Fingerabdruck: Der vermessene Mensch
Biometrische Systeme wie zum Beispiel Fingerabdruckscanner sollen den Zugang zu Räumen und Daten kontrollieren. Doch die Sicherheit wird nicht nur von der Technologie bestimmt.
Für Hollywood gehören biometrische Systeme schon seit langem zum Alltag seiner Helden: 1983 gelang es einer Verbrecherorganisation im James-Bond-Film "Sag niemals nie", einen Irisscanner auszutricksen und sich so in den Besitz von Atomsprengköpfen zu bringen. 1997 täuschte die Hauptperson in "Gattaca" eine andere Identität vor, unter anderem durch eine Folie mit einem fremden Fingerabdruck. Tatsächlich erschließen biometrische Systeme langsam den Markt der Sicherheitstechnik bis hin zur privaten Anwendung. Doch die Entwickler kämpfen nicht nur mit technischen Details, sondern auch mit zu hohen Erwartungen der potenziellen Kunden. Wenn dann Computerzeitschriften zum Beispiel berichten, dass preiswerte Zusatzgeräte für den Heim-PC mit geringem Aufwand zu überlisten sind, ist die Aufregung groß.
Biometrie soll technische Systeme durch Zugangskontrollen verbessern, seien es gefährdete Bereiche von Flughäfen oder Bankautomaten. Dazu messen Sensoren ein körperliches Merkmal und reichen die Messgröße in digitaler Form an eine Verarbeitungseinheit weiter. Meist enthalten die Messdaten sehr viel redundante Information, die von den spezifischen Daten getrennt werden muss. Diese Merkmalsextraktion ist der komplizierteste Teil biometrischer Systeme. In Muster erkennenden Algorithmen, ihrer Effizienz und Trennschärfe steckt das Knowhow der jeweiligen Anbieterfirma.
Um eine Person zu erkennen, die Zugang zu einem kritischen Bereich oder einem Gerät haben darf, müssen ihre Merkmale in einem als "Enrolment" bezeichneten Vorgang vorab erfasst und als Schablone (fachlich Template) in einer Datenbank gespeichert werden. Als "Matching" bezeichnen Experten den Vergleich aktueller Sensordaten mit diesen Schablonen im Routinebetrieb. Dabei lassen sich zwei Varianten unterscheiden: Gibt sich der mit dem Sensor Hantierende als eine bestimmte Person aus, vergleicht das Biometrie-System ihre aktuellen Merkmale mit dem entsprechenden Template. Damit prüft es die Authentizität des Benutzers; man spricht von Verifikation. Gibt es keine derartigen Angaben vorab, muss das System die aktuellen Merkmale mit allen gespeicherten abgleichen und die Person, sofern möglich, identifizieren.
Der italienische Anatom Marcello Malpighi (1628-1694) beschrieb als Erster die eigentümlichen Furchenmuster der Haut an den Fingerspitzen, doch erst der britische Regierungsbeamte William Herschel (1833-1918) versuchte 1878, Personen anhand ihres Fingerabdrucks zu identifizieren. Dieses Verfahren sollte helfen, beispielsweise Verträge fälschungssicher zu unterzeichnen. Sir Edward Henry (1859-1931) ließ während seiner Zeit als Polizeichef in der britischen Provinz Bengalen (Indien) ein Klassifikationssystem entwickeln und erfolgreich einsetzen. Zurück in England übernahm er 1901 die Leitung einer neuen Abteilung von Scotland Yard. Sie sollte die Fingerabdrücke von allen Insassen britischer Gefängnisse erheben. Schon 1902 gelang es der Behörde, einen Einbrecher anhand eines Fingerabdrucks zu überführen, den er auf dem Anstrich eines Hauses hinterlassen hatte. Heute ist dieses Verfahren aus der Kriminalistik nicht mehr wegzudenken.
Es lag also nahe, das Erkennen des Fingerabdrucks zu automatisieren und für technische Prozesse zu nutzen. Einige Sensoren messen Temperaturunterschiede zwischen ihrer Oberfläche und der Haut. Kapazitive Messfühler bestimmen den Unterschied der Dielektrizitätskonstanten von Haut und Luft. Der ist bei trockener Haut deutlich geringer als bei feuchter, der Kontrast des aufgenommenen "Bildes" ist entsprechend geringer. Optische Sensoren, die wie eine Kamera arbeiten, unterliegen deutlich weniger Einflüssen der Umgebung wie der Luftfeuchte und sind deshalb für den Außeneinsatz besser geeignet.
Topografie eines Fingerabdrucks
Mit welcher Methode auch immer ein Bild des Fingerabdrucks ermittelt wird: Es besteht aus einer Matrix von mehr als 200 Punkten (Pixeln) pro Zeile und mehr als 250 Zeilen. Jedem Pixel ist ein Grauton zugeordnet, der auf einer Skala zwischen schwarz und weiß 256 Werte annehmen kann. Ein solcher Wert lässt sich in einem Datenwort von acht Bit Länge digital speichern. Berücksichtigt man die typischen Abmessungen eines solchen Sensors, ergibt sich eine Auflösung von mindestens 300, besser 500 Pixeln pro inch (dots per inch, dpi); ein inch entspricht 2,54 Zentimetern.
Das Muster eines Fingerabdrucks besteht aus Furchen beziehungsweise den lang gezogenen Rücken, im Englischen als ridges bezeichnet. Sie bilden sich vor der Geburt, im vierten Monat der Schwangerschaft. Dabei haben nicht nur Erbanlagen Einfluss auf die individuelle Ausprägung, sondern auch das Hormonmilieu direkt beim Fötus. Deshalb lassen sich sogar eineiige Zwillinge anhand ihrer Fingerabdrücke auseinander halten.
Fingerabdruckmuster werden zunächst in Klassen unterteilt. Musterbasierte Erkennungsverfahren gliedern einen Abdruck dann in Zellen und bestimmen beispielsweise Winkel und Länge der ridges innerhalb solcher Bereiche, um dann die Klassifizierung vorzunehmen. Diese Verfahren sind sehr treffsicher beim Vergleich eines Fingerabdrucks mit den in einer Datenbank hinterlegten Templates, benötigen dafür aber einen hohen Rechenaufwand.
Sehr häufig werden deshalb so genannte Minuzien (lateinisch für "kleines Detail") herangezogen. Das sind Diskontinuitäten der ridges, die etwa als Verzweigung ausgebildet sein können oder umgekehrt als Verschmelzung zweier Rücken zu einem.
Um diese Merkmale aus den Sensordaten zu extrahieren, müssen Algorithmen der Minuzienerkennung die Linien des Fingerabdrucks ausmachen. Dazu reduzieren Schwellenwertfilter zunächst die Graustufenmatrix auf ein Schwarz-Weiß-Bild, wobei spezielle Glättungsverfahren die Durchgängigkeit von Linien gewährleisten. Danach verfolgen Algorithmen entweder den Verlauf der Täler oder der Hügel – unterstützt durch ein Orientierungsfeld hangeln sie sich von einem Pixel zum nächsten. Eine Minuzie lässt sich dann grob durch ihren Typ, ihre X- und Y-Koordinate im Bild sowie ihre Orientierung kennzeichnen. Werden nur sie berücksichtigt, reduziert das den Rechenaufwand und der Datensatz der individuellen Schablonen ist kleiner. Für Verifikationen sind solche Verfahren sehr gut geeignet. Weitere Merkmale wie auffällige Poren können das Ergebnis beim Matching überdies verbessern.
Der Begriff "Trennschärfe" bezeichnet die Fähigkeit biometrischer Algorithmen, beim Vergleich mehrerer Fingerabdrücke einer einzigen Person – zum Beispiel beim mehrmaligen Auflegen des gleichen Fingers auf den Sensor – möglichst häufig ein positives und beim Vergleich von Templates unterschiedlicher Herkunft möglichst ein negatives Ausgangssignal zu erzeugen (das Gleiche gilt natürlich auch für jedes andere Merkmal). Um diese Fertigkeit zu quantifizieren, werden zwei Arten von möglichen Fehlern angegeben. Die False Acceptance Rate (FAR) nennt die statistische Wahrscheinlichkeit eines Systems, beim Matching ein O.K. zu geben, obwohl die Templates von verschiedenen Personen stammen. Umgekehrt zeigt die False Rejection Rate, mit welcher Wahrscheinlichkeit ein Mensch vom System abgelehnt wird, obwohl sein Datensatz vorliegt.
Beide Fehlerraten sind von den verwendeten Algorithmen abhängig und stehen so in Relation zueinander. Da es sich um statistisch ermittelte Kurven handelt, lässt sich niemals sagen, ob eine bestimmte Person fälschlicherweise vom System zugelassen oder abgelehnt wird. Um ein System prüfen oder mit anderen vergleichen zu können, muss deshalb eine bekannte Datenbasis mit Rohbildern herangezogen werden. Die Erfahrung hat gezeigt, dass verschiedene solcher Kollektionen sehr unterschiedliche Fehlerraten hervorbringen können. Ein bestimmtes Produkt zur Erkennung von Fingerabdrücken ist umso besser, je zuverlässiger es sowohl mit überwiegend europäischen als auch asiatischen Benutzern funktioniert. Zudem beeinflussen, wie schon erwähnt, Umgebungsbedingungen wie Temperatur und Luftfeuchte und freilich auch der Zustand des jeweiligen Fingers den Prozess: Ist er trocken oder feucht, sauber oder schmutzig? Die Definition objektiver Kriterien für den Vergleich biometrischer Geräte ist zurzeit Gegenstand intensiver internationaler Expertengespräche.
Die Anwender können aber viel dafür tun, die Fehlerraten drastisch zu reduzieren. Insbesondere sollte die beim Enrolment erzeugte Schablone von sehr hoher Qualität sein. In der Praxis bedeutet das: Ungeübte Benutzer sollten den Umgang mit einem biometrischen System zunächst üben und das Enrolment selbst muss durch geschultes Personal überwacht und angeleitet werden. Weitere wesentliche Verbesserungen werden erzielt, wenn die Benutzer das biometrische Gerät bewusst sorgsam nutzen: Wer seinen Finger aus Gedankenlosigkeit nicht ganz auf den Sensor legt, enthält dem Gerät einen Teil der Körpermerkmale vor.
Welchen Vorteil die Biometrie, ob Fingerabdruck- oder Handschrifterkennung, für ein Unternehmen bietet, hängt aber nicht allein vom jeweiligen System ab, sondern auch von einer sachgerechten Planung vorab. Im Allgemeinen erwarten die Kunden ein Mehr an Sicherheit ihrer technischen Systeme, doch diese abstrakte Größe muss vor dem Design eines biometrischen Systems konkretisiert werden, zum Beispiel durch das Entwickeln realistischer Angriffsszenarios auf den zu schützenden Bereich.
Statik verrät den Angreifer
Soll es nicht möglich sein, einen Fingerabdrucksensor mit einer Silikonattrappe zu täuschen – die allerdings gar nicht so leicht herzustellen ist, man bedenke beispielsweise die gewölbte Form von Oberflächen wie einem Trinkglas, die als Quelle eines Abdrucks in Frage kämen –, hier mag ein ergänzender "Lifescan" sinnvoll sein. Dann müssen weitere Messgrößen wie zum Beispiel die Temperatur des Fingers erfasst werden, um die Lebendigkeit des Benutzers festzustellen. Eine andere Möglichkeit ist es, mehrere Aufnahmen in kurzer Zeit zu machen und sie zu vergleichen: Stimmen sie exakt überein, spricht das gegen ein lebendes Wesen. Doch letztlich werden auch dagegen Maßnahmen entwickelt werden, denn mit immer höherem Aufwand lässt sich wohl so ziemlich jedes System, auch ein biometrisches, überlisten.
Wie hoch auch immer der Sicherheitsanspruch ist, es sollte nicht vergessen werden, mit welchen Mitteln er derzeit realisiert wird. Die weit verbreiteten PINs und Passwörter, die über die Tastatur des PCs eingegeben werden, können durch "Trojanische Pferde" aus dem Internet ausgespäht werden. Zur Überwindung eines Fingerabdrucksensors sind immerhin ein Originalabdruck, das Anfertigen einer Attrappe und der physische Zugang zum Sensor erforderlich. Biometrie kann bereits heute die sicherheitskritischen Ressourcen sehr wirksam vor automatisierten Angriffe schützen! Dass es noch einen erheblichen Bedarf an Verbesserungen gibt, ist unbestritten, Dies ist aber kein Grund, auf deren praktischen Einsatz zu verzichten. Auch auf Türschlösser wird niemand verzichten, obwohl sie von Einbrechern meist leicht zu knacken sind.
Um weite Verbreitung zu finden, muss diese Technik leicht integrierbar und in Einzelkomponenten auch leicht austauschbar sein. Das allerdings setzt international anerkannte Standards etwa für Schnittstellen und Datenformate voraus, wie sie gegenwärtig in verschiedenen Gremien entwickelt werden. Ein wesentlicher Faktor für die Durchsetzung auf dem Markt lässt sich freilich nicht standardisieren, allerdings durch gute Standards fördern: Die Akzeptanz der potenziellen Benutzer. Wer ein Zugangssystem installiert, das unergonomisch und schwer durchschaubar ist, dürfte an der Biometrie nicht viel Freude haben.
In Kürze
- Der Begriff Biometrie leitet sich vom griechischen bios für "Leben" und metron für "Maß" ab. In einem allgemeinen Sinne bezeichnet es jegliche Anwendung mathematisch-statistischer Methoden auf lebende Organismen. Die Informationstechnologie versteht darunter das Erkennen von Benutzern zu schützender Systeme aufgrund persönlicher Merkmale.
- Körperliche beziehungsweise passive Merkmale wie Fingerabdruck oder Handgeometrie bleiben ein Leben lang nahezu konstant.
- Verhaltenstypische beziehungsweise aktive Merkmale wie Sprache oder Schrift hingegen können sich ändern.
Aus: Spektrum der Wissenschaft 7 / 2003, Seite 76
© Spektrum der Wissenschaft Verlagsgesellschaft mbH
Schreiben Sie uns!
Beitrag schreiben