Florian Dotzler DIENSTORIENTIERTE IT-SYSTEME FÜR HOCHFLEXIBLE GESCHÄFTSPROZESSE. Herausgeber:

Transkript

1 DIENSTORIENTIERTE IT-SYSTEME FÜR HOCHFLEXIBLE GESCHÄFTSPROZESSE BAMBERG ERLANGEN-NÜRNBERG REGENSBURG Florian Dotzler Eignung biometrischer Authentifizierungsverfahren zur Lösung der Sicherheitsproblematik bei unternehmensübergreifenden hochflexiblen Geschäftsprozessen -Eine datenschutzrechtliche Analyse- Herausgeber: Prof. Dr. Dieter Bartmann Prof. Dr. Freimut Bodendorf Prof. Dr. Otto K. Ferstl Prof. Dr. Elmar J. Sinz forflex ist Mitglied in

2 Dienstorientierte IT-Systeme für hochflexible Geschäftsprozesse Universität Bamberg Universität Regensburg Universität Erlangen-Nürnberg Florian Dotzler Eignung biometrischer Authentifizierungsverfahren zur Lösung der Sicherheitsproblematik bei unternehmensübergreifenden hochflexiblen Geschäftsprozessen -Eine datenschutzrechtliche Analyse-

3 Biometrische Authentifizierung und datenschutzrechtliche Aspekte i forflex-bericht-nr.: forflex Bayerischer Forschungsverbund forflex - Dienstorientierte IT-Systeme für hochflexible Geschäftsprozesse Bamberg, Erlangen-Nürnberg, Regensburg 2011 Alle Rechte vorbehalten. Insbesondere ist die Überführung in maschinenlesbare Form sowie das Speichern in Informationssystemen, auch auszugsweise, nur mit schriftlicher Einwilligung von forflex gestattet.

4 Biometrische Authentifizierung und datenschutzrechtliche Aspekte ii Inhaltsverzeichnis 1 Notwendigkeit einer datenschutzrechtlich motivierten Untersuchung biometrischer Authentifizierungslösungen Datenschutzrechtliche Anforderungen an biometrische Lösungen Anforderungen an das biometrische Merkmal Ausspähbarkeit des Merkmals durch Angreifer Willentliche Beeinflussbarkeit des Tippverhaltens durch den Anwender Zeitliche Variabilität der Merkmalsausprägungen Informationsgehalt des biometrischen Merkmals Anforderungen an das biometrische System Erhebung und Verarbeitung der biometrischen Daten müssen zweckgebunden erfolgen Umgang mit sensiblen Daten im biometrischen System Nachweis der Systemsicherheit Transparenz gegenüber dem Anwender Evaluation tippverhaltensbasierter Authentifizierungslösungen Bewertung des biometrischen Merkmals Tippverhalten Ausspähbarkeit des Tippverhaltens durch Angreifer Willentliche Beeinflussbarkeit des Tippverhaltens durch den Anwender Zeitliche Variabilität der Merkmalsausprägungen Informationsgehalt des Tippverhaltens Vergleich mit anderen biometrischen Merkmalen Bewertung eines textgebundenen Systems zur Authentifizierung Zweckgebundene Erhebung und Verarbeitung der Daten Verarbeitung sensibler Daten durch textgebundene Authentifizierungslösungen Sicherheit von textgebundenen Authentifizierungslösungen Transparenz textgebundener Authentifizierungslösungen gegenüber dem Anwender Bewertung eines textungebundenen Systems zu Authentifizierung Zweckgebundene Erhebung und Verarbeitung der Daten Verarbeitung sensibler Daten durch textungebundene Authentifizierungslösungen Sicherheit von textungebundenen Authentifizierungslösungen... 10

5 Biometrische Authentifizierung und datenschutzrechtliche Aspekte iii Transparenz textgebundener Authentifizierungslösungen gegenüber dem Anwender Diskussion der Ergebnisse und Ausblick Literatur... 12

6 Biometrische Authentifizierung und datenschutzrechtliche Aspekte Seite 1 1 Notwendigkeit einer datenschutzrechtlich motivierten Untersuchung biometrischer Authentifizierungslösungen Entscheidungsträger eines Unternehmens sind vom Gesetzgeber gezwungen (z. B. 9 Bundesdatenschutzgesetz, 25a Kreditwesengesetz) dafür zu sorgen, dass die Informationssicherheit in allen IT-gestützten Geschäftsprozessen, also auch in unternehmensübergreifenden hgps, nach dem Stand der Technik gewährleistet ist. Die Passwortnutzer nehmen es meist aus Bequemlichkeitsgründen nicht so genau mit der Geheimhaltung des Passworts. Untersuchungen sprechen davon, dass in Unternehmen etwa ein Viertel aller Passwörter in der ganzen Arbeitsgruppe bzw. Abteilung kreisen 1. Abhilfe schaffen Smartcards, RSA-Token oder biometrische Authentifizierungslösungen. Für einen breiten Einsatz im Unternehmen sind diese Verfahren wegen der bisher hohen Kosten nicht immer geeignet. Bei Biometrien kommt erschwerend hinzu, dass seitens der Benutzer gewisse Ressentiments bestehen. Zum Teil sind diese vornehmlich datenschutzrechtlich begründeten Vorurteile auch berechtigt. So sind vor allem in den Daten bildgebender Biometrien oftmals sensible Informationen enthalten, die beispielsweise Rückschlüsse auf die Gesundheit des Trägers zulassen können. Die vom Benutzer gefühlte Gefahr eines Datenmissbrauches ist bei Biometrien nicht von der Hand zu weisen. Dem Tippverhalten gegenüber bestehen aber nahezu keine Ressentiments. Dies ergab eine groß angelegte Befragung bei der HVB Direkt GmbH 2. Die Mehrzahl der Benutzer stand dabei der Tippverhaltenserkennung aufgeschlossen gegenüber. Dies liegt darin begründet, dass der Gebrauch der Tastatur alltäglich ist. Neben dieser subjektiven Einschätzung bleibt die Frage zu klären, wie sich das Tippverhalten aus einer objektiven datenschutzrechtlichen Sicht darstellt. Vor allem im Kontext hochflexibler Geschäftsprozesse, in dem es darum geht, das Sicherheitsniveau bei Bedarf durch einen zweiten, evtl. biometrischen Faktor zu erhöhen, gilt es diese Frage genauer zu untersuchen. So müssen die Schnittstellen zwischen den beteiligten Unternehmen dieser firmenübergreifenden Zusammenarbeit gesondert abgesichert werden. Vor allem hier herrscht nämlich eine besondere Kompromittierungsgefahr durch mögliche Angreifer, der es mit starker 2-Faktor- Authentifizierung zu begegnen gilt. Im Rahmen dieser Arbeit werden zunächst datenschutzrechtlich motivierte Bewertungskriterien abgeleitet, mit deren Hilfe einerseits biometrische Merkmale und andererseits biometrische Systeme evaluiert werden können. Auf Basis dieser Wertungskriterien erfolgt dann eine 1 Dies ergab eine McAfee-Umfrage unter 3500 Personen in Großbritannien, Frankreich, Deutschland, Italien, Spanien, Niederlanden im Jahre Dies ergab ein interner Feldtest der ibi research an der Universität Regensburg GmbH im Jahre 2004 mit knapp 600 Teilnehmern.

7 Biometrische Authentifizierung und datenschutzrechtliche Aspekte Seite 2 Einstufung des biometrischen Merkmals Tippverhalten. Diese Untersuchung bildet die Ausgangsbasis für eine Gegenüberstellung mit weiteren, gängigen biometrischen Merkmalen, wie z. B. dem Fingerabdruck oder dem Irismuster. Anschließend werden sowohl textgebundene also auch textungebundene Systeme zur Tippverhaltenserkennung genauer hinsichtlich ihrer datenschutzrechtlichen Klassifizierbarkeit analysiert. 2 Datenschutzrechtliche Anforderungen an biometrische Lösungen Aus datenschutzrechtlichen Vorgaben können sowohl Anforderungen an ein biometrisches Merkmal als auch Anforderungen an das Verfahrens- und Systemdesign abgeleitet werden. Dotzler leitet hier in seiner Arbeit ein umfassendes Bewertungsschema ab, nachfolgend wird nur auf die zentralen Wertungskriterien eingegangen, auf die Ableitung wird verzichtet [Dotzler 2010]. 2.1 Anforderungen an das biometrische Merkmal Zunächst gilt es Anforderungen, welche an das Merkmal zu stellen sind, genauer zu spezifizieren Ausspähbarkeit des Merkmals durch Angreifer Die Ausspähbarkeit des biometrischen Merkmals ist im Rahmen einer datenschutzrechtlichen Bewertung zu berücksichtigen [Bromba 2009; TeleTrusT 2006, S. 25]. Je nachdem, ob ein biometrisches Merkmal offen liegt, d. h. ohne ausdrückliche Initiative, also Beteiligung des Merkmalsträgers am Erfassungsprozess unbemerkt erhoben werden kann oder verdeckt auftritt, kann dessen Ausspähbarkeit unterschiedlich gewertet werden [Graevenitz 2006, S. 22; Krause 2005, S. 101; TeleTrusT 2006, S. 24 f.]. Passive 3 biometrische Merkmale sind meistens offen, leicht verdeckt oder höchstens verdeckt und somit leichter unbemerkt vom Nutzer erfassbar [Petermann/Sauter 2002, S. 40]. Aktive Merkmale sind demgegenüber allgemein verdeckt bis stark verdeckt und somit schwieriger unbemerkt erfassbar [Petermann/Sauter 2002, S. 40]. Biometrische Merkmale, die eines hohen Grades an Nutzerbeteiligung bei der Erfassung bedürfen, sind aus datenschutzrechtlicher Sicht positiver zu bewerten. 3 Passive biometrische Merkmale sind vornehmlich solche, die sich im Zeitablauf konstant halten und kaum verändern. Hierzu zählen beispielsweise Merkmale der Handvenen, des Fingerabdrucks, des Retina- und Irismusters, der Handgeometrie, des Gesichtes, der DNA oder der Ohrmuschel. Aktive Merkmale basieren demgegenüber auf dem Handeln und somit auf konditionierten Merkmalen, die sich schneller über die Zeit hin verändern. Hierzu zählen beispielsweise die Stimme oder das menschliche Tippverhalten auf einer Computertastatur. [Albrecht 2003, S. 35; BSI 2010]

8 Biometrische Authentifizierung und datenschutzrechtliche Aspekte Seite Willentliche Beeinflussbarkeit des Tippverhaltens durch den Anwender Auch die willentliche Beeinflussbarkeit des Merkmals bzw. der Merkmalsausprägungen durch den Träger selbst gilt es im Zusammenhang mit einer datenschutzrechtlichen Untersuchung der Biometrie zu betrachten. Vornehmlich verhaltensbasierte biometrische Merkmale ermöglichen es dem Träger, die Preisgabe seiner Merkmalsausprägung willentlich zu beeinflussen. Diese Eigenschaft ist für den Datenschutz förderlich, da der Merkmalsträger bis zu einem gewissen Maß auf die Abgabe, die Verarbeitung und die Speicherung seiner personenbezogenen Daten einwirken kann. [Bäumler/Gundermann/Probst 2001, S. 9; Graevenitz 2006, S. 37, 44; Nanavati/Thieme/Nanavati 2002, S. 254; TeleTrusT 2006, S. 7] Zeitliche Variabilität der Merkmalsausprägungen Alle biometrischen Merkmale weisen eine unterschiedlich stark ausgeprägte zeitliche Variabilität auf [Albrecht 2003, S. 35; Eckert 2008, S. 486; Graevenitz 2006, S. 22, 41; Kindt 2007, S. 168]. Sie können sich beispielsweise durch Alterung oder Abnutzung verändern [Albrecht 2003, S. 36; Graevenitz 2006, S. 41; Kindt 2007, S. 168; Rukhin 2004, S. 30; TeleTrusT 2006, S. 6]. Passive biometrische Merkmale haben im Vergleich zu aktiven biometrischen Merkmalen eine geringere zeitliche Variabilität [Amberg/Fischer/Rößler 2003, S. 51; Graevenitz 2006, S. 58 ff.; Petermann/Sauter 2002, S. 39 f.]. Je schwächer die zeitliche Variabilität eines Merkmals ist, umso länger ist somit auch die Bindungsdauer des Merkmalsträgers an die aus dem Merkmal gewonnenen biometrischen Daten. Aktive, sich stärker verändernde biometrische Merkmale werden also im schlimmsten Fall nicht dauerhaft kompromittiert, sondern können durch den zeitlich begrenzten Personenbezug der aus ihnen gewonnen Daten allenfalls temporär missbraucht werden [Petermann/Sauter 2002, S. 40]. Dieser Charakter biometrischer Daten ist somit als datenschutzfreundlich anzusehen Informationsgehalt des biometrischen Merkmals Der Informationsgehalt eines biometrischen Merkmals bezeichnet die Informationstiefe der biometrischen Daten. Je größer diese ist, umso größer ist die Gefahr, dass so über den definierten Verwendungszweck hinausgehende Informationen erhoben, gespeichert und evtl. sogar zweckfremd verwendet werden. Weiterhin besteht die Gefahr, dass diese Daten gemäß 3 Abs. 9 BDSG sensible Informationen enthalten und somit gesondert zu behandeln sind. Je weniger und je unkritischere Informationen also im biometrischen Merkmal enthalten sind, desto förderlicher ist dies für den Datenschutz. 2.2 Anforderungen an das biometrische System In einem zweiten Schritt sind nun die zentralen Anforderungen abzuleiten, welchen das Design eines biometrischen Systems zu Authentifizierung zu genügen hat. Hier wird ebenso auf die zentralen Anforderungen von Dotzler zurückgegriffen [Dotzler 2010].

9 Biometrische Authentifizierung und datenschutzrechtliche Aspekte Seite Erhebung und Verarbeitung der biometrischen Daten müssen zweckgebunden erfolgen Gemäß dem im Bundesdatenschutzgesetz manifestierten Grundsatz der Zweckbindung haben die Art der verwendeten Daten, der Umfang, die Art und Weise der Erhebung und die Spezifika ihrer Verarbeitung immer im Einklang mit dem vorab definierten Zweck zu stehen bzw. dieser bestehenden Zweckbindung zu entsprechen [Albrecht 2007, S. 172; Bäumler/ Gundermann/Probst 2001, S. 50 f.; Hornung 2008, S. 13, Petermann/Sauter 2002, S. 86, 92; TeleTrusT 2006, S. 35, 39]. Eine den definierten Zweck überschreitende Datenerhebung und vor allem eine zweckfremde Verwendung der biometrischen Daten sind durch entsprechende Vorkehrungen zu vermeiden oder auszuschließen [Albrecht 2007, S. 173; Hornung 2006, S. 14; TeleTrusT 2006, S. 35]. Die Erhebung und die Verarbeitung biometrischer Daten darf also, dem Zweckbindungsgrundsatz im Bundesdatenschutzgesetz folgend, nur gemäß einem vorab definierten Verwendungszweck erfolgen Umgang mit sensiblen Daten im biometrischen System Die in 3 Abs. 9 BDSG definierten, besonders schützenswerten sensiblen personenbezogenen Daten dürfen nur in Ausnahmefällen erhoben, verarbeitet und genutzt werden und stehen somit unter einem erhöhten gesetzlichen Schutz [Albrecht 2003, S. 171 ff.; Bäumler/ Gundermann/Probst 2001, S. 19 f., 49; Hornung/Steidle 2005, S. 206; Petermann/Sauter 2002, S. 88]. Falls die vom biometrischen System erhobenen Daten notwendigerweise nicht eliminierbare, sensible Informationen im Sinne des 3 Abs. 9 BDSG aufweisen, ist mit diesen dann bei Erfassung, Verarbeitung und Speicherung auch gesondert umzugehen Nachweis der Systemsicherheit Weiterhin muss das biometrische System sowohl zuverlässig als auch technisch sicher sein, um ihm eine datenschutzrechtliche Unbedenklichkeit bescheinigen zu können. Es hat hinreichend geringe Fehlerraten aufzuweisen sowie eine zuverlässige und robuste Performance zu erbringen [Bäumler/Gundermann/Probst 2001, S. 29 ff., Hornung/Steidle 2005, S. 205; Petermann/Sauter 2002, S. 86]. Dies muss realisiert werden, um ein angemessenes Sicherheitsniveau gewährleisten zu können, das den Schutz personenbezogener Daten garantiert und somit dem Datenschutz dienlich ist Transparenz gegenüber dem Anwender Der Grundsatz der Transparenz, der Direkterhebung und der offenen Erhebung fordert eine Erfassung biometrischer Daten unter Mitwirkung des Betroffenen [Hornung 2008, S. 13; Hornung/Steidle 2005, S. 206; Petermann/Sauter 2002, S. 92]. So sind biometrische Systeme, die einen hohen Grad an Mitwirkung bei der Erfassung der Rohdaten verlangen, solchen vorzuziehen, welche den Merkmalsträger weniger beteiligen oder ihn gar unbemerkt erfassen können [Büllingen/Hillebrand 2000, S. 339 ff.; Hornung/Steidle 2005, S. 206; Nanavati/ Thieme/Nanavati 2002, S. 247; Petermann/Sauter 2002, S. 92]. Primär beeinflusst die Art des

10 Biometrische Authentifizierung und datenschutzrechtliche Aspekte Seite 5 Sensors maßgeblich den Grad an notwendiger Mitwirkung durch den Nutzer [Meuth 2006, S. 31]. Das biometrische System muss so gestaltet und eingesetzt werden, dass der Nutzer sowohl bei der Referenzdatenerfassung als auch bei den späteren Authentifizierungen willentlich und wissentlich mitwirkt. 3 Evaluation tippverhaltensbasierter Authentifizierungslösungen Im Folgenden gilt es zunächst das biometrische Merkmal Tippverhalten aus datenschutzrechtlicher Sicht zu analysieren, bevor es weiteren biometrischen Merkmalen gegenübergestellt wird. Im Anschluss daran erfolgt eine Bewertung Tippverhalten basierender Authentifizierungsverfahren. Hier werden textgebundene Verfahren den textungebundenen Verfahren zur Erkennung gegenübergestellt. 3.1 Bewertung des biometrischen Merkmals Tippverhalten Die Bewertung des Merkmals Tippverhalten gemäß den vorab definierten Kriterien bildet die Ausgangsbasis für die weitere Untersuchung Ausspähbarkeit des Tippverhaltens durch Angreifer Anders als die bildhaften biometrischen Merkmale (Fingerprint, Gesicht, ) liegt das Tippverhalten nicht offen zutage. Es zu stehlen oder auszuspähen bedarf eines gewissen technischen Aufwandes. Das reine Ausspähen der Messdaten liefert keine bzw. sehr wenig verwertbare Informationen für einen Angreifer, der Informationen über die Struktur des individuellen Tippverhaltens erlangen will. Der Benutzer kann sich vor derlei Angriffen wesentlich besser schützen als vor dem Diebstahl bildhafter biometrischer Merkmale. Nichtsdestotrotz eignet sich das Tippverhalten sehr gut dazu, biometrische Systeme zu realisieren, mit deren Hilfe es möglich ist, verdeckt Mitarbeiter zu beobachten und zu überwachen, wenn sich das Erkennungsverfahren und darauf aufbauend die Lösung derart gestaltet, dass der Merkmalsträger unabhängig vom getippten Text zu erkennen ist [Bakdi 2007, S. 17; Henderson et al. 1998, S. 143 ff.]. Dies ist aus datenschutzrechtlicher Sicht gemäß 4 Abs. 2 BDSG unzulässig [Bakdi 2007, S. 17; TeleTrusT 2006, S. 36; TeleTrusT 2008, S. 4, 14]. Diese Verwendungsmöglichkeit oder unter Umständen auch Missbrauchsmöglichkeit des Tippverhaltens in biometrischen Systemen hat primär jedoch nichts mit dem grundsätzlich schwer verdeckten Charakter des Merkmals an sich zu tun. Vielmehr das Verfahrens- oder das Systemdesign als die rudimentären Merkmalseigenschaften verursachen also hier diese Ausspähbarkeit. Es obliegt also dem Systementwickler bzw. dem Systemanwender, diesem Problem durch geeignete technische oder organisatorische Maßnahmen auf Verfahrens- oder Systemebene zu begegnen [Albrecht 2003, S. 169 ff.; Bakdi 2007, S. 17]. Deshalb ist das Merkmal Tippverhalten bezüglich Ausspähbarkeit im Vergleich als datenschutzfreundlich zu bewerten.

11 Biometrische Authentifizierung und datenschutzrechtliche Aspekte Seite Willentliche Beeinflussbarkeit des Tippverhaltens durch den Anwender Jeder Benutzer kann sein Tippverhalten beliebig ändern bzw. verstellen, indem er bewusst anders tippt. Der Merkmalsträger hat bis zu einem gewissen Maß die Möglichkeit, die Abgabe und die Verarbeitung seiner biometrischen Daten zu beeinflussen [Breu 2002, S. 37]. Somit kann er sogar Authentifizierungen absichtlich fehlschlagen lassen. Diese Beeinflussbarkeit der Merkmalsabgabe ist als datenschutzfreundlich anzusehen Zeitliche Variabilität der Merkmalsausprägungen Das Tippverhalten ist kein vornehmlich physiologisch geprägtes Merkmal [Breu 2002, S. 36 f.; Vacca 2007, S. 181]. Es ist vielmehr über die Art und Weise konditioniert, in welcher der Benutzer das Tippen lernt. Es verändert sich deshalb über die Zeit hinweg, weist also eine hohe zeitliche Variabilität auf [Bakdi 2007, S. 23; Bergando/Gunetti/Picardi 2002,S. 367 ff.; Bromba 2009; Checco 2003, S. 3; Nanavati/Thieme/Nanavati 2002, S. 258]. Falls ein Nutzer längere Zeit seine im System gespeicherten biometrischen Daten nicht aktualisiert, so altern diese. Deren Personenbezug nimmt daher mit der Zeit tendenziell ab [Breu 2002, S. 36 f.; Vacca 2007, S. 184]. Datenschutzrechtlich ist diese Tatsache positiv zu bewerten, da der Nutzer den Personenbezug zu seinen, im System gespeicherten Daten auf Wunsch auch erlöschen lassen kann Informationsgehalt des Tippverhaltens So handelt es sich beim Tippverhalten schließlich um spezielle Tastaturereignisse, also Tastenereignisse, Halte- und Übergangsdauern mit hochkomplexen Abhängigkeiten und nicht um ein direktes Abbild eines stark physiologisch geprägten Merkmals [Bakdi 2007, S. 49 ff.]. Die so erfassten Daten können ausschließlich zur Authentifizierung verwendet werden und enthalten keine weiteren Zusatzinformationen. Sie entsprechen folglich in hohem Maße dem datenschutzrechtlichen Grundsatz der Zweckbindung, da keine unnötigen, den definierten Zweck überschreitenden Informationen erhoben werden. Des Weiteren sind die erhobenen Daten als unkritisch einzustufen, da es sich nicht um gemäß 3 Abs. 9 BDSG sensible Daten handelt, die Angaben über die Rasse und ethnische Herkunft, die politische Meinung, die religiöse o- der philosophische Überzeugung, die Gewerkschaftszugehörigkeit, die Gesundheit und das Sexualleben des Merkmalsträgers enthalten. Der Informationsgehalt des Tippverhaltens ist somit als datenschutzfreundlich anzusehen. Kritisch dagegen ist der Informationsgehalt anzusehen, wenn alle Tippereignisse eines Nutzers aufgezeichnet werden, hier können im getippten Text unter Umständen nämlich sensible Informationen enthalten sein. Dies bedingt aber nicht das Merkmal Tippverhalten an sich.

12 Biometrische Authentifizierung und datenschutzrechtliche Aspekte Seite Vergleich mit anderen biometrischen Merkmalen Nachfolgende Tabelle ermöglicht einen Vergleich mit anderen biometrischen Merkmalen hinsichtlich der vorab definierten Anforderungen. Es zeigt sich dabei, dass vor allem bildgebende biometrische Merkmale aus datenschutzrechtlicher Sicht mit Defiziten behaftet sind. Diese Defizite sind vor allem auf den hohen Informationsgehalt und die geringe zeitliche Variabilität zurückzuführen. Aber auch die Ausspähbarkeit und die willentliche Beeinflussbarkeit erweisen sich bei bildgebenden Merkmalen häufig als problematisch. Tabelle 1: Vergleichende Bewertung biometrischer Merkmale 4 Die in bildgebenden Merkmalen enthaltenen Informationen lassen oftmals direkte Rückschlüsse auf Rasse, Geschlecht oder auch bestimmte Krankheiten zu bzw. können zumindest Indikatoren dafür sein. Die Tippverhaltensdaten hingegen liefern nur Hinweise darauf, ob ein geübter oder ein ungeübter Nutzer tippt. Sie lassen aber keine Rückschlüsse auf mögliche Ursachen für die Ungeübtheit zu, was als vorteilhaft anzusehen ist. Bildgebende biometrische Merkmale zeichnen sich zudem durch eine sehr hohe Permanenz, teilweise sogar eine lebenslange Unveränderbarkeit aus. Der Personenbezug zwischen den biometrischen Daten und dem Merkmalsträger wird dadurch noch verstärkt, was aus Sicht des Datenschutzes negativ ist. Das verdeckte Merkmal Irismuster ist in der Regel nicht ohne Beteiligung des Nutzers ausspähbar. Demgegenüber eignen sich offene oder nur leicht verdeckte biometrische Merkmale wie das Gesicht und der Fingerabdruck sehr gut zur verdeckten Erhebung ohne die Beteiligung des Individuums und damit auch zum Merkmalsdiebstahl. 4 + bedeutet: Das Merkmal erfüllt die datenschutzrechtlich motivierten Anforderungen sehr gut, ist also datenschutzrechtlich unproblematisch. 0 bedeutet: Das Merkmal erfüllt die datenschutzrechtlich motivierten Anforderungen nur teilweise, was aber nicht problematisch ist. - bedeutet: Das Merkmal erfüllt die datenschutzrechtlich motivierten Anforderungen nur unzureichend, was als problematisch einzustufen ist.

13 Biometrische Authentifizierung und datenschutzrechtliche Aspekte Seite 8 Die willentliche Beeinflussbarkeit bildgebender Merkmale ist normalerweise nicht durch den Träger beeinflussbar. Einzig das Gesicht kann durch Bart- oder Haarwuchs leicht verändert werden. Verhaltensbasierte Merkmale können demgegenüber bis zu einem gewissen Maße willentlich beeinflusst werden, was aus Sicht des Datenschutzes positiv ist. 3.3 Bewertung eines textgebundenen Systems zur Authentifizierung Im weiteren Verlauf soll eine kurze Betrachtung textgebundener Authentifizierungslösungen erfolgen Zweckgebundene Erhebung und Verarbeitung der Daten Textgebundene Authentifizierungslösungen erheben und verarbeiten Tippverhaltensdaten ausschließlich dazu, um eine Authentifizierung von Systemnutzern zu ermöglichen. Der datenschutzfreundliche Charakter des konditionierten biometrischen Merkmals Tippverhalten ist dieser zweckgebundenen Anwendung zuträglich Verarbeitung sensibler Daten durch textgebundene Authentifizierungslösungen Das Tippverhalten enthält keine sensiblen Daten im Sinne des 3 Abs. 9 BDSG. Einzig Veränderungen im Tippverhalten können vom System festgestellt werden. Jedoch bleibt deren Ursache verborgen. Es ist keine Unterscheidung zwischen ungeübtem Tippverhalten und zum Beispiel einer krankheitsbedingten Prägung des Tippens möglich. Dies führt dazu, dass textgebundene Lösungen keiner speziellen Rechtfertigung für die Verarbeitung sensiblen Daten und somit spezieller Schutzmaßnahmen bedürfen Sicherheit von textgebundenen Authentifizierungslösungen Textgebunde Erkennungsverfahren erreichen ein Sicherheitsniveau, welches für den praktischen Einsatz geeignet scheint, wie das Praxisbeispiel Psylock zeigt. Sicherheit wird hier durch das Verfahren und durch entsprechende Sicherungsmaßnahmen in der Systemarchitektur gewährleistet Die Erkennungsleistung des Verfahrens ist sehr hoch. Die Lösung erreicht ein vergleichbar hohes Sicherheitsniveau wie beispielswese biometrische Systeme auf Grundlage des Fingerprints. Auch in der Systemarchitektur sind eine Reihe von Sicherheitsmaßnahmen umgesetzt, welche die Stabilität und die Sicherheit des Produktes und den Schutz der personenbezogenen Daten gewährleisten. Hier sind beispielsweise Mechanismen zu nennen, welche die Erkennung von Replay-Attacken ermöglichen. Die Verarbeitungslogik geschieht ausschließlich auf einem Server in einer geschützten Umgebung. Ein entsprechender Sicherheitsnachweis in Form einer Zertifizierung der Systemarchitektur nach Common Criteria EAL 2+ ist angestrebt.

14 Biometrische Authentifizierung und datenschutzrechtliche Aspekte Seite Transparenz textgebundener Authentifizierungslösungen gegenüber dem Anwender Bei einer Authentifizierung über textgebundene Authentifizierungslösungen wirkt der Anwender nicht nur wissentlich, sondern auch willentlich mit. Ihm wird nicht nur durch organisatorische Maßnahmen verdeutlicht, dass gerade sein Tippverhalten zum Zweck einer Authentifizierung erfasst wird, sondern er nimmt auch dadurch aktiv an diesem Prozess teil, dass er den fest vorgegebenen Satz tippt. Die Prozesse sind also vom System sehr transparent und mit einer hohen Nutzerbeteiligung gelöst. 3.4 Bewertung eines textungebundenen Systems zu Authentifizierung Abschließend werden textungebundene Authentifizierungslösungen auf der Grundlage des Tippverhaltens untersucht Zweckgebundene Erhebung und Verarbeitung der Daten Biometrische Systeme, die mit einem textungebundenen Mustererkennungsverfahren arbeiten, bergen das Potenzial, über den grundlegenden Einsatzzweck hinausgehend für die verdeckte Überwachung des Nutzers missbraucht zu werden. Sie können so umgesetzt und eingesetzt sein, dass sie die Erstellung von Verhaltens-, Bewegungs- und Überwachungsprofilen ermöglichen. Deshalb ist es von entscheidender Bedeutung, präzise den Zweck des Systemdesigns- und -einsatzes vorab zu definieren. Intrusion Detection Systeme verfolgen beispielsweise primär das Ziel der Feststellung, ob sich ein Angreifer unberechtigter Weise Zugang verschafft hat zu Systemen, zu Netzwerken oder auch zu Diensten. Dazu reicht es zu überprüfen, ob die derzeit getätigten Tastatureingaben zum angegebenen Referenzdatensatz authentisch sind. Dieser Prozess erfolgt logischerweise im Hintergrund. Eine Identifikation ist nicht unbedingt notwendig, kann aber ebenfalls vorgenommen werden, um zu ermitteln, wer der Angreifer ist, unter der Bedingung, dass er aus einer bekannten Nutzergruppe stammt. Eine weitere, den Zweck der Authentifizierung überschreitende Erhebung, Verarbeitung sowie Speicherung zusätzlicher personenbezogener Daten ist auszuschließen. Die Verfahrens- und die Systemarchitektur sind folglich so zu gestalten, dass sie eine zweckfremde Erhebung, Verarbeitung und Speicherung personenbezogener Daten unterbinden Verarbeitung sensibler Daten durch textungebundene Authentifizierungslösungen Tippverhaltensdaten sind grundsätzlich keine im Sinne des 3 Abs. 9 BDSG sensiblen personenbezogenen Daten. Hier gilt es jedoch genauer zu betrachten, welche Daten bzw. Informationen der Merkmalsträger bei der Erfassung seiner Merkmalsausprägungen zudem von sich preisgibt. Während in textgebunden Tippverhaltensdaten nie sensible personenbezogene Daten für den Merkmalsträger enthalten sind, können textungebundene Tippproben hingegen,

15 Biometrische Authentifizierung und datenschutzrechtliche Aspekte Seite 10 abhängig von der Art und Weise ihrer Erhebung, schon im Sinne des 3 Abs. 9 BDSG sensible personenbezogene Daten enthalten. Die zufällige Vorgabe des zu tippenden Textes durch das System schließt auch bei einer textunabhängigen Variante des Erkennungsverfahrens die Entstehung derartiger personenbezogener Daten aus. Eine Erfassung beliebiger Tippproben, vornehmlich durch eine im Hintergrund arbeitende, verdeckt und dauerhaft ablaufende Erfassung des Tippverhaltens kann, abhängig von den Inhalten, welche der Merkmalsträger tippt, dazu führen, dass sensible personenbezogene Daten über ihn erhoben werden. Einige Systeme, wie beispielsweise die Realisation einer Intrusion Detection Lösung, machen eine so gestaltete Erfassung unabdingbar. Dies ist kritisch zu sehen Sicherheit von textungebundenen Authentifizierungslösungen Es steht für diese Arbeit leider kein praxistaugliches Verfahren zur Verfügung, das im Rahmen einer detaillierten Analyse hinsichtlich seiner Leistungsfähigkeit genauer beurteilt werden kann. Praktisch gibt es derzeit keine Lösungen, welche für eine Untersuchung herangezogen werden könnten Transparenz textgebundener Authentifizierungslösungen gegenüber dem Anwender Textunabhängige Erkennungsverfahren ermöglichen, wie die Idee der Intrusion Detection zeigt, die Realisation von Systemen, welche dazu geeignet sind, den Nutzer zu überwachen. Aus datenschutzrechtlicher Sicht gilt es jedoch, die Erfassung der personenbezogenen biometrischen Daten und die damit vollzogene anschließende Authentifizierung dem Nutzer gegenüber transparent zu gestalten und mit seiner Beteiligung zu lösen. Einfache Authentifizierungssysteme, welche dem Nutzer einen zufällig generierten zu tippenden Text vorgeben, entsprechen diesem im Bundesdatenschutzgesetz manifestiertem Grundsatz der Transparenz, der Direkterhebung und der offenen Erhebung. Sie sind trotz der Verwendung eines textungebundenen Erkennungsverfahrens so gestaltbar, dass sie der Kooperation und der Beteiligung des Merkmalsträgers in einem hohen Maße bedürfen. Problematisch kann hingegen die Erfüllung dieses Grundsatzes für das Design und den Betrieb einer Intrusion Detection Lösung sein, welche im Hintergrund aufzeichnet.

16 Biometrische Authentifizierung und datenschutzrechtliche Aspekte Seite 11 4 Diskussion der Ergebnisse und Ausblick Der Benutzer steht biometrischen Authentifizierungsverfahren reserviert gegenüber. Dem Tippverhalten gegenüber bestehen aber nahezu keine Ressentiments. Aus den Vorschriften des Bundesdatenschutzgesetzes lass sich Anforderungen an biometrische Merkmale ableiten. Sie betreffen die Ausspähbarkeit, die willentliche Beeinflussbarkeit, die zeitliche Variabilität und den Informationsgehalt eines Merkmals. Das Tippverhalten erfüllt diese Anforderungen in hohem Maße. Tippverhaltensdaten enthalten keine kritischen Zusatzinformationen. Sie sind schlecht von Angreifern auszuspähen und können vom Systemnutzer willentlich beeinflusst werden. Das Tippverhalten ist somit für das Design eines biometrischen Authentifizierungssystems in hohem Maße geeignet. Andere biometrische Merkmale schneiden nicht so gut ab. Bildgebende biometrische Merkmale enthalten oftmals im Sinne des Bundesdatenschutzgesetzes sensible und somit besonders zu behandelnde Informationen, sind meist unveränderlich und können vom Nutzer nur sehr wenig bis gar nicht selbst beeinflusst werden. Das Bundesdatenschutzgesetz stellt Vorgaben an biometrische Software. Die Erhebung und die Verarbeitung der biometrischen Daten dürfen nur zweckgebunden erfolgen. Falls diese sensiblen Informationen enthalten, ist mit ihnen bei Erfassung, Verarbeitung und Speicherung auch gesondert umzugehen. Die Systemsicherheit muss nachgewiesen sein. Der Benutzer muss bei der Referenzdatenerfassung und bei der Authentifizierung willentlich mitwirken. Textgebunde Authentifizierungslösungen stehen im Einklang mit diesen Vorgaben. Sie erheben, verarbeiten und nutzen biometrische Daten ausschließlich zu Authentifizierungszwecken und reduzieren aktiv die Verwendung personenbezogener Daten. Dies ist für den Anwender transparent. An Textungebundene Verfahren sind weitaus höher Anforderungen zu stellen, da diese eine Reihe datenschutzrechtlicher Probleme mit sich bringen können.

17 Biometrische Authentifizierung und datenschutzrechtliche Aspekte Seite 12 5 Literatur [Albrecht 2003] Albrecht, Astrid: Biometrische Verfahren im Spannungsfeld von Authentizität im elektronischen Rechtsverkehr und Persönlichkeitsschutz. Frankfurt am Main [Albrecht 2007] Biometrie am Arbeitsplatz - Konkrete Ausgestaltung der Mitbestimmung. Orientierungshilfe des TeleTrusT e.v. für eine Betriebsvereinbarung beim Einsatz biometrischer Systeme. In: Datenschutz und Datensicherheit (DuD), 31 (2007) 3, S [Amberg/Fischer/Rößler 2003] Amberg, Michael; Fischer, Sonja; Rößler, Jessica: Biometrische Verfahren. Studie zum State of the Art. Erlangen-Nürnberg [Bäumler/Gundermann/Probst 2001] Bäumler, Helmut; Gundermann, Lukas; Probst, Thomas: Stand der nationalen und internationalen Diskussion zum Thema Datenschutz bei biometrischen Systemen. Kiel [Bakdi 2007] Bakdi, Idir: Benutzerauthentifizierung anhand des Tippverhaltens bei Verwendung fester Eingabetexte. Regensburg [Breu 2002] Breu, Christian: Evaluation des biometrischen Tipperkennungsverfahrens PSYLock im Kontext automatisierter Authentisierungsverfahren. Regensburg [Bromba 2009] Bromba, Manfred: Bioidentifikation. Biometrie. Datenschutz. Fingerprint. Fragen und Antworten. (Abruf: ). [BSI 2010] BSI: Grundsätzliche Funktionsweise biometrischer Verfahren. fuehrung.html, 2010 (Abruf ). [Büllingen/Hillebrand 2000] Büllingen, Franz; Hillebrand, Annette: Biometrie als Teil der Sicherheitsinfrastruktur. In: Datenschutz und Datensicherheit (DuD), 24 (2000) 6, S [Checco 2003] Checco, John, C.: Keystroke Dynamics And Corporate Security. In: Wall Street Technology Association. TICKER Magazine (WSTA), 8 (2003) 5, S. 1-4.

18 Biometrische Authentifizierung und datenschutzrechtliche Aspekte Seite 13 [Dotzler 2010] Dotzler, Florian: Datenschutzrechtliche Aspekte und der Einsatz biometrischer Systeme in Unternehmen: Eine exemplarische Betrachtung von Systemen auf der Grundlage des biometrischen Merkmals Tippverhalten. [Graevenitz 2006] Graevenitz, Gerik von: Erfolgskriterien und Absatzchancen biometrischer Identifikationsverfahren. Kassel [Henderson et al.1998] Henderson, Ron, D.; Mahar, Doug; Saliba, Anthony; Deane, Frank; Napier, Renée: Electronic monitoring systems: an examination of physiological activity and task performance within a simulated keystroke security and electronic performance monitoring system. In: International Journal of Human-Computer Studies, 48 (1998) 2, S [Hornung 2006] Hornung, Gerrit: Biometrische Verfahren. Sicherheits- und Effizienzgewinne versus Datenschutz. Vortrag auf der Tagung Hamburger ASJ Datenschutz auf dem Weg vom 20. ins 21. Jahrhundert. Vom Abwehrrecht zum Gewährleistungsauftrag des Staates?. Hamburg, 25. März [Hornung 2008] Hornung, Gerrit: Rechtsprechung zum Einsatz von Biometrie in Unternehmen. Veranstaltung Biometrie für Mitarbeiter des TeleTrusT Deutschland e. V.. Darmstadt, 16. September [Hornung/Steidle 2005] Hornung, Gerrit; Steidle, Roland: Biometrie am Arbeitsplatz - sichere Kontrollverfahren versus ausuferndes Kontrollpotential. In: Arbeit und Recht, 53 (2005) 6, S [Kindt 2007] Kindt, Els: Biometric applications and the data protection legislation. The legal review and the proportionality test. In: Datenschutz und Datensicherheit (DuD), 31 (2007) 3, S [Krause 2005] Krause, Rudolf: Bewertungskriterien für biometrische Identifikationssysteme im Vergleich zu bisherigen Identifikationsverfahren. Freiburg [McAfee 2007] McAfee: (Abruf am ) [Meuth 2006] Meuth, Lotte: Zulässigkeit von Identitätsfeststellungen mittels biometrischer Systeme durch öffentliche Stellen. Berlin 2006.

19 Biometrische Authentifizierung und datenschutzrechtliche Aspekte Seite 14 [Nanavati/Thieme/Nanavati 2002] Nanavati, Samir; Thieme, Michael; Nanavati, Ray: Biometrics: Identity Verification in a Networked World. A Wiley Tech Brief. Canada [Petermann/Sauter 2002] Petermann, Thomas; Sauter, Arnold: Biometrische Identifikationssysteme. Sachstandsbericht. TAB Arbeitsbericht Nr. 76. Berlin [Rukhin 2004] Rukhin, Andrew, L.: The Recognition Problem of Biometrics. In: Chance, 17 (2004) Berlin 2004, S [TeleTrusT 2006] TeleTrusT Deutschland e.v., Arbeitsgruppe 6: Biometrische Identifikationsverfahren: Bewertungskriterien zur Vergleichbarkeit biometrischer Verfahren. Kriterienkatalog. Erfurt [TeleTrusT 2008] TeleTrusT Deutschland e.v., Arbeitsgruppe Biometrie: White Paper zum Datenschutz in der Biometrie. Berlin [Vacca 2007] Vacca, John, R.: Biometric Technologies and Verification Systems. Burlington/Oxford 2007.

20 Prof. Dr. Dieter Bartmann Universität Regensburg Universitätstraße Regensburg Tel.: / Fax: / Prof. Dr. Freimut Bodendorf Universität Erlangen-Nürnberg Lange Gasse Nürnberg Tel.: / Fax: / Prof. Dr. Otto K. Ferstl Universität Bamberg Feldkirchenstraße Bamberg Tel.: / Fax: / Prof. Dr. Elmar J. Sinz Universität Bamberg Feldkirchenstraße Bamberg Tel.: / Fax: / Geschäftsführung forflex Dipl.-Wirtsch.Inf. Corinna Pütz Universität Bamberg Feldkirchenstraße Bamberg Tel.: / Fax: / Internet: