Multi-Faktor-Authentisierung versus Zwei-Faktor-Authentisierung
Biometrie ist heute als Sicherheitsfaktor in der IT-Sicherheit nicht mehr wegzudenken. Biometrische Verfahren zur Identifizierung von Personen gelten als fortschrittlich und besonders sicher, da sie im Vergleich zu anderen Systemen, wie zum Beispiel Passwörtern oder PINs, von Cyberkriminellen nur schwer ausspioniert werden können. Zudem haben sie im Gegensatz zu persönlichen Merkmalen wie Passwörtern den Vorteil, dass der Nutzer sie sich nicht merken muss. Mit Fingerabdruck oder Gesichtserkennung können sich Nutzer einfach und unkompliziert in ihre Konten einloggen. Das macht Biometrie zu einer der sichersten Methoden, um Daten zu schützen. Welche Möglichkeiten die Technologie im Detail bietet, erfahren Sie hier.
Biometrische Zugangssysteme können grundsätzlich in physiologiebasierte und verhaltensbasierte Systeme unterschieden werden. Das wohl bekannteste physiologiebasierte Authentifizierungsverfahren auf Basis der Biometrie ist der Fingerabdruck – prominent genutzt von Apple. Ein grosser Vorteil von Fingerabdruckscannern ist, dass sie einfach zu bedienen sind und als einzigartig gelten. Die Funktionsweise ist relativ einfach: Beim Scannen von Fingerabdrücken nutzen Sensoren in einem Lesegerät verschiedene Technologien wie kapazitive, optische, thermische oder Ultraschalltechnik, um in Sekundenschnelle die Linien, Wirbel, Schleifen und Verzweigungen des Fingerabdrucks, die sogenannten Minutien, zu erfassen. Ein Satz von 14 dieser Minutien reicht aus, um einen Fingerabdruck zweifelsfrei einer bestimmten Person zuzuordnen.
Stimmen die bei der Überprüfung erfassten Werte nicht mit den gespeicherten Daten überein, wird der Zugriff verweigert. Selbst wenn jemand versucht, das Sensorsystem mit einem Wachsabdruck oder einem abgeschnittenen Finger zu täuschen, gelingt dies bei qualitativ hochwertigen Fingerabdrucksystemen nicht. Zusätzlich sind im Lesegerät Sensoren integriert, die den Fingerpuls messen und so echte von gefälschten Fingerabdrücken unterscheiden können.
Ähnlich funktionieren Iris- oder Retina-Scans, die zur optischen Biometrie gehören.
Next step: Verhaltensbiometrie
Die Umgehung biometrischer Systeme gilt als äusserst schwierig. Dennoch haben Cyberkriminelle Wege gefunden, diese Systeme auszutricksen. Bei einer der bekanntesten Methoden, dem Social Engineering, wird nicht das System selbst manipuliert, sondern das schwächste Glied in der IT-Sicherheitskette: der Mensch. Ein Betrüger gibt sich beispielsweise als Vertreter einer seriösen Organisation aus und überredet das Opfer am Telefon, sich in sein Bankkonto einzuloggen. Weder Multifaktor-Authentifizierung noch Biometrie stellen für den Kriminellen ein Hindernis dar, da sich der Verbraucher selbst authentifiziert.
In einem solchen Fall kann der Einsatz der Verhaltensbiometrie helfen, Betrugsversuche zu erkennen und in einem zweiten Schritt zu unterbinden. Mit dieser Methode kann beispielsweise die Identität eines Verbrauchers während der gesamten Online-Sitzung bestätigt werden. IT-Sicherheitsexperten in Unternehmen sind in der Lage, anhand von datengestützten Erkenntnissen echtes von gefälschtem Nutzerverhalten zu unterscheiden.
Verhaltensbiometrische Systeme können das Tippverhalten, die Mausbewegungen, die Wischbewegungen auf einem Smartphone sowie die Handhabung des Endgeräts erkennen und auswerten. Die Verhaltensbiometrie wird häufig in nachgeschalteten oder kontinuierlichen Authentifizierungsverfahren wie der „Risk-based Authentication“ und der „Adaptive Authentication“ eingesetzt. Ein grosser Vorteil dabei ist, dass das Verfahren als weitere Sicherheitsschicht zusätzlichen Schutz vor Cyberkriminellen bietet.
Entwicklungsmöglichkeiten der Biometrie
Vielleicht kennen Sie die Serie „Lie to me“, in der der Hauptdarsteller Dr. Cal Lightman und seine Kollegen bei kriminalistischen Ermittlungen die Lügen von Verdächtigen anhand von Mikroexpressionen entlarven. Anhand der Körpersprache analysiert das Team unwillkürliche Bewegungen der Gesichtsmuskulatur und kann so unterdrückte Emotionen aufspüren. Die Serie basiert auf den Forschungen des Psychologen Paul Ekman, der durch seine Erkenntnisse zur nonverbalen Kommunikation bekannt wurde.
Derzeit diskutieren Experten, ob die Emotionserkennung in zukünftigen Authentifizierungssystemen eingesetzt werden kann, um die Identität einer Person anhand von Stimme und Körpersprache zu bestätigen. Dieser Ansatz könnte im Kampf gegen Deep-Fake-Betrug durchaus interessant sein. Er ist aber auch sehr umstritten, da die Mimik allein nicht unbedingt ausreicht, um präzise Rückschlüsse auf den Gemütszustand und damit auf die Identität zu ziehen.
Es gibt auch Entwicklungen im Bereich der kontextbewussten oder adaptiven Authentifizierung. Hintergrund: Mithilfe der Biometrie kann der Authentifizierungskontext stärker berücksichtigt werden. In Kombination mit Ortsinformationen, Nutzerverhalten oder anderen Kontextfaktoren lässt sich die Sicherheit bei der Zugangsanfrage signifikant erhöhen, ohne die Benutzerfreundlichkeit zu beeinträchtigen. In einem weiteren Schritt kann durch eine KI-gestützte Risikoanalyse ein Profil des Nutzers erstellt werden, um beispielsweise verdächtige Aktivitäten oder unberechtigte Zugriffsversuche besser und vor allem schneller zu erkennen.
CIAM der Zukunft
Biometrische Authentifizierungsmethoden und ihre Weiterentwicklungen können eine wichtige Rolle in der Zukunft von CIAM spielen. Sie verbessern nicht nur die Sicherheit, sondern auch die Benutzerfreundlichkeit – ein wertvoller Beitrag, Identitätsdiebstahl und Betrug zu bekämpfen und gleichzeitig den Benutzern einen bequemeren und nahtlosen Zugang zu ermöglichen.
