Schaut ein Computer etwa Angehörigen des US-Militärs tief in die Augen, geht es dabei kaum um eine romantische Annäherung – vielmehr tastet dabei ein Laserstrahl das einzigartige Muster der Iris ab und erkennt so, ob die Person Zugang zu Hochsicherheitsbereichen erlangen darf. Doch die Methode war in ihrer Frühphase unangenehm und überdies gesundheitsschädlich. Neue Technologien sollen dem Verfahren seine Gefahren nehmen. „Heute ist die Iriserkennung so gefährlich, wie fotografiert zu werden“, betont Markus Junginger vom Technologiehaus Tridian in Genf. Weil das Bild heute mit einer herkömmlichen Schwarzweiß-Kamera aufgenommen werde, entfallen energiereiche Einstrahlungen durch eine aktive Beleuchtungen des Auges. Überdies gibt sich der digitale Torwächter heute weniger zudringlich: Selbst aus einem Meter kann die Kamera die nötigen Daten noch erkennen.
Aus den Bild erhebt das System einen 512 Byte großen Iris-Code, der mit Prüf- und Checksummen kontrolliert und mit einer Referenzaufnahme verglichen wird. Allerdings besitzen solche Verfahren ihren Preis: Nach Einschätzungen US-amerikanischer Analysten werden jährlich weit über 100 Millionen Dollar für biometrische Systeme ausgegeben. Andererseits arbeiten die Anlagen durchaus nicht narrensicher. Nur der kleinste Teil erkennt die Nutzer in mehr als 60 Prozent der Fälle. Überdies widerstehen die Identifikationsgeräte mehr oder minder raffinierten Angriffsversuchen oft nicht. „So könnte man beispielsweise versuchen, mit einem Glasauge oder besonderen Kontaktlinsen die Kamera zu überlisten. Schon ein einfaches Foto genügt bei schlichten Systemen für einen Zugang zum Rechner“, erklärt der Informatiker Henning Daum, der am Institut für Grafische Datenverarbeitung in Darmstadt in der Abteilung Sicherheitstechnologie verschiedene biometrische Geräte testet.
Doch nicht nur biometrische Merkmale können kopiert oder gefälscht werden. Auch die Erkennungssoftware kann manipuliert, in die Datenübertragung eingegriffen oder einfach die Referenz-Datensätze ausgetauscht werden. So könnten korrekt erkannte und berechtigte Nutzer Zugangsreferenzen für Datendiebe einschmuggeln. „Der durchschnittliche Käufer solcher Systeme ist entweder nicht in der Lage oder nicht willens, solche Aspekte zu prüfen, sondern geht andererseits davon aus, dass seine Daten sicher behütet sind“, so Daum. Der Informatiker fordert daher unabhängige Institutionen, die die Sicherheit biometrischer Verfahren überprüfen. Erste Ansätze dazu böten derzeit nur das Darmstädter Institut sowie das Bundesamt für Sicherheit in der Informationstechnik. Beide kamen in einer Studie zu besorgniserregenden Ergebnissen: In einem Fall mangelte es an der Erkennungsleistung der Kamera, eine weitere versagte bei großen Personen und ein Unterschriftserkennungssystem konnte durch geübte Fälscher überrumpelt werden. Ein Gesichtserkenner versagte seinen Benutzern schon den Zutritt, wenn sie sich im Urlaub einen Bart stehen ließen oder diesen abnahmen. Zuverlässiger dagegen arbeitet der Iris-Scanner, dem die Gutachter eine uneingeschränkte Alltagstauglichkeit attestierten. Auch andere Geräte, die die Handgeometrie oder Fingerabdrücke auslesen, bestechen demnach durch gute Erkennungsleistung und gelten als einigermaßen sicher.
Aus den Bild erhebt das System einen 512 Byte großen Iris-Code, der mit Prüf- und Checksummen kontrolliert und mit einer Referenzaufnahme verglichen wird. Allerdings besitzen solche Verfahren ihren Preis: Nach Einschätzungen US-amerikanischer Analysten werden jährlich weit über 100 Millionen Dollar für biometrische Systeme ausgegeben. Andererseits arbeiten die Anlagen durchaus nicht narrensicher. Nur der kleinste Teil erkennt die Nutzer in mehr als 60 Prozent der Fälle. Überdies widerstehen die Identifikationsgeräte mehr oder minder raffinierten Angriffsversuchen oft nicht. „So könnte man beispielsweise versuchen, mit einem Glasauge oder besonderen Kontaktlinsen die Kamera zu überlisten. Schon ein einfaches Foto genügt bei schlichten Systemen für einen Zugang zum Rechner“, erklärt der Informatiker Henning Daum, der am Institut für Grafische Datenverarbeitung in Darmstadt in der Abteilung Sicherheitstechnologie verschiedene biometrische Geräte testet.
Doch nicht nur biometrische Merkmale können kopiert oder gefälscht werden. Auch die Erkennungssoftware kann manipuliert, in die Datenübertragung eingegriffen oder einfach die Referenz-Datensätze ausgetauscht werden. So könnten korrekt erkannte und berechtigte Nutzer Zugangsreferenzen für Datendiebe einschmuggeln. „Der durchschnittliche Käufer solcher Systeme ist entweder nicht in der Lage oder nicht willens, solche Aspekte zu prüfen, sondern geht andererseits davon aus, dass seine Daten sicher behütet sind“, so Daum. Der Informatiker fordert daher unabhängige Institutionen, die die Sicherheit biometrischer Verfahren überprüfen. Erste Ansätze dazu böten derzeit nur das Darmstädter Institut sowie das Bundesamt für Sicherheit in der Informationstechnik. Beide kamen in einer Studie zu besorgniserregenden Ergebnissen: In einem Fall mangelte es an der Erkennungsleistung der Kamera, eine weitere versagte bei großen Personen und ein Unterschriftserkennungssystem konnte durch geübte Fälscher überrumpelt werden. Ein Gesichtserkenner versagte seinen Benutzern schon den Zutritt, wenn sie sich im Urlaub einen Bart stehen ließen oder diesen abnahmen. Zuverlässiger dagegen arbeitet der Iris-Scanner, dem die Gutachter eine uneingeschränkte Alltagstauglichkeit attestierten. Auch andere Geräte, die die Handgeometrie oder Fingerabdrücke auslesen, bestechen demnach durch gute Erkennungsleistung und gelten als einigermaßen sicher.