Direkt zum Inhalt

Biometrie: Die Identität auf dem Chip

George Orwells Visionen von der ständigen Überwachung sind längst hinter der Realität zurückgeblieben. Mit GPS-System, Handy und Kundenkarten geben wir täglich freiwillig Unmengen an Informationen über uns frei. Auch wer lieber zurückhaltend mit seinen Daten umgeht, wird demnächst ein Stückchen gläserner: Ab Herbst soll der neue Reisepass kommen, mit biometrischen Daten für die computergestützte Schnellprüfung der Identität.
Iris
Die Fiktion: Der Mensch hat sich selbst perfektioniert. Zumindest teilweise. Während die unteren Schichten der Gesellschaft ihre Nachkommen weiterhin auf traditionelle Weise zeugen, sind die höheren Ebenen genetisch optimierten Personen vorbehalten. Damit niemand sich unbefugt nach oben schummeln kann, gibt es bei jeder passenden oder unpassenden Gelegenheit biometrische Kontrollen: Fingerabdrücke, Blut, Urin und vor allem immer wieder die Gene. Ein absolut sicheres System, sollte man meinen. Doch absolute Sicherheit ist eine Illusion – selbst in der Welt des Films "Gattaca".

Wo Staat und Gesellschaft mit Hightech auf höchstem Niveau Kontrolle ausüben wollen, antworten Rebellen mit entsprechend anspruchsvollen Tricks. Professionelle Identitätshändler verschaffen gegen reichlich Bares die nötigen Proben von genetisch einwandfreien Personen, die aus irgendeinem Grund nicht den ihnen "gebührenden" Platz eingenommen haben. Und so mogelt sich ein natürlich Geborener Dank falscher Fingerkuppen mit passendem Blutstropfen, gekauften Haaren auf der Tastatur, Kontaktlinsen und vorbereiteten Urinproben auf den begehrten Posten in der Raumfahrtindustrie. Da geschieht kurz vor seiner Mission ins All ein Mord – und die Kontrollen laufen doppelt scharf ab.

Die Realität: Was genau die wahren Gründe sind, hängt anscheinend von der Sichtweise ab. Eine verbesserte Sicherheit im Kampf gegen Terrorismus und Kriminalität, gibt das Bundesministerium des Innern an. Druck von der US-Regierung, die mit einer Visumspflicht für EU-Bürger droht, sagen Kritiker. Andere meinen, es gehe in Wirklichkeit darum, der deutschen Industrie eine Starthilfe in den Wachstumsmarkt der biometrischen Kontrollsysteme zu liefern. Jedenfalls steht der neue Reisepass mit auf einem Chip gespeicherten biometrischen Daten in den Startlöchern. Im Herbst 2005 könnte es so weit sein, wenn es nach dem Bundesinnenminister geht. Der Bundesbeauftragte für den Datenschutz möchte dagegen noch etwas warten, die EU hat jedenfalls eine Einführung Mitte 2006 als Ziel gesetzt.

Viel Wirbel also um eine Frage: "Sind Sie auch garantiert Sie und nicht jemand anders, der sich nur als Sie ausgibt?" Früher beantworteten Polizisten, Zöllner und Grenzschutzbeamte dies mit einem prüfenden Blick auf das Passfoto und ins Gesicht – in Zukunft reicht das scheinbar nicht mehr aus. Computer, Datenbanken und automatische Kontrollen sollen schneller und sicherer sein. Sind sie aber nicht, behaupten die einen. Sind sie sehr wohl, sagen die anderen. Mittendrin steht der Bürger. Zu entscheiden hat er in dem bevorstehenden Wandlungsprozess wohl nichts. Da sollte er doch zumindest wissen, was es mit dieser Biometrie eigentlich auf sich hat, wie sie funktioniert und wo eventuelle Schwachstellen stecken.

Nächste Seite: So geht's: Biometrie im SchnelldurchgangSo geht's: Biometrie im Schnelldurchgang

Lebewesen (Bio) vermessen (Metrie) – so könnte man allgemein die Aufgaben der Biometrie umreißen. In der aktuellen Diskussion wird der Begriff aber spezieller verwandt: Es geht um die Gewinnung, Speicherung und Kontrolle personengebundener Merkmale von Menschen mit Hilfe von informationsverarbeitenden technischen Systemen. Als Merkmal käme eine Fülle von körperlichen Eigenschaften in Frage: Das Spektrum reicht von der DNA über dynamische Muster wie Gangweise und Mimik zu den bekannteren statischen Charakteristika wie Fingerabdruck, Gesichtsform, Augenmusterung.

Tatsächlich wird weltweit eifrig an diesen und noch weiteren biometrischen Merkmalen geforscht. Computer sollen lernen, beispielsweise an der Stimme zu erkennen, ob jemand tatsächlich die Person ist, für die er sich ausgibt (Authentifizierung). Oder sie werden trainiert, aus einer größeren Menschenmenge eine gesuchte Person herauszufinden (Identifizierung), was über eine automatisierte Gesichtererkennung theoretisch möglich wäre.

In beiden Fällen muss das biometrische System in der Enrollment genannten ersten Phase mit den Daten gefüttert und trainiert werden. Um die Flut der Zahlen einigermaßen einzudämmen, werden aus den Rohdaten nur einige Werte extrahiert und zusammen mit weiteren Angaben, beispielsweise dem Namen und der Adresse, abgespeichert. Bei Gesichtern könnte es sich um die Lage von Augen, Mund und Nase relativ zueinander handeln, ihre Winkel und Größen. Als Template werden diese Referenzdaten gespeichert und auf dem Ausweis oder in einer zentralen Datenbank abgelegt.

Auch während einer späteren Überprüfung laufen jedes Mal die oben genannten Schritte ab, und es entsteht ein zweites Template. Nur wenn dieses mit der Referenz übereinstimmt, gibt es einen positiven Treffer, ein match. Je nach Aufgabe des Systems öffnen sich für Sie die Türen, oder es erscheinen eilige Ordnungshüter für eine intensivere Prüfung Ihrer Identität.

Es hängt also viel davon ab, wie zuverlässig die biometrische Erkennung arbeitet – und zwar außerhalb des gemütlichen Forschungslabors! Wechselnde Beleuchtung, zappelnde Personen in Bewegung, verschmutzte Finger, staubige Linsen etc. müssen Apparate für den realen Einsatz anstandslos akzeptieren und dennoch präzise Ergebnisse liefern. Sowohl der Anteil irrtümlich nicht beanstandeter Personen (False Acceptance Rate, FAR) als auch irrtümlich zurückgewiesener Personen (False Rejection Rate, FRR) sollte so klein wie möglich sein. Ganz ohne Fehler wird es aber wohl nie ablaufen. Zwei Beispiele für biometrische Merkmale, die schon jetzt immer größere Verbreitung finden, zeigen, wie schwierig eine zuverlässige Erkennung ist.

Nächste Seite: Fallbeispiel FingerabdruckFallbeispiel Fingerabdruck

Der Fingerabdruck ist das klassische biometrische Merkmal schlechthin. Bereits gegen Ende des 19. Jahrhunderts wies Francis Galton aus England nach, dass keine zwei Abdrücke gleich sind, dafür aber von kleinster Kindheit bis nach dem Tod unverändert bleiben. Von den vielen Linien interessieren vor allem die Verzweigungen, Endungen, Schleifen und Dreiecke. Sie bilden hervorragende Möglichkeiten, den Datensatz eines Abdrucks zu reduzieren. Zuvor macht das System mit einer CCD-Kamera ein Bild des fraglichen Fingers, in teureren Apparaten vermessen Ultraschallsensoren oder Drucksensoren das Höhenprofil oder ein Siliziumsensor tastet die elektrischen Felder zwischen den Linien ab. In jedem Fall werden die Daten in ein Schwarz-Weiß-Bild umgewandelt, aus dem die wichtigen Punkte gut zu extrahieren sind.

Ist so eine Kontrolle zuverlässig? Sie könnte es zumindest sein, denn Schätzungen zufolge liegt die Wahrscheinlichkeit, dass zwei Finger den selben Abdruck haben, bei eins zu einer Billion. Überprüft man gleich zwei Finger, besteht praktisch keine Verwechslungsgefahr. Eine ungleich größere Quelle für einen Irrtum liegt beim eigentlichen Messvorgang: Mal sind die Finger sauber, dann eher schmutzig, die Person schwitzt unterschiedlich oder hat sich sogar eine Schnittverletzung zugezogen. Diese Anforderungen muss das System bewältigen.

Hinzu kommen absichtliche Täuschungsversuche. Im einfachste Fall reicht es, den Sensor anzuhauchen, um eine falsche Identität vorzuspiegeln. Dann registriert das Gerät nämlich die zurückgebliebenen feinen Fettspuren des Vorgängers, den so genannten Latenzabdruck. Fällt es darauf nicht herein, klappt es vielleicht mit einer selbstgebastelten Attrappe – eine Anleitung dazu hat der Chaos Computer Club für jedermann zugänglich ins Internet gestellt. Und selbst wenn das System zusätzlich nach einem Pulsschlag im Finger tastet, dürften findige Bastler darüber nur müde lächeln. Zwar sind diese Kniffe den Herstellern bekannt, doch ist kaum anzunehmen, dass Fingerabdruckscanner der unteren Preiskategorien im Kräftemessen zwischen Entwicklern und Betrügern stets auf dem neuesten Stand sein werden. Als alleiniges Merkmal sind Fingerabdrücke darum nicht unbedingt als sicher anzusehen.

Fallbeispiel Iriserkennung

Blau, grau, grün, braun oder farblich gemischt blicken unsere Augen in die Welt. Die Iris oder Regenbogenhaut regelt über Muskeln, wie weit unsere Pupille geöffnet ist und damit, wie viel Licht ins Auge fällt. Ihre Struktur mit den zahlreichen Bändern, Stegen, Furchen und Gräben ist bei der Geburt bereits voll entwickelt und bei jedem Menschen einzigartig – es gibt so viele mögliche Kombinationen wie Atome im Universum! Ein ideales Terrain zur biometrischen Prüfung also?

Am Beginn des Tests steht wieder eine digitale Aufnahme. Schwarz-weiß reicht aus, die Augenfarbe spielt keine Rolle. Das System muss die Iris lokalisieren, wofür die Umgebungshelligkeit möglichst konstant sein sollte, weil ansonsten die Pupillenweite ständig schwankt. Vor einer Täuschung durch einfache Fotos oder Kontaktlinsen schützen mehrere Aufnahmen hintereinander, denn eine lebendige Iris zuckt ständig ein wenig. Mathematische Verfahren und neuronale Netze filtern den Bereich der Iris heraus und suchen etwa 200 charakteristische Punkte, die das Template ergeben. In der Praxis ist es niemals vollständig mit den gespeicherten Referenzdaten identisch, sodass ein Schwellwert als Grenze dient.

Einen Irisscanner zu betrügen, ist sehr viel schwieriger als bei Fingerabdruck-Systemen. Vermutlich wäre es einfacher, bereits aufgenommene Templates zu stehlen und bei einer Kontrolle am Scanner vorbei in das System einzuschleusen. In Tests mit "gutmütigen" Personen haben sich die Iriserkennungssysteme bereits wacker geschlagen. Allerdings handelte es sich dabei um Läufe mit relativ begrenzten Zahlen. Wie schnell und sicher die Treffer sind, wenn sich zur Ferienzeit jeden Tag Abertausende Urlauber auf den Flughäfen drängen, lässt sich daraus nicht ableiten.

Nächste Seite: Auf der Suche nach dem besten SystemAuf der Suche nach dem besten System

Unter dem Titel "Untersuchung der Leistungsfähigkeit von Gesichtserkennungssytemen zum geplanten Einsatz in Lichtbilddokumenten – BioP I" hat das Bundesamt für Sicherheit in der Informationstechnik verschiedene biometrische Systeme getestet, die Merkmale des Gesichts überprüfen. Diese Methode hat den Vorteil, dass Fotos in Ausweisen allgemein bekannt und akzeptiert sind. Der im Januar 2004 vorgelegte Abschlussbericht nennt Rahmenbedingungen, die zu einer "guten" Erkennungsleistung führen. So sollte das Template auf einem Chip im Ausweis gespeichert sein oder von einer Datenbank stammen, und die Beleuchtung muss stimmen. Probleme gab es jedoch, wenn zwei Personen sich ähnlich sahen, und auch mit den altersbedingten Veränderungen kommen die Computer womöglich nicht sonderlich gut zurecht.

Im Anschluss an BioP I folgte dann ab Mitte März 2004 BioP II – ein Vergleichskampf zwischen Gesichtserkennung, Fingerabdrucksystem und Iriserkennung. Schauplatz ist wieder der Frankfurter Flughafen, als Testpersonen hatten sich über 2000 Mitarbeiter der Lufthansa und des Flughafenbetreibers Fraport zur Verfügung gestellt. Ein abschließender Bericht liegt leider noch nicht vor.

Dafür dürfen seit Februar 2004 auch normale Passagiere, die ihre Daten in einer Projektphase registrieren ließen, die konventionellen Kontrollen am Frankfurter Flughafen links liegen lassen und stattdessen einen Irisscann durchlaufen. Die Trefferquote bewegte sich bei dieser "Automatisierten und Biometriegestützten Grenzkontrolle" (ABG) immerhin bei 99 Prozent – was jedoch bedeutet, dass es täglich zu Zweifelsfällen kommen müsste.

Was in den Reisepass soll

Das ideale System zur biometrischen Kontrolle ist also noch nicht gefunden. Dennoch steht für das Bundesministerium des Innern offenbar schon fest, welche Daten der neue Reisepass tragen soll. Die parlamentarische Staatssekretärin Ute Vogt gab in einem Interview, das auf den Webseiten des Ministeriums veröffentlicht ist, an, es würde zunächst ein digitalisiertes Gesichtsbild aufgenommen, dann ein Fingerabdruck. Zwei der weniger genauen und anfälligeren Verfahren also.

Der Datenschutzbeauftragte Peter Schaar forderte darum, die Einführung des neuen Reisepasses noch zu verschieben. Neben technischen Fragen seien auch die Belange des Datenschutzes noch nicht hinreichend geklärt. Wer unter welchen Voraussetzungen auf welche Informationen zugreifen darf und wie die Daten vor unbefugtem Zugriff geschützt werden können, muss zuerst gelöst werden, bevor Reisepässe gefertigt werden, die keine nennenswerte Gültigkeit hätten.

Damit betritt die Biometrie die politische Bühne, auf der letztlich die Entscheidungen fallen – freilich nach anderen Regeln als bei technischen Entwicklungen. Welche Daten auch immer künftige Ausweise verraten werden, gegen Terrorismus bieten sie nur bedingten Schutz. Denn der Ausweis sagt nur, wer man ist – nicht, was man vorhat.

Schreiben Sie uns!

Wenn Sie inhaltliche Anmerkungen zu diesem Artikel haben, können Sie die Redaktion per E-Mail informieren. Wir lesen Ihre Zuschrift, bitten jedoch um Verständnis, dass wir nicht jede beantworten können.

Partnerinhalte

Bitte erlauben Sie Javascript, um die volle Funktionalität von Spektrum.de zu erhalten.