Kartensicherheit
Hilfe Glossar
Premium Login
Kostenlos registrieren
Oder haben Sie Ihr Passwort vergessen? Dann klicken Sie hier auf den Link.
Karte sperren
Alle Artikel

Alle Artikel

Alle Newsletter Artikel können Sie sich hier durchlesen oder danach suchen.

Aktueller Newsletter

Aktueller Newsletter

Der aktuelle Newsletter kartensicherheit.de steht Ihnen hier zur Verfügung. Fin …

Newsletter abonnieren

Newsletter abonnieren

Nutzen Sie unseren Service und abonnieren Sie den Newsletter mit den wichtigsten …

zum vorherigen Artikel

Artikel 2017

zum nächsten Artikel

Artikel 2024

05/2015

Gastbeitrag: Biometrie im Banking

Biometrie - Scan Fingerabdruck

Das Smartphone als zentrales Gerät für die neuen App-Ökosysteme zieht immer mehr etablierte Märkte auf sich und generiert gänzlich neue Dienstleistungen. Banking und Biometrie erfahren mit der Einführung von Apple Pay seit Oktober 2014 einen neuen Schub: Der Kunde legitimiert sich mit seinem Fingerabdruck am Apple-Smartphone und bezahlt. Dr. Waldemar Grudzien, Direktor im Geschäftsbereich Retail Banking und Bankentechnologie beim Bundesverband deutscher Banken, gibt in seinen Gastbeitrag einen Gesamtüberblick über die neuesten Entwicklungen und Trends im Bereich Biometrie.

Das Android-Lager folgt nun im Frühjahr 2015, sodass Biometrie im Banking einen großen Schub erfahren wird. Als erste bieten die Postbank und die Deutsche Bank Touch ID von Apple zum Kontenzugang und sogar zur Autorisierung von Transaktionen an.

Apps werden immer kundenfreundlicher und smarter, die Interaktion mit dem Smartphone erfolgt immer mehr „on the fly“, d.h. gestaltet sich zunehmend beiläufig als mit der eigentlichen Aufgabe verbunden: aus dem Eintippen mit einzelnen Tasten wird ein Wischen über das Touchpad, das Eingeben der eigenen Position übermittelt das Smartphone automatisch, die Mauseingabe am PC/Laptop ist ebenfalls in ein Wischen übergegangen. Das Erledigen von Aufgaben „on the fly“ mit dem Smartphone befördert die Integration von Biometrie im Smartphone, das über viele Sensoren verfügt, von denen einige bereits heute biometrisch genutzt werden. Biometrie liefert so in Verbindung mit dem Smartphone ein „Me on the fly“: der Nutzer wird bei der Nutzung des Smartphones beiläufig und ohne ihn zu stören authentifiziert und seine gewollten Transaktionen werden autorisiert.

Die biometrischen Verfahren und Methoden selbst haben sich ebenfalls weiter entwickelt. Sensoren wurden weiter miniaturisiert und weisen immer bessere Lebendtests auf. Die Verarbeitungselektronik ist kleiner, schneller und kostengünstiger geworden, Protokolle und Algorithmen wurden neu entwickelt oder verbessert. Gerade im Banking müssen Protokolle und Schnittstellen interoperabel sein, so auch ein Banking-Biometrie-Protokoll, das beispielsweise bereits in Form des interoperablen Biometric Transaction and Authentication Protocol (BTAP) [Bu2010] verfügbar ist.

Es sind mehr Anbieter pro biometrischem Verfahren in den Markt eingetreten, sodass potenzielle Nutzer nun eine breitere Anbieterbasis vorfinden. Zu guter Letzt: Biometrie wird im Banking eingesetzt! Täglich, millionenfach, sicher und komfortabel – nun auch endlich in Deutschland.

Sinn eines Banking-Biometrie-Protokolls
Ein Banking-Biometrie-Protokoll verbindet Geschäftsvorfälle des Banking mit der biometrischen Authentifikation. Biometrie, als Messung der Merkmale einer lebendigen Person, bietet inhärent den Vorteil eines One-Time-Passwords (OTP), sodass mit Biometrie auch einzelne Geschäftsvorfälle autorisiert werden können. Im Idealfall verbindet so ein entsprechendes Protokoll die Transaktion eines Geschäftsvorfalls mit den körperlichen Merkmalen einer sich ständig verändernden Person zu einem OTP für jede Transaktion. Statische Eingaben können durch eine immer dynamische Verbindung mit den lebendigen Merkmalen einer Person ersetzt werden. Ein Beispiel für ein Banking-Biometrie-Protokoll ist das bereits genannte BTAP.

Biometrie und Bankregulierung
In Europa gibt es mehrere Regulierungsvorhaben zur IT-Sicherheit bei Banken. Zu nennen sind die Zahlungsdiensterichtlinie PSD sowie die NIS-Richtlinie. Die PSD bindet die Europäische Bankenaufsicht EBA in die IT-Aufsicht ein. Die „Guidelines“ genannten Dokumente der EBA werden in Form von BaFin-Rundschreiben zu Vorgaben für Banken. Dieser Regulierungsweg wurde zum ersten Mal mit den Sicherheitsanforderungen an Zahlungen im Internet beschritten: Aus den „Final guidelines on the security of internet payments“ der EBA vom 19. Dezember 2014 wurde das BaFin-Rundschreiben zu den Mindestanforderungen an die Sicherheit von Internetzahlungen vom 5. Mai 2015.

Im BaFin-Rundschreiben wird der Begriff „Starken Kundenauthentifizierung“ folgendermaßen bestimmt: „Starke Kundenauthentifizierung ist im Sinne dieses Rundschreibens ein Verfahren, das auf der Verwendung zweier oder mehrerer der folgenden Elemente basiert, die als Wissen, Besitz und Inhärenz kategorisiert werden:

i) etwas, das nur der Nutzer weiß, z. B. ein statisches Passwort, ein Code, eine persönliche Identifikationsnummer,

ii) etwas, das nur der Nutzer besitzt, z. B. ein Token, eine Smartcard, ein Mobiltelefon,

iii) eine Eigenschaft des Nutzers, z. B. ein biometrisches Charakteristikum, etwa ein Fingerabdruck.

Außerdem müssen die gewählten Elemente unabhängig voneinander sein, d. h. die Verletzung eines Elements darf keinen Einfluss auf das andere bzw. die anderen haben. Mindestens eines der Elemente sollte nicht wiederverwendbar und nicht reproduzierbar (die Inhärenz ausgenommen) sein und nicht heimlich über das Internet entwendet werden können. Das starke Authentifizierungsverfahren sollte so gestaltet sein, dass die Vertraulichkeit der Authentifizierungsdaten gewahrt bleibt.“

Biometrie ist somit für die europäische und nationale Bankenaufsicht ein gleichberechtigtes Mittel zur Authentifizierung des Kunden neben Wissen und Besitz.

Geräte mit biometrischer Nutzung
Hierunter werden Geräte mit biometrischer Nutzungsmöglichkeit verstanden, d.h., die Geräte verfügen über eingebaute Sensoren, die für biometrische Messungen verwendet werden können. Die wichtigste Gerätegattung stellt das Smartphone dar, das mit einer Vielzahl von Sensoren bestückt wird. Auch die immer stärker aufkommenden Smart Watches und Wearables („Fitnessarmband“) tragen von Hause aus Sensoren mit sich. Viele Smart Watches enthalten Fitness-Sensoren für Beschleunigung und Pulsmessung. Geräte aus dem Smart Home Bereich sollten ebenfalls betrachtet werden. Die Geräteklassen können auch vereint werden und bilden dann zum Beispiel den Bereich der Smart Mobility, der sicherlich auch Bankingfunktionalität bieten wird.

Die beiden “natürlichsten” Biometriesensoren eines Smartphones sind Mikrofon und Kamera. Biometrisch auswerten lassen sich auch die Tastatureingaben. Einige Smartphones verfügen auch über einen Infrarotsensor zur Pulsmessung, andere auch über einen Fingerabdrucksensor. Mit Siri hat Apple die Spracherkennung hoffähig gemacht. Hinzu kommen meistens auch Gestensensor, Annäherungssensor, Gyroskop, Accelerometer, Kompass, Barometer, Thermometer und Hygrometer, Magnetsensor und RGB-Lichtsensor. Nicht alle Sensoren lassen sich für biometrische Zwecke nutzen. Manche Sensoren können neben der eigentlichen biometrischen Messung auch für Lebendtests verwendet werden. Sensoren ohne biometrischer Ausnutzbarkeit könnten durch intelligente Verknüpfung und Auswertung zur Plausibilität einer Bankingtransaktion dienen – wie die Verknüpfung des Aufenthaltsortes mit der biometrischen Identifikation des Nutzers.

In Tabelle 1 sind die gängigsten Sensoren eines Smartphones mit ihrer Messgröße und möglicher biometrischer Nutzung gelistet.

SensorMisst/beobachtetBiometrisch nutzbar
Mikrofon Stimme Spracherkennung (was? z.B. Ziffernreihenfolge)
Sprechererkennung (wer?)
Kamera Fotos Augen
Gesicht
Iris
Tastatur (Touch, Druck) Schrift / Interaktion Schrifterkennung / Tippverhalten
Maus Mausverhalten Mausverhalten
Infrarotsensor Puls
Gesten
Annäherung (Kopf am Smartphone?)		 Puls
Handbewegungen
Gyroskop Lage im Raum (Drehbewegungen in allen drei räumlichen Achsen)  
Accelerometer Bewegung im Raum (Beschleunigungen in allen drei räumlichen Achsen) Gangerkennung
Barometer Atmosphärischer Luftdruck  
Thermometer Temperatur  
Hygrometer Luftfeuchtigkeit  
Magnetsensor Himmelsrichtung Norden (Kompass)
Magnetfeld: Smartphone-Cover zugeklappt?		  
RGB-Lichtsensor Farben Rot, Grün, Blau  
GPS Aufenthaltsort  
Fingerabdrucksensor Fingerabdruck Fingerabdruck

Tabelle 1: Sensoren in Smartphones

 

Mögliche neue Ansätze: Biometrie

Abbildung 1: Abgestufte Sicherheit - Kombination von Vertrauenswert und Vertrauensdauer in Abhängigkeit des zu autorisierenden Betrages

Denkbar und wahrscheinlich ist auch eine „abgestufte Sicherheit“ mit Hilfe des Smartphones. In Abbildung 1 ist ein Beispiel dargestellt: Allein durch den Besitz des Smartphones darf der Nutzer 5 Euro transferieren. Um 50 Euro zu transferieren, muss sich der Nutzer gegenüber seinem Smartphone durch Besitz, Geräte-PIN, Gang und Stimme authentifizieren. Das Ticket für 50 Euro ist 15 Minuten lang gültig, nach Ablauf der Frist ist eine erneute Authentifizierung nötig. In diesem Beispiel muss sich der Nutzer für ein Transaktionsvolumen von 1.000 Euro gegenüber seinem Smartphone mit allen Merkmalen authentifizieren, die sein Smartphone messen kann. Das Ticket ist zudem nur 1 Minute kurz gültig. Das muss der Nutzer aber nicht der Reihe nach tun, das Wesen der Biometrie ist ja die „beiläufige“ Messung der Körpermerkmale während der Nutzer sein Smartphone nutzt.

In Zukunft werden Smartphones und in Kombination mit diesen auch die Wearables und Smartwatches nicht nur ihren Träger, sondern auch dessen Umgebung vermessen und somit Rückschlüsse auf den Träger ziehen können.
Was kommt noch? In Entwicklung befinden sich Sensoren für Luftqualität und radioaktive Strahlung. Für E-Health-Geräte gibt es schon heute integrationsgeeignete Sensoren für Blutdruck, Herzfrequenz und Blutzucker. Die drei letztgenannten können in Smartphones integriert werden oder aber – was sinnvoller erscheint – in Wearables am Handgelenk (Fitnessbänder) oder im Ohr (Headsets) und Smart Watches. Diskutiert werden auch chemische Analysen von Atem, Schweiß, Blut oder Speichel.

Vorurteile gegenüber Biometrie im Banking
Im Zusammenhang mit Banking werden zur Biometrie immer wieder die gleichen Gerüchte geäußert, die ich zu entkräften versuche. Im eingangs genannten Banking-Biometrie-Protokoll BTAP sind bereits Maßnahmen umgesetzt, die alle Gerüchte auflösen.

Gerücht 1: Biometrie ist unsicherer als PIN
Erläuterung:
Oft wird behauptet, dass die Biometrie nicht so sicher sei wie die Sicherheit wissensbasierter Verfahren, d.h. von PINs und Passworten.

Forderung:
Die Sicherheit der Biometrie muss der Sicherheit wissensbasierter Verfahren ebenbürtig sein.

Lösung:
Als Vergleichsmaßstab für die Sicherheit der Authentisierung wird die PIN herangezogen, da diese das Gros der Banking-Anwendungen absichert. Es gibt drei gute Gründe für die Überlegenheit der Biometrie über der PIN. Erstens ist die Entropie einer vier- oder sechsstelligen PIN recht klein. So verfügt eine sechsstellige  numerische PIN (z.B. beim nPA) über eine Entropie von weniger als 20 Bit (H = L*log2N; mit L=6, N=10) [Bu2014].

Die Entropie von biometrischen Charakteristiken ist deutlich größer als die der sechsstelligen PIN:

- Fingerabdruck = 84 Bit [Ratha2001]

- Iris = 249 Bit [Daugman2006]

- Gesichtsbild = 56 Bit [Adler2006]

- Stimme = 127 Bit [Nautsch2015]


Zweitens können PINs weiter gegeben und gestohlen werden, biometrische Charakteristika (d.h. Körperteile) selbst können nicht in dem Sinne weitergegeben werden, dass sie erfolgreich eingesetzt werden könnten. Analoge oder digitale Repräsentationen von einem Charakteristikum, also biometrische Bilder oder Merkmale können gestohlen werden (Beispiel: Fingerabdruck auf Glas oder Fotografie des Gesichts).

Allerdings kann deren erfolgreicher Einsatz durch Lebendtests (d.h. das Abprüfen der „Lebendigkeit“ des präsentierten Charakteristikums) verhindert werden. Es wird also geprüft, ob sich eine gerade lebendige Person authentifizieren will oder ob dem Sensor nur ein Artefakt (Foto des Gesichts, Foto der Iris, Gummifinger etc.) dieser Person präsentiert werden soll. Es gibt auch biometrische Verfahren, die nach heutigem Technologiestand keine Latenzbilder hinterlassen. Das sind diejenigen biometrischen Verfahren, die Messungen im Körperinnern und nicht an der Oberfläche vornehmen; dazu zählen Venenverläufe von Handfläche und Finger. Auch die neuen kontaktlosen Fingerbildverfahren („Fingerprint on the fly“) zählen dazu. Biometrische Verfahren bieten somit eine Nicht-Abstreitbarkeit (Non-Repudiation) für die Absicherung einer Transaktion, PINs dagegen nicht.

Und drittens überfordern PINs und Passworte das menschliche Gehirn, zumindest dann, wenn wir uns zu viele davon merken müssen. Die biometrischen Charakteristika hingegen hat der Mensch immer dabei, er kann sie auch nicht vergessen oder liegen lassen, und auch nicht weitergeben wie PIN und Passwort.

Ergebnis:
Biometrische Verfahren sind sicherer als die PIN.

Gerücht 2: Biometrische Merkmale sind endlich
Erläuterung:
Da der Mensch nur 10 Finger, zwei Hände, zwei Ohren, ein Gesicht etc. hat, ist die Anzahl der für biometrische Anwendungen zur Verfügung stehenden Charakteristika sehr klein. Wird ein Referenzbild gestohlen, zum Beispiel ein Fingerabdruck, stehen nur noch neun weitere Charakteristika dieses Typs zur Verfügung. Wird ein Passwort gestohlen, erzeugt man ein neues. Wird ein Fingerabdruck gestohlen, …

Forderung:
Biometrische Charakteristika müssen so oft verwendet werden können wie PINs und TANs, im Prinzip unendlich oft als ob es sich um One-Time-Passwords handeln würde. Hierzu gehört auch die Forderung nach der Möglichkeit des Rückrufs (Revocation) einer biometrischen Referenz.

Lösung:
Aus diesem Grund sollten nie direkt die Bilder einer Charakteristik (Fingerbild, Gesichtsbild) als Referenz gespeichert werden. Als Referenz wird nicht das biometrische Bild oder ein Template verwendet, sondern ein aus dem biometrischen Bild abgeleiteter pseudonymer Identifikator , so dass ein Rückruf der Referenz und damit ihre unendliche Nutzung möglich werden [ISO 24745-2011] [Br2008].

Durch Verwendung von pseudonymen Identifikatoren (PI) werden die folgenden Eigenschaften biometrischer Verfahren erreicht:

  • Vertraulichkeit: Ein PI als gespeicherte biometrische Referenz kann ohne Entschlüsselung für Vergleiche herangezogen werden.
  • Erneuerbarkeit: Biometrische Referenzdaten können erneuert und zurück gerufen werden.
  • Störabstand (noise robustness): Ein PI ermöglicht den Einsatz der Biometrie in stark gestörter Umgebung (z.B.: hoher Geräuschpegel bei Stimmenbiometrie, starkes Sonnenlicht bei Fingerabdrücken).
  • Unlinkability, d.h. Vermeidung von Querbezügen: Beim Abgleich von zwei Datenbanken können PI, die in beiden Anwendungen registriert sind, nicht detektiert werden.
  • Nicht-Invertierbarkeit: Das originale biometrische Fingerbild kann aus dem PI nicht rekonstruiert werden.
  • Möglichkeit der Autorisierung von einzelnen Transaktionen mit biometrischen Merkmalen: Durch die unendliche Verwendungsmöglichkeit eines variierenden da lebendigen Charakteristikums kann eine biometrische TAN erzeugt werden.


Ergebnis:
Die Verwendung von pseudonymen Identifikatoren ermöglicht den Rückruf biometrischer Referenzen und damit die Nutzung eines biometrischen Charakteristikums unendlich viele Male.

Gerücht 3: Biometrische Merkmale sind nicht erkennbar
Erläuterung:
Das jeweils für einen Vergleich live aufgenommene biometrische Bild variiert, sodass es oft mit der gespeicherten Referenz nicht übereinstimmt. Die live beobachteten biometrischen Daten müssen sogar variieren, denn es wird an einem lebendigen Körper gemessen.

Forderung:
Das biometrische Verfahren muss robust sein gegenüber der Varianz einer biometrischen Charakteristik. D.h., Referenz und live aufgenommene Probe müssen im Rahmen der messtechnischen Fehlertoleranz übereinstimmen (natürlich nur, wenn sie zu einer Person gehören).

Lösung:
Zur Stabilisierung der Messergebnisse veränderlicher Parameter (dazu gehören auch Störungen) werden Fehlerkorrekturverfahren eingesetzt. Ein sehr bekanntes Verfahren ist das Hamming-ECC-Verfahren, das bei der Compact Disc verwendet wird.

Ergebnis:
Durch Nutzung eines angemessenen Fehlerkorrekturverfahrens im Banking-Biometrie-Protokoll wird ein stabiler Vergleich von Referenz und Live-Merkmal erreicht.

Gerücht 4: Biometriesensoren sind leicht zu täuschen
Erläuterung:
Es kursieren immer wieder Horrorgeschichten von abgetrennten Fingern oder gar abgehackten Händen von Bankkunden, die von Kriminellen auf den Geldautomaten gelegt werden, um Geld zu erhalten – Bio-Hacking im doppelten Sinne sozusagen. Auch ganze Leichen sollen schon zu Geld gekommen sein. Diesen eher aus der Phantasie entstammenden Schilderungen stehen tatsächlich durch gute Artefakte zu täuschende Sensoren gegenüber. Bekannt geworden sind diverse Gummi-, Silikon- und Gelatinefinger oder auch simple Gesichtsfotos, mit denen die entsprechenden Sensoren getäuscht wurden. Aus diesen Gerüchten und wahren Schwächen ergibt sich der Gesamteindruck von generell allen leicht zu täuschenden biometrischen Sensoren. Dem ist heute nicht mehr so. Es gibt bereits heute Sensoren, die einen sicheren Lebendtest aufweisen. Gleichwohl muss die Entwicklung hier weiter gehen, damit möglichst alle für die Nutzung im Banking relevanten biometrischen Verfahren über verlässliche Sensoren verfügen.

Forderung:
Der biometrische Sensor muss robust sein gegen Präsentationen mit Artefakten und toten Körperteilen.

Lösung:
Der biometrische Sensor muss über einen täuschungsresistenten Lebendtest verfügen.
Lebendtests gibt es noch nicht für alle Verfahren, aber bereits für

  • Fingerabdruck (Optical Coherence Tomography OCT)
  • Iris (Messung intrinsischer Augenbewegungen),
  • Vene – Finger und Handfläche (Messung des Blutsauerstoffgehalts, Messung der Blutflussbewegung),
  • Gesicht 3D (Messung der Oberflächengeometrie des Gesichtes).


Derzeit wird ein ISO-Standard  zu Lebendtests entwickelt [ISO 30107-2014], [Busch-2014]. Durch diesen Standard wird die Qualität der Lebendtests vergleichbar.

Ergebnis:
Für einige oft genutzte biometrische Charakteristiken gibt es bereits gute Lebendtests. Es besteht jedoch weiterer Forschungs- und Entwicklungsbedarf für Lebendtests zu weiteren biometrischen Charakteristiken.

Gerücht 5: Biometrie kollidiert mit Datenschutz
Erläuterung:
Oft wird behauptet, dass biometrische Anwendungen nicht datenschutzkonform implementiert werden können. Damit einhergehend kursiert das Gerücht, dass Biometrie immer zentraler Datenbanken bedarf.

Forderung:
Das biometrische Verfahren muss die Anforderungen des Datenschutzes erfüllen und insbesondere auf die zentrale Speicherung von biometrischen Referenzen verzichten.

Lösung:
Durch die Verwendung eines pseudonymen Identifikators (PI) wird eine pseudonyme Zahl berechnet und die Offenlegung der Information zu einem Körperteil einer Person verhindert. Biometrie bedarf auch nicht der zentralen Speicherung der biometrischen Referenzen, da zum Offline-Vergleich die Referenz den Speicherchip nicht verlässt und zum Online-Vergleich der PI verwendet wird.

Der Standard „ISO/IEC 24745: Biometric Information Protection, (2011)“ beschreibt die datenschutzkonforme Implementierung eines biometrischen Systems.

Ergebnis:
Biometrie kann datenschutzkonform implementiert werden.

Gerücht 6: Biometrie ist proprietär
Erläuterung:
Es wird behauptet, dass es bisher keine Standards gibt, die Biometrieverfahren und alle Zahlungsverkehrs-Anwendungen umfassen.
Hier muss unterschieden werden zwischen der Standardisierungsarbeit auf der „Biometrieseite“, d.h. der Zulieferer der Kreditwirtschaft und dieser selbst für die Anwendungen, derzeit also vornehmlich Zahlungssysteme.

Forderung:
Schaffung und Nutzung biometrischer Standards für alle Elemente der Banking-Biometrie-Kette.

Lösung:
Auf der Zuliefererseite passiert bereits seit geraumer Zeit sehr viel. So arbeiten die drei ISO/IEC Sub Committees 17 (Cards and personal identification), 27 (IT Security Techniques) und 37 (Biometrics) an verschiedenen Standards zusammen, deren Einhaltung kreditwirtschaftliche Betreiber von ihren Zulieferern verlangen sollten:

  • Ein Vendor Lock-In durch proprietäre Sensoren wird verhindert durch Verwendung eines BioAPI-Interface gemäß ISO/IEC 19784.
  • Verschiedene biometrische Vergleichsalgorithmen können verwendet werden durch Speicherung der biometrischen Referenzdaten in Austauschformaten gemäß der Formatfamilie ISO/IEC 19794 (siehe unten).
  • Die Genauigkeit biometrischer Vergleichsalgorithmen kann mit Hilfe eines Leistungstests gemäß ISO/IEC 19795 vergleichend beurteilt werden.
  • Die Einhaltung der datenschutzkonformen Speicherung von biometrischen Referenzdaten ist gegeben, wenn das biometrische System gemäß ISO/IEC 24745 implementiert wurde.


ISO 19794-Familie der Austauschformate für biometrische Daten (Biometric data interchange formats)

Teil 1: Framework [ISO19794-1],

Teil 2: Finger Minutiae Data [ISO19794-2],

Teil 3: Finger Pattern Spectral Data [ISO19794-3],

Teil 4: Finger Image Data [ISO19794-4],

Teil 5: Face Image Data [ISO19794-5],

Teil 6: Iris Image Data [ISO19794-6],

Teil 7: Signature/Sign Time Series Data [ISO19794-7],

Teil 8: Finger Pattern Skeletal Data [ISO19794-8],

Teil 9: Vascular Image Data [ISO19794-9],

Teil 10: Hand Geometry Silhouette Data [ISO19794-10] und

Teil 11: Signature/Sign Processed Dynamic Data [ISO19794-11].


Mit standardisierten Austauschformaten ist man nicht mehr an Hersteller gebunden, ein Vendor Lock-In wird vermieden. Die Kreditwirtschaft muss von Zulieferern die Einhaltung der o.g. ISO-Formate verlangen.

Auf kreditwirtschaftlicher Seite gibt es einzig beim Betriebssystem der deutschen Debit- und Kreditkarte SECCOS eine Art Standardisierung für Biometrie: Es ist möglich ISO-Kommandos zu integrieren. Da aber bislang in der Deutschen Kreditwirtschaft nur PIN-Prüfungen zur Benutzerauthentikation vorgesehen sind, ist die Möglichkeit einer biometrischen Verifikation derzeit noch nicht vorhanden.

Mit BTAP  gibt es bereits ein Protokoll zur Integration von Biometrie als Authentikationskanal in Bankinganwendungen. Weitere Protokolle dürften in anstehenden Forschungsvorhaben der Europäischen Union im Rahmen des Programms Horizon 2020 entwickelt werden.

Ergebnis: Biometrie ist nicht proprietär.

Fazit
Biometrie ist komfortabler als PINs oder Passworte und zudem auch sicherer als diese. Biometrie wird seit Jahren täglich von Millionen von Kunden genutzt –in Japan, Brasilien und der Türkei. Apple wird mit Apple Pay der Biometrie im Banking im großen Maßstab die Türen öffnen – auch in Deutschland wie erste Anwendungen beispielsweise von Postbank und Deutsche Bank zeigen.

Quellen
[Adler2006]
Adler, A., Youmaran, R., Loyka, S.: Towards a measure of biometric information. In: Canadian Conference on Electrical and Computer Engineering (CCECE 2006), pp. 210–213 (2006)

[Br2008]
J. Breebaart, C. Busch, J. Grave, E. Kindt: "A Reference Architecture for Biometric Template Protection based on Pseudo Identities", in BIOSIG-2008, GI-LNI, (2008)
 
[Bu2010]
C. Busch, D. Hartung: "Biometrische Nachrichten-Authentisierung", in
Proceedings of the GI-Sicherheit 2010, LNI, pages 13-24, Berlin, Germany, October (2010)

[Bu2014]
N. Buchmann, C. Rathgeb, H. Baier, C. Busch: Towards electronic identification and trusted services for biometric authenticated transactions in the Single Euro Payments Area, in Proceedings of the 2nd Annual Privacy Forum (APF’14), 2014

[Busch2014]
C. Busch: Related Standards, Handbook of Anti-Spoofing, Springer, 2014

[Daugman2006]
Daugman, J.: Probing the uniqueness and randomness of iriscodes: Results from 200 billion iris pair comparisons. Proc. of the IEEE 94(11), 1927–1935 (2006)

[Nautsch2015]
A. Nautsch, C. Rathgeb, R. Saeidi, C. Busch: Entropy Analysis of I-Vector Feature Spaces
in Duration-Sensitive Speaker Recognition, in 40th IEEE ICASSP Conference,
19-24 April 2015, Brisbane, Australia, (2015)

[Ratha2001]   
Ratha, N.K., Connell, J.H., Bolle, R.M.: An analysis of minutiae matching strength. In: Bigun, J., Smeraldi, F. (eds.) AVBPA 2001. LNCS, vol. 2091, pp. 223–228. Springer, Heidelberg (2001)

 

Newsletter abonnieren

Diesen Artikel weiterempfehlen

Kartensicherheit

Ein Gemeinschaftsprojekt

Aktuelles
Alle Artikel
Aktueller Newsletter

 

Meine Kartensicherheit
Karte sperren
Social Engineering
Sicherer Umgang mit Karte und PIN
Diebstahl, Manipulation am Geldautomaten
Legitimationsverfahren
Gerichtsurteile

Zahlungsverfahren
Bezahlen im Internet
Bezahlen im Handel
Bezahlen auf Reisen
Sicherheit & Technik

Kartensicherheit für den Handel
Kreditkartenmerkmale
Personalausweismerkmale

 

Presse & Mediathek
Pressemitteilungen
Mediathek

Newsletter
Tragen Sie sich hier für den Newsletter ein

 

Kontakt
Glossar
Hilfe
Impressum
Gender-Hinweis
Rechtliche Hinweise
Datenschutz



Cookie Einstellungen ändern