Chipkarte mit Fingerabdruck
Die internationale Standardisierung biometrischer Verfahren und Systeme steht noch ganz am Anfang. Der Datenschutz kommt aber jetzt schon zu kurz.
- Richard Sietmann
Ob beim Einloggen in Rechnernetze, bei Zutritts- oder Grenzkontrollen - dem Bedürfnis nach verstärktem Schutz folgend geht der Trend bei der Entwicklung von Sicherungskonzepten zu Mehr-Faktorsystemen. Es sind Verfahren, die von den drei Ausweismöglichkeiten - durch Wissen (PIN/Passwort), Besitz (Schlüssel, Token) oder Merkmal (Biometrie) - mindestens zwei zur Authentifizierung heranziehen.
Die Karte kann verloren gehen, das Passwort ausgespäht werden, deshalb gewinnt die Identitätsprüfung anhand von unveräußerlichen persönlichen Merkmalen an Bedeutung. Insbesondere die Kombination der biometrischen Erkennung mit SmartCards kann Bedenken ausräumen, auf die heute die Biometrie aus guten Gründen noch vielfach stößt.
Diesem Thema widmete sich Mitte Oktober der CAST-Workshop ‘SmartCards & Biometrie’ im Darmstädter Fraunhofer-Institut für Graphische Datenverarbeitung (IGD). Das am IGD angesiedelte Competence Center for Applied Security Technology (CAST) ist für rund 60 Firmen und Institute ein Forum zum Austausch von Forschungs- und Entwicklungsergebnissen auf dem Gebiet der IT-Sicherheit.
Im Mittelpunkt der Veranstaltung stand die internationale Standardisierung von biometrischen SmartCard-Verfahren, die viele als unübersichtlich empfinden. ‘Die Situation in der Normung ist verwirrend’, meint selbst einer der profundesten Kenner der SmartCard-Szene hierzulande, Bruno Struif vom Fraunhofer-Institut für Sichere Telekooperation (SIT).
Tatsächlich gibt es eine Fülle von Industrie-Foren und nationalen Aktivitäten (siehe Tabelle ‘Standards und Entwürfe’), die sich im Vorfeld der internationalen Standardisierungsorganisation ISO und der International Electrotechnical Commission (IEC) mit unterschiedlichen Teilaspekten biometrischer Systeme beschäftigen, wo sie in die Zuständigkeit des ‘Gemeinsamen Technischen Ausschuss’ (ISO/IEC JTC1) für die ‘Information Technologies’ fallen (www.jtc1.org). Dazu gehören beispielsweise das CBEFF, ein Austauschformat für Biometriedatensätze, und die BioAPI - einer Schnittstellenspezifikation für Biometrie-Anwendungen auf dem Rechner mit der Erkennungshardware, an der mehr als 90 Firmen mitwirkten.
Biometrische Schutzprofile
Daneben gibt es in Gestalt der Common Criteria (CC) ‘Gemeinsame Kriterien für die Prüfung und Bewertung der Sicherheit von Informationstechnik’ [1]. Sie beschreiben abstrakt die Anforderungen, nach denen Produkten in einer Hierarchie von Vertrauenswürdigkeitsstufen das Sicherheitsniveau zertifiziert werden kann. Diese Evaluation Assurance Levels (EAL) erstrecken sich von EAL 1 (einfache Tests) bis EAL 7 (formal-logisch verifizierte Hochsicherheitslösung).
Die Common Criteria sind als Fortentwicklung von ITSEC (Europa) und TCSEC (USA) in die 1999 veröffentlichte Norm ISO/IEC 15408 eingegangen und sollen die internationale Vergleichbarkeit der Zertifizierung von Produkten und Systemen auf dem Weltmarkt sicherstellen; sie bilden die Grundlage zwischenstaatlicher Vereinbarungen zur gegenseitigen Anerkennung von Evaluationsergebnissen.
Die CC-Evaluierung einzelner IT-Produktkategorien wie Firewalls, Geldkarten, Betriebssysteme oder digitale Fahrtenschreiber erfolgt anhand so genannter Schutzprofile. Sie konkretisieren das jeweils angenommene Einsatzfeld, die Sicherheitsziele und die Gefährdungen [2]. Im Fall der Biometrie gibt es bislang nur Entwürfe solcher Protection Profiles (PP), wie beispielsweise das Biometric Device Protection Profile (BDPP) der britischen Biometrics Working Group oder das Federal Biometric Protection Profile (FBPP) des US-Verteidigungsministeriums.
Gemeinsam ist diesen Schutzprofilen, dass sie sich in erster Linie an den ‘Assets’, den zu schützenden Werten des Betreibers eines biometrischen Systems, orientieren und nicht an den Datenschutz- und Persönlichkeitsrechten der Nutzer. Die Kombination von Biometrie und SmartCards wird als Möglichkeit zwar in Betracht gezogen, spielt aber unter dem Gesichtspunkt der ‘privacy’ keine Rolle. Es geht um ‘data protection’, nicht um ‘data privacy’, was nicht unbedingt identisch ist.
Alles auf eine Karte?
Versteht man ‘privacy’ als informationelle Selbstbestimmung, die dem Einzelnen die Kontrolle darüber lässt, was mit seinen Daten geschieht, dann bieten jedoch gerade SmartCards im Umgang mit den biometrischen Merkmalsdaten die Möglichkeit zur klaren Abgrenzung der Persönlichkeitssphäre des Nutzers von der Sphäre des Systembetreibers.
Jede biometrische Erkennung beruht auf dem Vergleich eines aktuell erfassten Merkmals mit dem abgespeicherten Referenzmuster (Template). In konventionellen Biometriesystemen sind dabei alle Schritte der Verfügung des Nutzers entzogen; die Speicherung des Templates, die Erfassung des Merkmals zur aktuellen Prüfung und der algorithmische Vergleich finden in der Sphäre des Betreibers statt (siehe Grafik).
Anders bei der kartengestützten Biometrie. Bei Template-on-Card-Systemen befindet sich der Referenzdatensatz auf der SmartCard und wird nur zum Vergleich temporär ausgelesen. Beim On-Card-Matching verlässt auch das Template die Karte nicht. Um sich gegenüber der SmartCard (und damit dem System) zu authentifizieren, sendet der Benutzer über das Erfassungsgerät des Betreibers einen aktuellen Scan seines biometrischen Merkmals, und der Prozessor der Chipkarte führt mit dem abgespeicherten Algorithmus den Vergleich durch.
Mit der Speicherung und Prüfung direkt in der Karte entfällt die Notwendigkeit zur zentralen Speicherung von Merkmalsdaten in Datenbanken des Betreibers, und damit auch ein potenzieller Angriffspunkt.
Dass damit die technischen Möglichkeiten noch längst nicht ausgereizt sind, demonstrierte in Darmstadt Christian Hüsch von Rainbow Technologies Inc. mit einem handlichen Produktkonzept, das auch die Merkmalserfassung im Verfügungsbereich des Endnutzers belässt: Der ‘iKey SuperToken’ von der Form eines Software-Dongles prüft mit einem integrierten Fingerprint-Sensor die Zugangsberechtigung zu geschützten Windows-2000-Anwendungen und PKI-Diensten über einen USB-Port am PC (siehe Abbildung).
(Bild: Quelle: DIN)
‘Es passiert nichts außerhalb des Tokens’, wie Hüsch betont. Das Kompaktgerät ist eine Gemeinschaftsentwicklung mit dem Chipkartenhersteller Giesecke & Devrient und kaum größer als ein Schlüsselanhänger. Der ‘SuperToken’ hat zwar noch nicht den Formfaktor einer Chipkarte, ist aber schon der Prototyp eines vollbiometrischen Device.
Trennung der Sphären
Der Charme solcher Devices liegt in der vollständigen Trennung der Persönlichkeitssphäre von der Betreibersphäre. Für den Betreiber hat dies den Vorteil einer wesentlichen Vereinfachung seiner Schutzsysteme, weil bei ihm die Implementierung und Pflege biometrischer Hard- und Software-Schnittstellen völlig entfällt. Benötigt würden lediglich Endgeräte, die über ein standardisiertes Verify-Kommando die Authentifizierung mit der Karte abwickeln.
Und für den Endnutzer entfällt die Sorge, dass die beim On-Card-Matching noch in Endgeräten des Betreibers erfassten Prüfmuster als Rohdaten oder in Gestalt von Merkmalsdatensätzen unbemerkt abgespeichert werden und später für andere Zwecke Verwendung finden - ähnlich wie ungelöschte Bänder der Videoüberwachung oftmals als Fahndungsmaterial dienen.
Erfahrungsgemäß sind die organisatorischen und rechtlichen Schutzbarrieren umso niedriger, je leichter die Zweckentfremdung technisch zu bewerkstelligen ist. Wer im Eifer der Strafverfolgung als Terrorist mit Kombattanten-Status verdächtigt oder verwechselt wird, findet sich dann womöglich rechtlos auf Guantanamo wieder.
Vollbiometrische Devices spielen im Bemühen um internationale Normen bislang allerdings keine Rolle; selbst die Verknüpfung von SmartCards mit der Biometrie hat bereits einen schweren Stand. ‘Der Datenschutz ist sicher ein Punkt, der für das On-Card-Matching spricht - ich sehe nur nicht die Bestellungen, die den Aufwand rechtfertigen würden’, schätzt Martin Werner von ZN Vision das Interesse der Marktteilnehmer ein.
Und der US-amerikanischen Konkurrenz in Sachen Gesichtserkennung, die in der ISO/IEC-Standardisierung momentan aufs Tempo drückt, ‘geht es meistens nicht um Verifikation, sondern um Identifikation, da spielt die SmartCard ohnehin keine Rolle’. Bei der Identifikation - typischerweise zu Fahndungszwecken - wird das aktuell erhobene Merkmal mit allen in einer Datenbank gespeicherten Referenzmustern verglichen (1:n-Matching); zur Verifikation, ob ein Ausweisinhaber tatsächlich der ist, für den er sich ausgibt, reicht jedoch das 1:1-Matching des aktuellen Scans mit dem Template auf der SmartCard.
‘Die Amerikaner wollen gigantische Datenbanken etablieren’, befürchtet auch Bruno Struif. ‘Wenn man da gegensteuern möchte, muss man die SmartCard-Technologie und das On-Card-Matching pushen - ob das politisch durchsetzbar ist, ist ein ganz anderes Thema’.
Transatlantische Gegensätze
Die ‘Ad-hoc-Gruppe Biometrie’ (NI-AHGB) im Normenausschuss Informationstechnik des DIN steht unterdessen kurz vor der Fertigstellung eines Entwurfs der DIN V66400, der Parameter und Kodierungsformate der Minutien von Fingerabdrücken für das On-Card-Matching beschreibt. Die ‘Vornorm’ wurde von Vertretern der Firmen Dermalog, G&D, Ikendi, Philips, Siemens sowie T-Systems konzipiert und gleich in Englisch formuliert. ‘Wir wollten keinen nationalen Standard schaffen’, erklärt Struif. Den ISO/IEC-Normungsgremien liegen bereits drei US-amerikanische Vorschläge vor, doch darin findet sich, so Struif, ‘kein Wort von On-Card-Matching - deshalb ist es wichtig, dass wir den DIN-Vorschlag dort einbringen’.
Im Joint Technical Committee der ISO/IEC gibt es jedoch momentan ein Gerangel, wer im Einzelnen wofür zuständig ist, berichtete Michael Hegenbarth von der Infineon-Tochter Guardeonics auf dem CAST-Forum. Innerhalb des Subkomitees SC 17 (Identifikationskarten) hat die Arbeitsgruppe WG 11 das Mandat für die ‘Application of biometrics to cards and personal identification’. Sie wird von Hegenbarth geleitet; Nikolaus Kovacs vom DIN ist Sekretär. Daneben gibt es überlappende Zuständigkeiten insbesondere des SC 27 (IT-Sicherheitsverfahren) und des SC 31 (Identifikations- und Datenerfassungsverfahren).
Doch richtige ‘Kompetenzkonflikte’, so Hegenbarth, entstanden erst, als die US-Vertreter in der JTC1 Anfang des Jahres die Einrichtung eines eigenen Subkomitees SC 37 mit dem Arbeitsauftrag ‘Generic Biometrics’ vorschlugen und durchsetzen konnten. Nun ist zu befürchten, dass künftig dort die entscheidenden Akzente gesetzt und die SmartCard-Verfechter an den Rand gedrängt werden (siehe Abbildung).
Dabei ist es mitnichten so, dass die Interessen in den USA einheitlich wären oder der Datenschutz dort keine Rolle spielte. Es ist möglicherweise nur eine Frage, mit wem man sich verbündet. ‘Die Vorsicht gebietet, dass Datenschutzaspekte beim Entwurf von Identifikations- und Sicherheitssystemen im Vordergrund stehen’, heißt es in einem White Paper zu ‘Smart Cards and Biometrics’ der in New Jersey ansässigen Smart Card Alliance [3]. Der Branchenverband, dem führende Banken, Computerhersteller und Krankenversicherer angehören, propagiert die intelligenten Plastikkarten als ‘besten Hüter der persönlichen Daten des Karteninhabers’.
Sinnfrage
Standards sind Mittler zwischen Hardware-Herstellern, Systemintegratoren und Betreibern. Rein technisch betrachtet, sollen sie das Zusammenspiel verschiedener biometrischer Komponenten erlauben und deren Integration in neue oder vorhandene Anwendungen erleichtern. Indem sie den Stand der Technik transparent beschreiben, schaffen sie für alle Beteiligten Investitionssicherheit.
Dort aber, wo die Normung über die Festlegung der biometrischen Schnittstellen in die Persönlichkeitssphäre der Endnutzer eingreift, wird sie zum Politikum. Dass dabei keine Datenschützer mit am Tisch sitzen, bleibt ein Versäumnis, das sich für die Hersteller als kontraproduktiv erweisen könnte - dann nämlich, wenn ihre Sicherheitsarchitekturen keine Akzeptanz finden und sie diese, womöglich mit der Unterstützung rechtsgerichteter Politiker, Bürgern und Konsumenten aufzwingen wollen. (pmz)
Literatur
[1] www.commoncriteria.org, www.bsi.bund.de/cc
[2] www.bsi.bund.de/cc/pplist/pplist.htm
[3] Smart Card Alliance: Smart Cards and Biometrics, White Paper (May 2002) www.smartcardalliance.org
| Standards und Entwürfe | |
| Standard/Entwurf | Gegenstand |
| ISO/IEC FCD 7816-11 | Personal verification through biometric methods |
| NISTIR 6529 (CBEFF) | Common Biometric Exchange Format Framework Datenelemente und Rahmenformatierung für biometrische Erfassungs- und Prüfsysteme www.nist.gov/NISTIR-6529-CBEFF bzw. ~/cbeff [CBEFF wird erweitert von der NIST/Biometric Consortium Biometric Interoperability, Performance and Assurance Working Group (www.nist.gov/bcwg )] |
| XCBF | XML Common Biometric Format: XML-Schema zum Austausch biometrischer Daten über das Internet www.oasis-open.org/committees/xcbf/ |
| ANSI B10.8 | Finger minutiae extraction and format standard for one-to-one matching |
| ANSI/NIST ITL 1-2000 | Data format for the interchange of fingerprint, facial, and scar mark & tattoo (SMT) |
| ESIGN-K | EU-Interoperabilitätsstandard für digitale Signaturkarten (PIN-Verfahren und biometrische Benutzerauthentisierung) Entwurf: www.ni.din.de/sixcms/detail.php3?id=389 |
| DIN V64400 | Finger minutiae encoding formats and parameters for on-card-matching |
| BDPP | Biometric Device Protection Profile (UK) www.cesg.gov.uk/technology/biometrics |
| FBPP | Federal Biometric Protection Profile (US-DoD) http://niap.nist.gov/cc-scheme/PP_BSPP-MR_V0.02.html |
| BioAPI(ANSI/INCITS 358-2002) | Consortium zu Standardisierung der Kommunikationsschnittstelle zwischen Anwendungen und biometrischen Geräten www.bioapi.com |
| HA-API | Human Authentication Application Program Interface: Vom US-Verteidigungsministerium initiiertes Projekt, das nach der Erarbeitung der Version 2.0 im Jahre 1998 mit dem BioAPI-Consortium fusionierte |
| BAPI | Biometric API von I/O Software: Proprietäre Biometrieschnittstelle, die von Microsoft propagiert wird, nachdem das Unternehmen aus dem BioAPI-Consortium ausscherte |
(ha)
