SNV

Sind Ihre biometrischen Daten im Internet sicher?

Heutzutage kommen biometrische Methoden wie Fingerabdrücke oder Iris-Scans immer häufiger als zuverlässige Verfahren der Authentifizierung bei Online-Transaktionen zur Anwendung. Die Frage ist jedoch, wie sicher wir sein dürfen, dass die Daten nicht kompromittiert werden? Die ISOISO
International Organization for Standardization und die Internationale Elektrotechnische Kommission (IECIEC
International Electrotechnical Commission) haben zwecks Gewährleistung der Sicherheit und des Datenschutzes bei der Nutzung und Verarbeitung biometrischer Daten gemeinsam eine neue internationale Norm veröffentlicht, nämlich die ISOISO
International Organization for Standardization/IECIEC
International Electrotechnical Commission 24745:2011 «Information technology – Security techniques – Biometric information protection».

Unter Biometrie ist das automatisierte Identifizieren von Personen anhand ihrer verhaltenstypischen und physiologischen Eigenschaften zu verstehen. Dazu gehören Techniken der Erkennung des Gesichts-, Iris-, Fingerabdruck- oder Handflächenbildes oder von Stimmmustern. Bekannte Anwendungen sind der Fingerabdruck-Scan zwecks Zugriffs auf einen Computer oder der Iris-Scan im Rahmen von Grenzkontrollen.

Myung Geun Chun, der Project Editor der Norm ISOISO
International Organization for Standardization/IECIEC
International Electrotechnical Commission 24745, erklärt dazu: «Da das Internet immer häufiger benutzt wird, um Dienstleistungen in Verbindung mit sehr vertraulichen Informationen wie das e-Banking oder die Gesundheitsversorgung mit Hilfe von elektronischen Mitteln in Anspruch zu nehmen, sind die Zuverlässigkeit und die Aussagekraft von Authentifizierungsmechanismen von ausschlaggebender Bedeutung. Heute gilt die Biometrie aufgrund ihres einmaligen und kaum oder gar nicht zu fälschenden Bezugs zur Einzelperson als wirksame Lösung.»

«Diese Technologie ist jetzt auch den Kinderschuhen entwachsen. In jüngster Zeit sind die Kosten biometrischer Verfahren zurückgegangen, während ihre Zuverlässigkeit und ihre Beliebtheit zugenommen haben. Die biometrische Identifizierung ist jedoch auch mit einzigartigen Datenschutzbedenken verbunden.»

«Der unveränderliche und spezifische Bezug zur Einzelperson bringt zwar eine grosse Authentifizierungssicherheit, aber gleichzeitig birgt diese Verknüpfung zwischen der Biometrie und persönlich identifizierbaren Informationen gewisse Risiken wie zum Beispiel die Möglichkeit der widerrechtlichen Nutzung und Verarbeitung von Daten. Die Norm ISOISO
International Organization for Standardization/IECIEC
International Electrotechnical Commission 24745 ist im Kampf gegen diese Risiken ein Mittel von unschätzbarem Wert.»

Bei biometrischen Verfahren kann im Falle einer Kompromittierung der Authentifizierungsinformationen nicht auf die üblichen Lösungen wie die Ausgabe eines neuen Passwortes oder Tokens zurückgegriffen werden, da biometrische Eigenschaften nur schwer oder gar nicht geändert werden können, und je mehr persönliche identifizierbare Informationen mit biometrischen Referenzen verknüpft werden, desto wichtiger wird es, die Sicherheit eines biometrischen Systems und den Schutz persönlicher Daten mit wirksamen Gegenmassnahmen zu gewährleisten, wie sie in der Norm ISOISO
International Organization for Standardization/IECIEC
International Electrotechnical Commission 24745 beschrieben werden.

Die Norm definiert folgende Aspekte:

  • Analyse der Bedrohungen und Gegenmassnahmen in Verbindung mit biometrischen Modellen und der Anwendung biometrischer Systeme
  • Sicherheitsanforderungen in Bezug auf die Verknüpfung von biometrischen Referenzen mit Identitätsreferenzen
  • Modelle der Anwendung biometrischer Systeme mit unterschiedlichen Szenarien für die Speicherung und den Abgleich biometrischer Referenzen
  • Leitlinien bezüglich des Schutzes von Personendaten im Rahmen der Verarbeitung biometrischer Informationen


Quelle: ISOISO
International Organization for Standardization News and Media, 11. August 2011

Das entsprechende Schweizer Spiegelkomitee ist das INBINB
Interdisziplinärer Normenbereich/NKNK
Normen-Komitee 149 «Informationstechnologie».

Ansprechpartnerin für weitere Informationen:
Ruth Schneider, E-Mail: ruth.schneidersnv.ch, Tel.: +41 (0)52 224 54 28

Bereits publizierte Normen zu diesem Thema:
ISO/IEC 24745:2011 (englisch)
Alle Publikationen zum Thema (v. a. englisch)

PDF-Download nach kostenloser Anmeldung unter www.mysnv.ch