Unterschrift statt PIN

Fraunhofer-Forscher haben ein einfaches biometrisches Verfahren entwickelt, das Geheimnummern überflüssig machen könnte.

Wer viele Kredit- und Bankkarten hat, muss sich auch viele Geheimnummern (Persönliche Identifikationsnummer, kurz PIN) merken – obwohl die standardmäßig nur vierstelligen Ziffernkombinationen eigentlich nicht sonderlich sicher sind. Wissenschaftler am Fraunhofer-Institut für Graphische Datenverarbeitung in Darmstadt (IGD) haben deshalb nun einen berührungsempfindlichen Bildschirm für Bankautomaten und Kartenzahlsysteme entwickelt, auf dem sich Kunden auch mit ihrer Unterschrift identifizieren können. Die Technik ist eine Weiterentwicklung von Signatursystemen, wie man sie heute beispielsweise bei der Paketzustellung kennt: Auch hier wird auf einem Tablet oder PDA mit einem Spezialstift unterzeichnet.

Dabei prüft eine im Gerät eingebaute Software nicht nur, ob die Eingabe mit der hinterlegten Unterschrift Bildpunkt für Bildpunkt übereinstimmt. Sie vergleicht über die Stifterfassung und das Display auch, ob man auf dieselbe Art wie auf der Vorlage unterschreibt – etwa anhand des zeitlichen Verlaufs der Stiftposition bei jedem einzelnen Schnörkel und sogar, mit moderneren Systemen, dem üblichen Stiftandruck. Diese zusätzlichen biometrische Merkmale dienen der Fälschungssicherheit, weil jeder Mensch mit einer individuellen Dynamik unterschreibt, die sich nur schwer nachahmen lässt beziehungsweise einem Dieb schlicht nicht kenntlich gemacht wurde. Eine reine optische Fälschung der Unterschrift allein reicht künftig also nicht mehr.

Das Verfahren mache es Kriminellen doppelt schwer, sagen die Forscher: Selbst wenn sie in den Besitz einer Karte gelangen und die persönliche Identifikationsnummer (PIN) ausgespäht haben, schiebe die Biometrie ihren Aktivitäten einen Riegel vor. "Die Kombination aus Wissen, Besitz und Biometrie ist ideal und garantiert dem Karteninhaber ein deutliches Plus an Komfort und Sicherheit", sagt Alexander Nouak, Abteilungsleiter "Identifikation und Biometrie" am Fraunhofer IGD.

Die Technik lässt sich nicht nur als PIN-Ersatz an Terminal und Automat nutzen, sondern auch dann, wenn man in Geschäften das Bezahlen per Lastschriftverfahren absichern will, bei dem die PIN derzeit nicht zum Einsatz kommt. Bisher vergleicht der Kassierer im Laden die Unterschrift des Kunden oft nur oberflächlich mit der Signatur auf der Karte – und da die wenigsten Verkäufer Unterschriftenexperten sind, fallen Fälschungen in den seltensten Fällen direkt auf. Ein maschineller Abgleich der Schreibdynamik würde auch hier deutlich mehr Sicherheit bringen.

Die biometrischen Unterschriftsdaten speichern die IGD-Forscher direkt auf der Chipkarte, auf dem Bankrechner befinden sie sich nicht. So ist es auch nicht möglich, die sensiblen Signaturen bei einem Hackerangriff aus dem Bankrechner oder einem Terminal abzuziehen, der Nutzer bleibt stets im Besitz seiner Informationen.

"Der Abgleich zwischen den präsentierten und den in der Karte gespeicherten biometrischen Daten erfolgt direkt auf dem Chip der nach den etablierten Standards geschützten Bankkarte", erläutert Nouak. PIN-Nummern müssten dann künftig nur bei größeren Transaktionen zum Einsatz kommen, bei der man sich doppelt schützen möchte – aber auch nur zusätzlich zur biometrischen Absicherung, die grundsätzlich sicherer wäre.

Derzeit suchen die Wissenschaftler nach interessierten Anwendern im Finanzsektor, die ihr Verfahren in Echttests einsetzen wollen. Es soll bereits Interesse bei einigen Banken geben, das System zu testen. Wann es zum ersten Praxiseinsatz kommt und welche Kosten damit verbunden sind, wurde aber noch nicht bekanntgegeben.

Ein entscheidender Vorteil der Fraunhofer-Lösung ist, dass sie alle gängigen Standards erfüllen soll, um auf jede gebräuchliche EC- und Kreditkarte aufgespielt zu werden. Die notwendigen Datenmengen zur biometrisch eindeutigen Identifikation der Unterschrift ist für aktuelle Smartcard-Chips nicht zu groß. (bsc)