatenbank ist für den Account von Ralph Schmidt hinterlegt, dass bei nassen Straßen das Tempo deutlich gedrosselt werden soll. Und das macht der Mercedes dann auch.
Und wenn Sie das dann so realisieren, dass Sie das ganze Fahrzeug mit Biometrie ausstatten, dann haben Sie natürlich mehrere Sensoren in den Türen verbaut, Außen- und Innenhaut, im Wahlhebel, das heißt Sie hätten mehrere Sensoren und mehrere Biometriecontroller. Das ist natürlich auch keine effiziente Lösung. Insofern wäre der Endschritt dann, intelligente Sensoren, die direkt aufs Netz zugreifen und dabei nur ein Steuergerät beziehungsweise einen Biometriecontroller ansprechen.
Doch da steht noch ein klassisches Problem der Datenverarbeitung im Weg. Biometriedaten erzeugen recht große Dateien. Ein Fingerabdruck wird in der Regel mit über 90.000 Bildpunkten dargestellt. Im Auto aber sieht die Verkabelung nur sehr geringe Bandbreiten vor. Also muss eine effiziente Datenkompression her. Außerdem müssen die Daten verschlüsselt übertragen werden. Denn sonst könnte ein Autodieb mit einem gefälschten Datensatz, den er direkt in die Datenbank des Bordcomputers einspeist, die Sensoren einfach umgehen. Und noch ein anderer Angriffspunkt etwaiger Autodiebe macht den Biometrie-Konstrukteuren bei Bosch zu schaffen:
Der Angriff durch Fakes an der Datenakquisition, also am Sensor. Ist sicherlich die Angriffsmöglichkeit, wo wir im Augenblick den geringsten Erfahrungswert haben. Deswegen auch der Grund, warum wir für diverse Anwendungen eine Lebendfingererkennung fordern.
Die Lebendfingererkennung - unter Sicherheitsexperten ist sie im Moment ein hochgradig strittiger Punkt. So weist Henning Daum vom Fraunhofer-Institut für graphische Datenverarbeitung in Darmstadt darauf hin, wie leicht Sensoren für die Fingerabdruckprüfung überlistet werden können. In Zusammenarbeit mit dem Bundesamt für Sicherheit in der Informationstechnik haben die Fraunhofer-Forscher diverse Biometrie-Systeme getestet und dabei immer wieder festgestellt, dass die Sensoren, die den Fingerabdruck scannen, eine gefährliche Schwachstelle des Systems sind. Henning Daum.
So wurden bestimmte Sensoren zum Beispiel einfach durch Anhauchen überwunden. Das ist natürlich 'ne Sache, die darf nicht passieren.
Zum Teil entstehen diese Schwachstellen, weil die Biometrie-Hersteller einfach Kosten sparen wollen und Billig-Sensoren einsetzen, die gerade einmal einen Euro oder weniger kosten. Manchmal unterschätzen sie einfach, mit welch findigen Methoden Tüftler Biometrie-Systeme überwinden. Aufsehen erregte Yoichi Ito mit seiner Arbeitsgruppe im Frühjahr dieses Jahres auf einer Biometrie-Konferenz im japanischen Kobe,
wo also der Gummifinger vorgestellt wurde, wie man also Fingerabdrücke fälschen kann, was ich nicht unbedingt gut heiße, was aber jetzt auch nicht mehr zu verhindern ist. Die Gegenmaßnahmen, das sind natürlich immer nur Empfehlungen.
Der Gummifinger, mit dem einem Fingerprint-Sensor vorgetäuscht wurde, dass ein autorisierter Mitarbeiter Zugang zu einem Rechenzentrum bekommen sollte, hat inzwischen Nachfolger bekommen. Studenten der Cornell University haben herausgefunden, dass es nicht ein in vielen Stunden mühsam gedrechselter Gummifinger sein muss, handelsübliche Gelatine tut es auch. Die daraus geformten Kunstfinger lassen Autotüren genauso aufgehen wie Sicherheitssysteme in militärischen Anlagen. Der künstliche Finger weist dabei einen real existierenden Fingerabdruck auf. Und wie man sich den verschafft, wissen Einbrecher, Terroristen und Geheimdienste schon längst.
Durch gängiges Hacken beispielsweise. Und falls die Datenbank so gut gesichert ist, dass das nicht klappt, gibt es noch andere Methoden. In einem ersten Schritt machen sie so genannte Zielpersonen ausfindig, beispielsweise einen US-Offizier, und versuchen, über benutzte Trinkgläser oder präparierte Zeitungen an seinen Fingerabdruck zu kommen. Zutritt zu einer Marinebasis an der amerikanischen Ostküste etwa verschafften sich Einbrecher, indem sie einen Sensor vor der eigentlichen Zutrittskontrolle anbrachten und damit die Fingerabdrücke der Zutrittsberechtigten einfach auslasen. Mitunter werden auch die Leitungen von den Sensoren zu den Datenbankrechnern angezapft und die Fingerabdruckmuster umgeleitet. Auf einen Gelatine oder Gummifinger geklebt sind sie ein wirksames Einbruchswerkzeug.
Legen Sie den Zeigefinger Ihrer rechten Hand auf das Prüfgerät - Bildmuster erfassen - abgeschlossen - Datenbankvergleich läuft - Identifiziert.
Die Biometrie-Hersteller antworteten auf diese Kunstfinger-Angriffe mit der Abfrage zusätzlicher Merkmale, Lebendidentifikation genannt. Ralph Schmidt
Unter Lebendidentifikation fordern Sie, dass also das Merkmal, was Sie auf dem Sensor auflegen, also Ihren Finger, dass der lebend ist. Sie schauen nach vitalen Merkmalen des menschlichen Körpers. Unter Falscherkennung prüfen Sie, ob es ein Fake ist, beispielsweise ein Kunststoff oder ein Silikon. Das wird meistens miteinander verwechselt. Nennen wir es einfach Lebenderkennung.
Doch kaum hatten die Biometrie-Experten einen wirksamen Algorithmus für die so genannte Falschfingererkennung entwickelt, unterliefen südamerikanische Terrorgruppen diesen Sicherheitsmechanismus mit einer ausgesprochen brutalen Methode. Sie trennten einfach den Finger eines Hubschrauber-Piloten der argentinischen Luftwaffe ab. Damit verschafften sie sich Zugang zu einer Luftwaffenbasis, von der aus die Behörden Coca-Felder vernichtet hatten. Keine Frage: Hat man es wirklich mit Terrorgruppen oder Tätern mit hoher krimineller Energie zu tun, steigt das Risiko. Der britische Sicherheitsexperte und Biometrie-Forscher Marek Reijmann-Green warnt denn auch.
Die Risiken liegen darin, dass Ihre Identität gefährdet und gefälscht werden kann. Etwa wenn sich jemand Zugang zu der Datenbank verschafft, die Ihre Identität speichert. Die Biometrie-Datenbank wird ja nicht von Ihnen persönlich vorgehalten, sondern von einer Organisation. So sind die Anforderungen an die Privatheit, Anforderungen an die Sicherheit sehr wichtig. Diese müssen ermittelt und in das Systemdesign eingebaut werden.
Hier gibt es noch große Defizite. Denn noch haben Henning Daum vom Fraunhofer-Institut für Graphische Datenverarbeitung zufolge längst nicht alle Biometrie-Hersteller erkannt,
dass es natürlich nicht ausreicht, etwa den Sensor zu schützen, aber dann für die Datenübertragung eine Standard-Schnittstelle wie seriell oder parallel oder ein FBAS-Videokabel oder USB zu verwenden, wo dann wieder sehr leicht gehorcht und Replay-Attacken oder ähnliche Angriffe gefahren werden können. Dann habe ich zwar den Sensor sehr sicher gemacht, aber die Hintertür habe ich offen gelassen. Die Datenübertragung, Datenspeicherung sind eigentlich Sachen, wo es heute Standardanwendungen für gibt, aber wir müssen uns auch wieder ins Gedächtnis rufen, dass Kosten ein Faktor sind, der die Hersteller oft dazu treibt, darauf keine Rücksicht zu nehmen. Aber die Sicherheit ist nicht für sich isoliert ein Thema, sondern wenn die Sicherheit eines Systems kompromittiert wird, sind auch die Daten kompromittiert. Und damit ist es natürlich durchaus auch ein datenschutzrelevantes Thema.
Beim Ersatz des Autoschlüssels ist der Datenschutz zwar kein so großes Thema wie bei medizinischen Daten oder direkt personenbezogenen Daten in den Unternehmen, dennoch bleibt Ralph Schmidt skeptisch. Im europäischen US-Hauptquartier in Stuttgart angekommen, verabschiedet er sich mit einer ernüchternden Einschätzung der Marktchancen von Biometrie-Systemen.
Die Verifikation mit Biometrie erhöht zwar die Sicherheit, jedoch ist ein alleiniger Schutz von Objekten mit hohen Werten mittels Biometrie im Identifikationsmodus im Moment nicht empfehlenswert aus unserer Sicht.
Bei der US Army sieht man das ein wenig anders. Ausgesprochen gründlich sind die Kontrollen im europäischen Hauptquartier in Stuttgart-Vaihingen. Schon am Autobahnzubringer stoppen schwer bewaffnete deutsche Polizisten jedes Auto. Der Personal- oder Dienstausweis wird verlangt, jeder muss erklären, was er in den Barracks zu tun gedenkt, wo genau er dort arbeitet, wen er sprechen will, wann er das Hauptquartier wieder verlassen wird. 50 Meter weiter der eigentliche Checkpoint. Mit Spiegeln wird der Unterboden des Autos abgesucht, Handtasche und anderes Gepäck peinlich genau kontrolliert. Dann erst öffnet sich das Rolltor und gibt den Blick frei auf zwei Wachlokale mit bis an die Zähne bewaffneten GIs. Was sie beschützen ist ein riesiges Areal, auf dem 5000 Soldaten Dienst tun.
Wer in das EUCOM Headquarter hinein will, muss seine Identität nachweisen. Soldaten, Zivilangestellte und Mitarbeiter von Vertragsfirmen machen das inzwischen mit der Common Access Card, dem biometriegestützten multifunktionalen Dienstausweis, den die US Army seit Juni 2002 einführt: eine Chipkarte im Scheckkartenformat. Ein Lichtbild hat der neue Dienstausweis immer noch. Aber er begnügt sich nicht damit. Die Karte speichert auch den Fingerabdruck seines Trägers in über 90.000 Bildpunkten. Eva-Maria Scheid von EDS Deutschland ist die zuständige Projektmanagerin.
Wir haben hier verschiedene Funktionalitäten verbunden. Wir haben einmal den Sichtausweis über das Foto. Wir haben den Chip, der die verschiedenen Anwendungen speichert, insbesondere auch die Zertifikate. Es gibt verschiedene Barcodes, die vornehmlich dafür gedacht sind, einfach ne Rückwärtskompatibilität zu Altsystemen auch zu gewährleisten, auf die noch zugegriffen werden können soll, die aber nicht mehr für neuere Anwendungen verwendet werden. Und es gibt natürlich verschiedene Sicherheitselemente, wie wir sie von Ausweisen kennen.
Nach der Terrorattacke auf die Twin Towers des World Trade Center hat die General Services Administration angeordnet, die bisher unterschiedlichen Ausweise der einzelnen Waffengattungen zu vereinheitlichen und den neuen Standard-Dienstausweis aus Sicherheitsgründen mit einem biometrischen Merkmal zu versehen. Zuvor gab es abgestuft nach Sicherheitszonen Sichtausweise und Passierscheine. Allerdings bemängelten die Verantwortlichen zu häufigen Missbrauch, insbesondere bei Verlust und beim Diebstahl von Ausweisen. So konnte sich ein Unbefugter mit einem gefundenen Dienstausweis im Winter 2001 Zutritt zum Rollfeld des Airfield Stuttgart verschaffen. Erst als er in einen Schlepper einsteigen wollte, wurde der Mann festgenommen. Außerdem wurden zu lange Wartezeiten bei der Überprüfung in sicherheitsrelevanten Bereichen beanstandet. Die Ausgabe eines Schlüssels für das Offizierskasino konnte schon einmal 45 Minuten dauern. Dringenden Handlungsbedarf sah das Pentagon dann, als bekannt wurde, dass auch die Waffenausgabe bei der Anordnung von Gefechtsbereitschaft schon einmal zusätzliche 15 Minuten beanspruchte. Das gab den Ausschlag bei der Entscheidung zugunsten der Biometrie-Karte.
Auf allen Karten gibt es heute Authentisierung, Verschlüsselung und elektronische Signatur und jeweils, es kommt darauf an, welche Applikationen sich die verschiedenen Organisationen dort noch als erste Applikation ausgesucht haben, dezentrale Applikationen wie zum Beispiel Gebäudezugang oder zum Beispiel Dienstreisemanagement. Es soll natürlich weitere dezentrale Applikationen geben, wie Zeiterfassung, medizinische Informationen, Berechtigung zum Zugang einer Dienstwaffe.
900 Ausgabestationen für den multifunktionalen Dienstausweis gibt es weltweit, auch auf den Kriegsschiffen. 25 dieser Ausgabestationen stehen in Deutschland, eine davon in Stuttgart-Vaihingen. Weltweit werden gegenwärtig 5000 Karten am Tag ausgegeben. Die Anlässe dafür erscheinen manchmal trivial, haben aber nicht zu unterschätzende Konsequenzen. Da schneidet sich etwa ein Soldat morgens in den rechten Zeigefinger. Und schon funktioniert seine Zugangsberechtigung für die Kaserne nicht mehr und er benötigt eine neue Chipkarte. Denn mit einem Pflaster am Finger kann der Sensor keinen Fingerabdruck scannen. Also braucht er eine neue Karte, auf der dann etwa der Fingerabdruck des linken Zeigefingers hinterlegt wird. Da führt kein Weg an der Ausgabestation vorbei. Die wird übrigens von einem in Sachen Biometrie besonders geschulten Offizier betreut. Eva Maria Scheid.
Der wird sich, wenn jemand kommt und hier eine Karte machen lassen möchte, gegenüber dem System mit einem Fingerabdruck identifizieren. Der Mitarbeiter des Militärs, der kommt, muss sich ebenfalls mit seinem Fingerabdruck identifizieren. Der ganze Prozess dauert ungefähr zehn bis zwölf Minuten, nicht deswegen, weil die Karte so lange braucht. Die ist in vier Minuten gedruckt, aber der ganze Papierkram und der ganze Prozess dauern unter 15 Minuten.
In den Stuttgarter Patch-Barracks hat der Biometrie-Offizier sogar ein eigenes abschließbares Büro. Purer Luxus in den Barracks, die ansonsten nur Gemeinschaftsbüros mit viel Lärm und wenig Privatsphäre kennen. Aus Mitarbeitersicht sieht die Ausstellungsprozedur dann so aus.
Der kommt dann also hin mit seinen Unterlagen, identifiziert sich dort, dass er auch derjenige ist, der diese Karte haben darf. Die Certification Authority, die DISA, erstellt die Schlüssel, die dann auf die Karte aufgebracht werden. Die persönlichen Daten, wie Geburtsdatum, die dann auf der Karte sind, werden von der Datenbank Rapids, die über 24 Millionen Einträge heute hat, rausgezogen und dann zusammengebracht und das alles auf der Karte implementiert.
Einstweilen hat man sich beim US-Militär für den Fingerabdruck als biometrisches Merkmal entschieden. Doch das ist keine Entscheidung für die Ewigkeit. Einen Vorteil hat der Fingerabdruck allerdings.
Die Anwender sind an den Fingerabdruck gewöhnt. Hier gibt es das Problem: Können denn alle einen Fingerabdruck abgeben. Das ist bei der Zielgruppe ziemlich praktisch, weil die Mitarbeiter des Militärs in der Regel zwischen 20 und 45 Jahre alt sind. Und es gibt nur ein Prozent der Mitarbeiter, die nicht mit dem Zeigefinger registriert werden können. Da wird dann ein anderer Finger benutzt. Wenn auch das nicht funktioniert? Da wurde mir gesagt: Na ja vielleicht ist er dann auch gar nicht im Militär.
Das amerikanische Verteidigungsministerium will ein zweites biometrisches Merkmal möglichst noch bis zum Jahr 2004 auf die Karte bringen. Das erhöht die Sicherheit und soll auch das Formularwesen nochmals erheblich eindämmen. Noch steht nicht fest, für welches biometrische Merkmal sich die US-Militärs entscheiden. Doch spricht sehr viel dafür, dass es die Unterschrift werden wird.
Das klingt auf den ersten Blick ein wenig erstaunlich, wenn man aber bedenkt, dass bei einer eigenhändigen Unterschrift über 50 so genannte primäre biometrische Merkmale abgeglichen und nahezu 600 sekundäre Merkmale zur Authentifizierung herangezogen werden können, wird deutlich, dass die Unterschrift ein Verfahren auf einem sehr hohen Sicherheitsniveau darstellt, sie wurde bisher nur immer unterschätzt. Außerdem kann die US Army mit der Unterschrift auf dem Dienstausweis viele Formulare abschaffen, die heute noch jedes mal von mindestens zwei Mitarbeitern oder Soldaten unterschrieben werden müssen. Wachbücher bei Dienstwechsel, Ausgabeprotokolle für Waffen, alles das kann künftig per Schreibtablett und Vergleich mit der Ausweis-Smartcard erledigt werden. Im Eucom-Hauptquartier laufen derzeit gerade Tests zur Alltagstauglichkeit des Verfahrens. Jörg Lenz von der Softpro GmbH in Böblingen, einem der weltweit bedeutendsten Anbieter von Systemen zur Unterschriftserkennung:
Es wird ein Unterschriftenvektor ermittelt, d.h. ein Datensatz typischer Merkmale für die Unterschrift. Und anhand dieses Datensatzes kann man wiederum definieren, wie die Ausprägung, also die Bandbreite des Unterschreibenden letztendlich ist, also wie tolerant man einer Unterschrift gegenüber zu sein hat oder wie scharf man sie prüfen kann. Das lässt sich auch justieren. Man kann Unterschriften klassifizieren, man kann ihnen eine Art Wert geben. Sagen wir es mal banal: Wen Sie eine so genannte Paraphe haben, also einen Menschen, der ganz knapp unterschreibt, nur mit einem Kringel. Dann sendet er relativ wenig Signale. Übersetzt auf Verschlüsselungsalgorithmen würde das heißen, jemand verlässt sich auf eine zweistellige Geheimzahl. Jemand der mit Vornamen Mittelinitial und Nachnamen unterschreibt, hat tendenziell eigentlich die höchstmögliche Sicherheit. Jetzt ist eine Unterschrift auch noch geprägt von der sozialen Entwicklung des Menschen. Es gibt Leute, die bleiben ein Leben lang ganz nah an der normalen Schreibschrift. Es ist nicht zwingend das, was man eine besonders individuelle Unterschrift nennen kann. Das heißt, man würde jemandem empfehlen, wenn die Unterschrift ein individuelles und ein sicheres Merkmal sein soll, dann eben nicht der Schönschrift der Schule allzu lange nachzuhängen, sondern im Alter von 16 oder 17 ein individuelles Merkmale auszuprägen.
Zwar handelt es sich bei jeder Unterschrift um ein Unikat, dennoch gibt es berechenbare Faktoren, die einen Abgleich von Unterschriften möglich machen. Das US Militär setzt dafür ein neuartige Schreibtablett ein. Jörg Lenz.
Stellen wir uns das ganz einfach so vor, dass Sie ein Feld haben, in dem eine solche Unterschrift aufgenommen wird, dann ist das ein Ortssignal, an dem Sie aufdrücken und von dem Sie sich dann praktisch zum nächsten Ortspunkt bewegen. Der zweite Faktor ist eine Druckstufe, man kann also nicht nur unterscheiden, ob ein Signal gesendet wird oder nicht, sondern auch mit welcher Intensität. Und die dritte Option, die man daraus ableiten kann ist eben die Geschwindigkeit und die Beschleunigung.
Drei weitere Unterschriften muss der Mitarbeiter, dessen biometrische Daten aufgenommen werden, dann noch leisten, bevor aus den Faktoren seiner Unterschrift ein Unterschriftenvektor berechnet werden kann. Will ein Soldat seine Dienstwaffe abholen, dann muss die so genannte Belegunterschrift nur noch von einem neuronalen Netzwerk mit den Daten des Unterschriftenvektors abgeglichen werden.
Das neuronale Netzwerk prüft zuerst einmal die statischen Merkmale, und darunter nimmt es sich 50 primäre und 600 sekundäre Merkmale heraus. Das sind zuerst einmal augenfällige Faktoren wie Hüllkurven, Schleifen. Es werden aber auch abgeleitete Vektoren gezogen, wie etwa Dichtevektoren. Man prüft also nicht nach rein qualitativen Merkmale- ist das eine schöne Schrift oder eine weniger schöne Schrift, das sind Dinge, die dem Graphologen anheim liegen - Man prüft nach quantitativen Markmalen, nach mathematisch messbaren Größen. Wenn Sie so wollen ist es eine Art Bildinterpretation, wo ich dem ursprünglichen Unterzeichner eben gewisse Abweichungen noch zulasse, und andere Abweichungen geben mir einen Hinweis darauf, dass jemand versucht hat, diese Unterschrift nachzufahren.
Identifiziert. Name: Welchering, Peter. Geboren 28. März 1960, Zutrittsnummer: 4567-1256, letzter Zutritt: 5. April 2003. Berechtigung für die Bereiche: Test. Letzte Sicherheitsprüfung: 24. Juni 2002
Das amerikanische Verteidigungsministerium hat auch mit der menschlichen Iris und Retina als biometrischen Merkmalen experimentiert. Die Experimente mit dem Augenhintergrund sind jedoch eingestellt worden. Die Soldaten und Zivilangestellten lehnten es schlichtweg ab, ihren Augenhintergrund von einem Laserstrahl abtasten zu lassen. So gut wie keine Akzeptanzprobleme bereitete hingegen die Iris-Erkennung. Dietmar Fischer von der SD Industries GmbH
Die Retina-Erkennung liegt im Augenhintergrund und hat mit Laser zu erfolgen, die Iris-Erkennung erfolgt mit einer ganz einfachen Standard-Videokamera. Die Iris ist sehr vielfältig, ich denke, es ist das vielfältigste biometrische Merkmal, das der Mensch hat. Was wir unterscheiden sind Flecke, Ringe, Risse und Streifen. Insgesamt nutzen wir etwa 266 Freiheitsgrade. Wenn Sie das mathematisch sehen, dann befinden Sie sich im 266dimensionalen Raum und suchen da ein Merkmal, einen Punkt heraus. Die Wahrscheinlichkeit, dass zwei Iriden gleich sind, liegt bei 1 zu 10 hoch 78. Wenn man dagegen die Weltbevölkerung mit weniger als 1 zu 10 hoch 10 gegenüber hält, dann sieht man, das ist ein sehr, sehr vielseitiges biometrisches Merkmal. Die Iris ist auch nicht im genetischen Code festgelegt, sondern entsteht in den letzten Wochen vor der Geburt und gleich nach der Geburt durch zufällige Einrisse. Auch das linke und das rechte Auge sind unterschiedlich. Und sie verändert sich im Laufe des Lebens nicht mehr, d.h. von den ersten Monaten bis zu Tod bleibt die Struktur der Iris konstant.
Wie bei allen biometrischen Merkmalen muss auch bei der Iris zunächst ein Bild aufgenommen werden, von dem ein so genannter Iris-Code, eine Referenzdatei erstellt wird. Dietmar Fischer
Im erste Schritt machen wir ein Videobild von der Iris. Wir suchen mit einem Algorithmus die Ränder der Iris aus. Wir suchen das Zentrum, das heißt die Pupille.
Dabei verrechnet der Algorithmus für die Iris-Erkennung, dass die Pupille auf Lichteinfall reagiert und ihre Größe verändert. Auch psychische Belastung kann die Pupillengröße verändern. Deshalb wird individuell für jede Iris eine idealtypische Standardgröße berechnet, auf die alle anderen Merkmale bezogen werden.
Wenn wir das aufgenommen haben, das Video von dem Auge, wird ein 512 Byte großer Iris-Code festgelegt. Das ist etwas, was weltweit standardisiert ist. Dieser Code wird dann mit anderen Codes in der Datenbank verglichen und dann eben entweder akzeptiert oder abgelehnt.
Nicht nur das amerikanische Verteidigungsministerium setzt inzwischen auf so genannte multimodale biometrische Verfahren. Auch die Sicherheitsverantwortlichen der großen Flughäfen in Europa haben entsprechende Projekte aufgesetzt. Dabei werden unterschiedliche biometrische Merkmale miteinander kombiniert. Der Fingerabdruck als Standardausweissystem, ergänzt durch die biometrische Unterschrift und als drittes Merkmal, die Iris-Erkennung. Durch die Abfolge bei der Abfrage werden die Sicherheitsstandards erhöht.
Die Frage ist nur, ob die Fluggäste mitspielen und die Abnahme von gleich mehreren biometrischen Merkmalen akzeptieren werden .
Die weltweite Biometrie-Gemeinde schaut deshalb sehr interessiert auf die Pilotprojekte der USA. Bis zum Jahresende will die Forschungsagentur des Verteidigungsministeriums den endgültigen Beschaffungsplan für den biometrischen Dienstausweis der US-Militärs festgelegt haben. Schon jetzt hat die amerikanische Regierung beschlossen, dass der Fingerabdruck als biometrisches Merkmal in Pässe integriert werden soll. Wer in die Vereinigten Staaten von Amerika einreisen will, kann das bald nur noch mit einem Reisepass, der einen Fingerabdruck enthält. Marktbeobachter erwarten deshalb, dass die Nachfrage nach Biometrie-Systemen in den nächsten Jahren rapide steigen wird.
Dabei dürften neben dem Fingerabdruck die Iris-Erkennung und die Unterschrift das Rennen machen. Mit einer Fehlerquote um die 5 Prozent sind sie technisch am weitesten ausgereift. Die mit der Videoüberwachung gekoppelte Gesichtsvermessung, von der Bayerns Innenminister Beckstein sich bei der Grenzkontrolle viel verspricht, wurde zwar bereits eine zeitlang erfolgreich eingesetzt: in kerntechnischen Anlagen und chemischen Fabriken etwa, konnte sich aber nicht etablieren, weil die Mitarbeiter ihre Privatsphäre verletzt sahen und die Videoüberwachung insgesamt in die Kritik geriet: als Wegbereiterin für einen alles wahrnehmenden Überwachungsstaat. Auch mit dem Profil der Körpertemperatur wurde experimentiert. Doch die hier verwendeten biometrischen Merkmale weisen zu starke Schwankungsbreiten auf. Auch die beste Mustererkennung konnte hier nichts mehr ausrichten.
Bleibt die Stimmerkennung. Kombiniert mit der Unterschrift werden ihr langfristig die besten Chancen eingeräumt. Doch das wird eben noch einige Jahre dauern. Und bis dahin werden wir vermutlich viel öfter als es uns lieb ist, unseren Fingerabdruck vorzeigen müssen, um in die Firma zu kommen oder auf den Flughafen, um die Autotür zu öffnen, im Internet zu surfen oder zu. Für 2004 hat die amerikanische Regierung eine Biometrie-Offensive angekündigt. Dann wird es ernst.