Fachhochschule München, Fachbereich Informatik Zusatzausbildung: Betrieblicher Datenschutz Seminar über aktuelle Fragen und Probleme des Datenschutzes Semesterarbeit Selbstschutz und Eigenschutz vorgelegt von Mischa Gwinner und Wolfgang Aigner Verfasser: Mischa Gwinner und Wolfgang Aigner Matrikelnummer: 09 74 49 98 0111 und 05 04 57 00 0144 Studiengruppe: Prüfer: 07 IF 9W und 07 IF 7T Prof. Dr. Köhler Seite 1 von 20
Inhaltsverzeichnis 1. Definitionen... 3 1.1. Definition von Selbstschutz und Eigenschutz... 3 1.2. Definition von Selbstdatenschutz und Eigendatenschutz... 3 2. Datenschutz am Computer... 5 2.1. Sichere Passwörter... 5 2.1.1. Allgemein... 5 2.1.2. Angriffsarten auf Passwörter... 5 2.1.3. Schwache Passwörter verhindern... 7 2.2. Emailverschlüsselung anhand von PGP... 8 2.2.1. Allgemein... 8 2.2.2. Die Geschichte von PGP... 10 2.2.3. Abwägungen für Selbstdatenschutz und Eigendatenschutz... 11 3. Biometrische Verfahren... 12 3.1. Einleitung... 12 3.2. Überblick der biometrischen Verfahren... 12 3.3. Grundprinzip der Computer-Erkennung... 13 3.4. Einsatzmöglichkeiten... 14 3.4.1. Zugang per Fingerabdruck... 14 3.4.2. Erkennung von Gesicht und Stimme... 15 3.5. Biometrie auf Ausweisen... 15 3.5.1. Möglichkeiten... 15 3.5.2. Auswirkungen... 15 3.5.3. Ziele und Einsatzbereiche... 16 3.6. Biometrie und Datenschutz... 16 3.7. Fazit... 17 4. Videoüberwachung... 18 4.1. Einleitung... 18 4.2. Gefahr der Videoüberwachung... 18 4.3. Fazit... 19 5. Fazit... 20 Seite 2 von 20
1. Definitionen 1.1. Definition von Selbstschutz und Eigenschutz Definition Selbstschutz: 1 Selbstschutz, Vorsorgemaßnahmen der Bevölkerung sowie der Behörden und Betriebe gegen die besonderen Gefahren, die im Verteidigungsfall drohen. Selbstschutz ist Teil des Zivilschutzes. Aufbau, Förderung und Leitung des Selbstschutzes obliegen den Gemeinden. Der Bundesverband für den Selbstschutz wurde mit Wirkung vom 1. 1. 1997 aufgelöst. Definition Eigenschutz: Eigenschutz sind alle Vorsorgemaßnahmen von Personen oder Gruppen ihr Eigentum (Kapital, Gesundheit, Leben, Freiheit) zu schützen. Abgrenzung: Selbstschutz ist etwas Gemeinschaftliches. Eigenschutz ist vom Begriff her ganz stark an Eigentum gekoppelt. Privatpersonen oder Unternehmen betreiben meist Eigenschutz. Je größer eine Gruppierung wird, desto wahrscheinlicher betreibt sie Selbstschutz. Eigenschutz betreiben bedeutet im Allgemeinen, Maßnahmen aus eigener Überzeugung zu tätigen. Beim Selbstschutz ist die Ganzheitlichkeit das Ziel. Das Individuum muss sich mit oder gegen seine Überzeugung daran beteiligen, um ein Gelingen des Ganzen zu erreichen. 1.2. Definition von Selbstdatenschutz und Eigendatenschutz Im Allgemeinen werden bei bestehenden Quellen keine Unterscheidungen zwischen Eigendatenschutz und Selbstdatenschutz gemacht. Um genau zu sein, der Begriff Eigendatenschutz wird kaum benutzt. Eine Abfrage bei z.b. Google liefert für Eigendatenschutz 0 Treffer. 2 Um aber Unterscheidungen bezüglich der Schutzarten zuzulassen soll an dieser Stelle zwischen den beiden Begriffen unterschieden werden. 1 Quelle: Brockhaus - Die Enzyklopädie: in 24 Bänden. 20., neu bearbeitete Auflage. Leipzig, Mannheim: F.A. Brockhaus 1996-99. 2 Stand 01.11.2002 Seite 3 von 20
Selbstdatenschutz: Vorsorgemaßnahmen der Bevölkerung sowie der Behörden und Betriebe, um den Datenschutz zu gewährleisten. Eigendatenschutz: Vorsorgemaßnahmen, die individuell oder in kleinen Gruppen getätigt werden, um den Datenschutz zu gewährleisten. Im Folgenden sollen einige beispielhaft herausgegriffene technische Schwerpunktthemen, die Datenschutz als Selbstdatenschutz oder/und Eigenschutz erlauben, erläutert und diskutiert werden. Ziel ist es nicht einen Gesamtüberblick zu geben sondern anhand weniger Beispiele deren Praxis zu diskutieren. Seite 4 von 20
2. Datenschutz am Computer 2.1. Sichere Passwörter 2.1.1. Allgemein Grundsätzlich zeichnet sich Zugangsberechtigung durch verschiedene Möglichkeiten der Absicherung aus. - Zugangsberechtigung durch Besitz (ein Schlüssel, eine Chipkarte...) - Zugangsberechtigung durch Wissen (ein Passwort, ein Verfahren...) - Zugangsberechtigung durch Authentifikation (biometrische Daten, Kontrolle durch Wachpersonal...) Passwörter sind heute immer noch der wahrscheinlich am weitest verbreitete Zugang zu Daten auf Computern, da die technische Realisierung sehr einfach und kostengünstig ist. Die heute gebräuchliche Umsetzung erfolgt durch eine One Way Hash Funktion. Das Passwort wird in eine Funktion geschickt, die einen Wert ausgibt, der keinerlei Rückschlüsse auf das Passwort zulässt. Ausserdem muss die Funktion eine gute Verteilung haben, so dass gleiche Funktionsergebnisse (Hashwerte) für verschiedene Passwörter sehr unwahrscheinlich sind. Der Umgang mit Passwörtern liefert auch Gefahren. - schwache Passwörter - schlechte Implementierung der Passwortalgorithmen in Programme. - ein Passwort für alle Zugänge, wenn Passwörter geändert werden müssen, wieder auf das selbe Passwort setzen 2.1.2. Angriffsarten auf Passwörter Social Engeniering: Man versucht, die Person von welcher man das Passwort haben will, dazu zu bringen es selbst zu verraten. Diese Art des Angriffes lässt sich nur mit guter Aufklärung bekämpfen. Ein typisches Beispiel ist der Anruf vom angeblichen Administrator der für eine Umstrukturierung kurz das Passwort bräuchte. Brute Force Attack: Alle möglichen Zeichen werden so lange permutiert bis das richtige Passwort gefunden ist. Das Passwort wird nicht entschlüsselt, sondern die Zeichen werden verschlüsselt und kontrolliert, ob die verschlüsselten Zeichen übereinstimmen. Das entscheidende Kriterium für die Dauer dieses Angriffes ist die Länge des Passwortes und das benutzte Alphabet. Besteht z.b. ein 8stelliges Passwort aus dem Alphabet [a-z] gibt es 26 8 Möglichkeiten das sind 208827064576 Möglichkeiten. Seite 5 von 20
Bei einem 7stelligen Passwort aus dem Alphabet [-a-za-z0-9! $%&/()=?ääööüü.:,;<>] sind es 86 7 Möglichkeiten =34792782221696, das sind 34583955157120 mehr Möglichkeiten als vorhin. Unter der Annahme, dass 100 Computer mit 2 GHz versuchen würden, ein Passwort zu knacken, und ein Versuch nur eine Rechnerinstruktion dauern würde (keine sehr realistische Annahme, normalerweise dauert ein Versuch viele Instruktionen, aber es ist eine Konstante Zahl die durch Zuhilfenahme von mehr Rechner ausgeglichen werden kann), dann würde das erste Beispiel ungefähr 1 Sekunde dauern, das zweite Beispiel immerhin 3 Minuten bis der komplette Raum bis zur Schlüssellänge überprüft währe und das Passwort gefunden ist. Ein tatsächliches Beispiel: Um eine Datei, die mit dem Komprimierprogramm RAR verschlüsselt war, das sechs Zeichen lange Passwort mit dem Alphabet [A-Z] zu finden, brauchte das Programm Advanced Archive Password Recovery 2.0 auf einem Pentium Pro 200 MHz ca. 50 Stunden. Advanced Archive Password Recovery 2.0 arbeitet im Hintergrund und stört nicht beim Arbeiten. Gezieltes Ausprobieren Eine Brute Force Attack aber mit speziell gewählten Wörtern. Da die meisten Menschen Probleme haben sich Passwörter in der Art von (G)/$%)B a?df93 zu merken, kann man verschiedene Methoden anwenden. Man benutzt selbst konstruierte Wörterbücher. Hier taucht vom Duden, Telefonbücher bis zum Namenlexikon alles auf, was man in schriftlicher Form findet. Es gibt z.b. auch Wörterbücher, die aus den Anfangsbuchstaben von Sätzen generiert wurden. Viele Programme, die dies automatisieren, können dann gezielt an Hand der Wörterbücher permutieren. Gebräuchliche Angriffsszenarien sind: Groß- und Kleinschreibung permutieren (hallo, Hallo, hallo,..., HALLo, HALLO) Gedankenstützen ausprobieren (geheim, 6eheim, gehe1m, gehe m,...) Anfang und Ende permutieren (1hallo, hallo12, 1hallo2,...) und natürlich Kombinationen aus diesen Verfahren. Um die Effektivität zu steigern kann auch versucht werden, mit Social Engenierung möglichst viel über die Person und ihre Lebensumgebung zu erfahren, wie z.b. Namen, Geburtsdaten der Familienmitglieder, Hobbys, Gewohnheiten und ähnliches. Andere Probleme Schlechte Implementierung der Passwortalgorithmen in Programme: Auch die besten Passwörter geben keinen Schutz wenn die verwendeten Programme unsicher sind. Ein sehr bekanntes Beispiel ist die Netzwerkfreigabe in Windows 9x. Eine fehlerhafte Implementierung erlaubt hier, jedes Zeichen eines Passwortes separat zu überprüfen. Ein 10stelliges Passwort mit einem Alphabet von 90 Zeichen, das normalerweise einen Bereich von 90 10 hat, wird auf einen Bereich von 900 Möglichkeiten eingeschränkt. Ist einmal ein Passwort bekannt kann damit oft viel Schaden angerichtet werden. Das eine Passwort mag in dieser Anwendung ohne Bedeutung sein. Allerdings neigen die meisten Menschen aus Bequemlichkeitsgründen dazu ihre Passwörter in Seite 6 von 20
verschiedenen Systemen gleich zu belassen. So benutzen viele Menschen z.b. das selbe Passwort sowohl bei ihren freien Emailaccounts als auch am Arbeitsplatz. 2.1.3. Schwache Passwörter verhindern Eigenschutz Sich selbst kann man vor solchen Angriffen nur schützen, wenn man sich bewusst macht, wo die Schwachpunkte eines Passwortes liegen. So sollten wirklich wichtige Passwörter eine Länge von größer 10stellig sein und ein Alphabet von 80 Zeichen besitzen. Das Alphabet sollte auch benutzt werden; es sollten zumindest Zahlen, Groß- und Kleinschreibung, und Sonderzeichen vorkommen. Ausserdem sollte keinerlei Annäherung mit Wörterbuchattacken möglich sein. Um dies abzusichern, kann man versuchen, seine eigenen Passwörter mit gängigen Tools, wie z.b. crack unter Unix, zu knacken. Selbstschutz Viele Programme erlauben Sicherheitseinstellungen für Passwörter wie z.b. Länge, Passworthistorie, eine Mindestkomplexität und ähnliches. Diese Sicherheitseinstellungen sollten gesetzt werden. Eventuell kann auch eine regelmäßige Kontrolle der Sicherheit der Passwörter mittels eines Hackertools unsichere Passwörter entdecken. Für Mitarbeiter eines Unternehmens ist Schulung im Bereich Sicherheit ein ganz wesentlicher Punkt. Jede der oben genannten Möglichkeiten lässt sich sehr leicht umgehen, wenn Sicherheit im Unternehmen nicht gelebt wird. Das beginnt mit der Weitergabe von Passwörtern und geht bis zum Zettel am Monitor mit 7 Passwörtern, wo eine Büroklammer immer das gerade aktuelle Passwort markiert, um auch bei einer Passworthistorie nicht den Überblick zu verlieren. Auch die Gefahren des Social Engeniering müssen den Menschen klargemacht werden. Was für Möglichkeiten hätte der Gesetzgeber um hier etwas zu verbessern? Er könnte die Softwarehersteller zwingen höhere Sicherheitseinstellungen als Standard einzustellen. In der bisherigen Praxis wird Software meist ohne oder mit sehr niedrigen Sicherheitseinstellungen ausgeliefert, und es bleibt dem Benutzer selbst überlassen diese zu aktivieren. Seite 7 von 20
2.2. Emailverschlüsselung anhand von PGP 2.2.1. Allgemein Wird eine Email im Internet versandt, gelangt sie vom Sender zum Empfänger. Auf dem Weg dorthin wird sie normalerweise vom Emailprogramm des Senders an einen SMTP Gateway gereicht, der dann eine Verbindung zum SMPT Gateway des Empfängers aufbaut. SMTP setzt direkt auf TCP auf. Der SMTP Gateway teilt die Email in kleine TCP Pakete und schickt sie dann unverschlüsselt über das Internet. Somit kann an jedem Knotenpunkt der Route, welcher die Pakete folgen, die Email mitgelesen werden. Technisch gesehen hat eine Email im Internet nicht mehr Schutz als eine Postkarte bei der herkömmlichen Post. Um nun eine Email über das Internet vertraulich senden zu können, muss sie verschlüsselt werden. Dabei ist zwischen synchroner und asynchroner Verschlüsselung zu unterscheiden. Bei der synchronen Verschlüsselung ist der Schlüssel zum Ver- und Entschlüsseln der Selbe. Eine rein synchrone Verschlüsselung beim Emailverkehr währe sehr aufwendig zu realisieren. Mit jeder kommunizierenden Person muss ein gemeinsam bekannter Schlüssel getauscht werden. Das Schwierige an dieser Situation ist der sichere Austausch des Schlüssels. Wird der geheime Schlüssel bekannt ist es schlimmer als wenn gar nicht verschlüsselt werden würde. Beide Parteien verlassen sich auf die dann trügerische Sicherheit, dass diese Nachricht nur vom Sender gekommen sein kann und niemand mitgelesen haben kann. Somit benötigt man, um einen Schlüssel auszutauschen, eine sichere Verbindung, welche normalerweise vor dem Schlüsselaustausch noch nicht existiert. 3 3 Grafik aus Einführung in die Kryptographie PGP 6.0.2 Seite 13 Seite 8 von 20
Bei der asynchronen Verschlüsselung wird nicht ein Schlüssel generiert, sondern ein Schlüsselpaar. Einer der Schlüssel wird zum Verschlüsseln benutzt, der andere zum Dechiffrieren. Der zum Chiffrieren benutzte Schlüssel wird allgemein als öffentlicher Schlüssel bezeichnet, der andere als privater Schlüssel. Der öffentliche Schlüssel wird allgemein bekannt gemacht, der private Schlüssel bleibt nur dem Empfänger bekannt. Um die Integrität der Nachricht zeigen zu können, werden One Time Hash Funktionen benutzt, in die der private Schlüssel des Senders eingeht. Der Empfänger und jede weitere Person, die im Besitz des öffentlichen Schlüssels ist, kann mit dem Hashwert und dem öffentlichen Schlüssel verifizieren, dass die Nachricht mit dem privaten Schlüssel des Senders signiert wurde. Der Schlüsselaustausch wird auf diesem Weg etwas leichter. Der öffentliche Schlüssel darf bekannt werden, es muss nur gewährleistet werden, dass es auch der jeweilige Schlüssel des Anderen ist, um eine Man in the Middle Attack abwehren zu können. 4 Zur Authentifikation des Schlüssels wird wieder über eine One Time Hash Funktion ein Fingerprint erzeugt, der auf sicherem Weg verglichen werden muss. Diese Authentifikation kann auch von einer Drittstelle, einem Trustcenter übernommen werden. Dessen Aufgabe ist sie gewissenhaft durchzuführen, dass auch Beispielsweise nur Microsoft ein Zertifikat für Microsoft.com bekommt. Umgekehrt muss auch das Trustcenter vom Sender und vom Empfänger authentifiziert werden. 4 Grafik aus Einführung in die Kryptographie PGP 6.0.2 Seite 15 Seite 9 von 20
Ein grundsätzliches Problem von unsymmetrischen Verschlüsselungsverfahren ist, dass sie im Allgemeinen nicht so effektiv sind wie symmetrische Verschlüsselungsverfahren. Um die selbe Sicherheit zu erreichen, benötigen sie einen deutlich längeren Schlüssel. Die asymmetrischen Verfahren sind normalerweise auch deutlich langsamer. Deshalb werden häufig die Vorteile von beiden Verschlüsselungsverfahren kombiniert. Für jede Nachricht wird ein neuer zufällig erstellter Schlüssel generiert. Mit diesem Schlüssel wird die Email mit einem schnellen und starken symmetrischen Verfahren verschlüsselt. Dann wird nur dieser symmetrische Schlüssel mit dem öffentlichen Schlüssel des Empfängers verschlüsselt. Für die großen Datenmengen (die Email) wird das schnelle symmetrische Verfahren angewandt. Zusätzlich ergibt sich noch der Vorteil, dass, da der symmetrische Schlüssel mit einem Zufallsgenerator erzeugt wurde, ein eventueller Angreifer keinerlei statistische Informationen auswerten kann, was den Angriff auf den privaten Schlüssel erschwert. 2.2.2. Die Geschichte von PGP PGP 1.0 (Pretty good Privacy) wurde von Phil Zimmermann 1991 als Kommandozeilentool geschrieben. Für den Privatgebrauch ist PGP 1.0 Freeware. Zu dieser Zeit existierte in der USA ein strenges Exportverbot für kryptographische Programme. Dieses Exportverbot wurde umgangen in dem PGP als Buch gedruckt erschien. Für Bücher galt dieses Exportverbot nicht. Das Buch enthielt sogar genaue Anweisungen und Prüfsummen, damit beim Scannen keine Fehler auftraten, oder sie zumindest sofort gefunden wurden. 1994 kam die erste kommerzielle Version, PGP 2.7.1 auf dem Markt. Ende 1997 wurde PGP von Network Associates übernommen. Parallel dazu entstand das Opensourceprojekt GNU-PG welches 1999 in der Version 1.0.0 erschien. PGP benutzt die oben beschriebene Kombination von synchroner und asynchronen Algorithmen zum Ver-/Entschlüsseln, Signieren und Signaturverifizieren. Grundsätzlich ist PGP für den Einsatz ohne Trustcenter geschrieben worden. Das bedeutet nicht, dass sich damit keine Trustcenter benutzen lassen würden. Wenn ein Trustcenter einen öffentlichen Schlüssels signiert und man hat die Authentifikation des Trustcenters, kann dem neuen Schlüssel vertraut werden. Da der Einsatz eines Trustcenters aber im privaten Bereich unverhältnismäßig viel Geld kosten würde ist man bei PGP den Weg von vernetztem Vertrauen für Schlüssel gegangen. Jeder Person deren Schlüssel man vertraut (natürlich nach entsprechender Kontrolle) wird der Schlüssel signiert und zurückgeschickt. Dadurch entsteht ein Vertrauensnetz. Zur besseren Benutzbarkeit gibt es inzwischen verschiedene Plug Ins für Emailprogramme wie Outlook, Mozilla (Enigmail), Pine,... Seite 10 von 20
2.2.3. Abwägungen für Selbstdatenschutz und Eigendatenschutz Nach dem Grundgesetz steht jeder Person ein Recht auf freie Entfaltung zu. Das Bundesverfassungsgericht hat 1983 daraus das Volkszählungsurteil abgeleitet, auf dem sich der Datenschutz gründet. Zur Durchsetzung der Privatsphäre bei Emails eignet sich Verschlüsselung sehr gut. Der Staat steckt beim Einsatz von Verschlüsselung allerdings in einem Dilemma. Ein effektives Arbeiten von Geheimdiensten und Polizei wird durch Verschlüsselung an verschiedenen Stellen erschwert. Allerdings erscheint es mehr als fragwürdig, ob sich Kriminelle am Verbot von Kryptographie stören würden und sie dann nicht mehr einsetzten. Auch gibt es viele belegte Fälle im privaten und öffentlichen Bereich, wo jemand durch Missachtung der Privatsphäre in eine schwierige Lage gekommen ist. Im öffentlichen Bereich sei nur auf bekanntgewordene Fälle der Wirtschaftsspionage wie z.b. den Fall der Firma Enercon GmbH verwiesen. Enercon ist ein Hersteller von Windenergieanlagen, der von der NSA abgehört wurde. Die von der Firma neu entwickelte Technik wurde in der USA an eine Konkurrenzfirma weiterverkauft. Diese Firma behauptete dann, dass diese Technik von ihr entwickelt wurde und untersagte Enercon per Gerichtsbeschluss den Export in die USA. 5 Eigenschutz Als Einzelperson oder Firma kann man versuchen, seine Kommunikationspartner vom Sinn von Verschlüsselung bei Email zu überzeugen, und diese dann konsequent einsetzen. Gerade in Firmen ist es oft sehr erstaunlich, das Mitarbeiter strenge Geheimhaltungsverträge unterschreiben müssen, der komplette Emailverkehr aber unverschlüsselt die ganze Technologie für jeden offen überträgt. Selbstschutz Das Bundesministerium für Wirtschaft und Technologie hat die freie PGP-kompatible Software GnuPP nicht unbedeutend gefördert. Damit ist eine starke Verschlüsselungssoftware kostenlos für jeden frei verfügbar. Auch wurde am 11.06.1997 das Signaturgesetz (BT-Drs. 13/7934) verabschiedet womit elektronische Signaturen einen gleichwertigen Status zur Unterschrift bekamen. 5 PlusMinus Archivbeitrag: http://www.wdr.de/tv/plusminus/archiv/980908/spion.html Seite 11 von 20
3. Biometrische Verfahren 3.1. Einleitung Biometrische Verfahren bieten im Vergleich zu anderen Systemen wie Kennwörtern ein Mehr an Sicherheit. Sie beruhen auf der Annahme, dass Personen eindeutige unveränderliche Merkmale besitzen, die sich zur Identifikation mit Hilfe elektronischer Verfahren nutzen lassen. Zu diesen Merkmalen gehören Fingerabdrücke, die menschliche Stimme, die handschriftliche Unterschrift oder Aufnahmen des Augenhintergrundes. Biometrische Verfahren bieten eine Reihe von Vorteilen. Der Wichtigste ist sicherlich die Erfassung personengebundener und nicht nur - wie bei PIN oder Passwort personenbezogener Merkmale. Biometrische Merkmale können im Gegensatz zu Passwörtern weder verloren gehen noch an eine andere Person weitergegeben werden. Weitere Vorteile sind sicherlich die hohe Fälschungssicherheit und eine lange Gültigkeitsdauer. Die langfristig anfallenden Kosten beim Einsatz biometrischer Verfahren sich gering. Den Vorteilen stehen natürlich auch einige Nachteile gegenüber. Die Kosten für die erstmalige Beschaffung und Einrichtung von biometrischen Systemen sind relativ hoch. Falls biometrische Merkmale gestört sind (z. B. Blasen oder Verletzungen an den Händen) können in der Praxis Probleme auftauchen. Auch kann sich nicht jeder Benutzer damit anfreunden, dass persönliche Merkmale von Einem auf einem Ausweis gespeichert werden (Persönlichkeitsschutz). 3.2. Überblick der biometrischen Verfahren Verfahren Erläuterung Vor-/Nachteile Hand Geräte erfassen die Abmessungen der Finger und die Dicke der Hand oder liefern auch ein Venenbild. Netzhaut (Iris) Fingerabdruck Gesicht Unterschrift Stimme Die Struktur der Augennetzhaut wird mittels eines ungefährlichen Laserstrahls abgetastet Fingerabdrücke sind von Mensch zu Mensch unterschiedlich und eigenen sich hervorragend zur physiologischen Erkennung Erkennung erfolgt auf den persönlichen Gesichtsmerkmalen Erkennung der charakteristischen Unterschriftenmerkmale wie Dynamik des Schreibstiftes Spektralanalyse eines (meist vorbestimmten) gesprochenen Wortes Vorteil: schon seit mehr als zehn Jahren im Einsatz. Nachteil: Die geometrischen Abmessungen von menschlichen Händen unterscheiden sich nicht genügend Vorteil: sehr fälschungssicher und niedrige Falscherkennungsraten von bis zu 1 zu 1.000.000. Nachteil: Ängste der Benutzer, die Augen mittels Laser abtasten zu lassen Vorteil: sehr fälschungssicher und niedrige Falscherkennungsraten von bis zu 1 zu 1.000.000; im Bankenbereich beruhen schon heute 68 Prozent der Biometrie- Anwendungen auf dem Fingerabdruckverfahren. Nachteil: durch den allgemein bekannten Einsatz bei der Polizei bei der Verbrecherjagd große Hemmnisse bei den Benutzern hinsichtlich der Persönlichkeitsrechte Vorteil: völlig berührungsfrei. Nachteil: umfangreiche Datensätze erfordern schnelle und teure Systeme. Da das System auch zur Erkennung und Identifikation von Personen in der Öffentlichkeit angewandt werden kann, gibt es auch datenschutzrechtliche Probleme Vorteil: wird vom Benutzer akzeptiert. Nachteil: Problem der Trennung variabler und invarianter Teile bei der Erkennung, hoher Zeitbedarf Vorteil: wird vom Benutzer akzeptiert. Nachteil: Problem der Trennung variabler und invarianter Teile bei der Erkennung sowie hoher Zeitbedarf Seite 12 von 20
3.3. Grundprinzip der Computer-Erkennung Sämtliche Verfahren funktionieren nach dem gleichen Grundprinzip. Vor der biometrischen Autorisation lernt das System den Benutzer kennen, indem es seine Merkmalstruktur analysiert - den Vorgang nennt man Personalisierung oder Enrollment. Es wird ein biometrisches Muster von dem zu identifizierenden Merkmal erzeugt. Scanner und Computer vermessen hierzu Gesicht, Iris, Stimme, Finger oder die ganze Hand. Es wird nicht das komplette Bilder gespeichert, sondern nur ausgewählte Merkmale. Die auf das Wesentliche reduzierten Messergebnisse werden als so genannte Templates auf einem Server oder einer Smartcard abgelegt. Das Template dient künftig als Vergleichsmuster, wann immer der Mensch sich per Fingerabdruck oder Stimme ausweisen soll. Bei der Überprüfungsphase läuft bis zur Bildung des Referenzdatensatzes der gleiche Vorgang ab. Anschließend existieren zwei weitere Vorgehensweisen, die Verifikation und die Identifikation. Bei der Verifikation (Authentisierung) gleicht man das aktuelle Merkmal mit einem vorher aufgenommenen Merkmal (1:1-Vergleich) ab. Der Benutzer gibt sich vorher gegenüber dem System zu erkennen, zum Beispiel durch die Eingabe einer Benutzerkennung. Anschließend wird ihm vom System das bei der Personalisierung gespeicherte Referenzmuster zugeordnet. Dieses Verfahren erfordert nur eine geringe Rechenleistung. Bei der Identifikation hingegen erfolgt der Abgleich der aktuell aufgenommenen Merkmale gegen alle vorliegenden Daten (1:n-Vergleich). Das System ermittelt den Benutzer selbstständig. Je nach Menge der gespeicherten Referenzdaten dauert die Identifikation sehr lange. Benutzerfreundlichkeit und Anwendbarkeit sind dadurch erheblich eingeschränkt. Trotz der fortgeschrittenen Technologie ist kein biometrisches Verfahren zu 100 Prozent sicher. Gute Systeme identifizieren Menschen heute mit einer Fehlerquote von unter 10 Prozent. Das Problem dabei ist, dass Finger, Auge oder Unterschrift bei zwei Messungen mit dem Computer nie exakt die gleichen Daten liefern. Die Übereinstimmung lässt sich nur ungefähr feststellen. Zudem unterliegen viele biometrisch erfassbaren Merkmale einem Veränderungsprozess. Krankheiten, bestimmte Lebensumstände oder einfach der Alterungsprozess verändern biometrische Eigenschaften. Seite 13 von 20
3.4. Einsatzmöglichkeiten Das Haupteinsatzgebiet biometrischer Systeme liegt nicht im staatlichen Sicherheitsbereich sondern in der Wirtschaft. Wirtschaftliche Anwendungsgebiete biometrischer Identifikationsverfahren reichen von der Identifizierung von Personen in einem überwachten Raum bis zur Zugangskontrolle für Hochsicherheitsräume oder Geldautomaten. Darüber hinaus dienen biometrische Verfahren im Zusammenhang mit der Abgabe von Willenserklärungen im elektronischen Rechtsverkehr. Bei der digitalen Signatur von Dokumenten kommt zur Freischaltung des privaten Schlüssels - und somit als Zugangsberechtigung zur Erzeugung der Signatur - anstatt einer PIN ein biometrisches Merkmal zum Einsatz. Den Wildwuchs an Passwörtern und Codes los zu werden könnte einer der wichtigsten Motivationsgründe sein, warum die Industrie um biometrische Verfahren nicht umhin kommt. Denn hier ist das Chaos perfekt: Je eine mehrstellige Zahl für EC- und Kreditkarte, Mobiltelefon, Anrufbeantworter, Transaktionsnummern für das Homebanking und mehrere Passwörter - wer kann hier noch die Übersicht behalten? Die Zahleneingabe ist nicht nur umständlich und unhandlich. Die Codes können leicht ausgespäht und - beabsichtigt oder unbeabsichtigt - weitergegeben werden. 3.4.1. Zugang per Fingerabdruck Als Zugangsidentifikation für Computersysteme und im Mobilbereich bei Notebooks, PDAs, Handys und Autos kommt der Fingerabdruck in Frage - das am weitesten verbreitete biometrische Verfahren. Statt Passwort und PIN gewährt der Fingerprint nur Nutzern mit den korrekten Fingerrillen den Zugang. Da jeder Fingerabdruck einzigartig ist, beweist er mit extrem hoher Wahrscheinlichkeit die Identität des Benutzers. Ein Handy-Nutzer etwa, der jedes Telefonat mit seinem Fingerabdruck bestätigt, kann das Mobiltelefon überall liegen lassen, ohne dass ein Fremder damit telefonieren kann. Eine Übertragung des Fingerprints an andere Personen ist ausgeschlossen, selbst eineiige Zwillinge besitzen nicht den gleichen Fingerabdruck. Beim Fingerprint scannen Sensoren Linienverläufe, Wirbel, Schlingen und Verzweigungen des Fingerabdrucks, die so genannten Minuzien. Zwölf dieser Merkmale reichen aus, um den Fingerabdruck einem Menschen eindeutig zuordnen zu können. Das Template ist entweder direkt im Gerät gespeichert, liegt zentral auf einem Server oder auf einer SmartCard. Stimmen die Werte nicht überein, wird der Zugang verweigert. Selbst wer versucht, das Sensorsystem mit einem Wachsabdruck oder gar einem amputierten Finger zu überlisten, kommt bei hochwertigen Fingerprintsystemen nicht zum Zuge. Zusätzliche Sensoren, die in das Lesegerät integriert sind, messen den Puls im Finger und können so einen echten Fingerabdruck von der Fälschung unterscheiden. Seite 14 von 20
3.4.2. Erkennung von Gesicht und Stimme Aufwendiger und teurer als der Fingerscan ist die Gesichtserkennung. Bei zusätzlicher Auswertung von Bewegungen, beispielsweise der Lippen, bietet sie eine hohe Erkennungszuverlässigkeit. Die Gesichtserkennung hat sich vor allem als Zugangskontrolle für Mitarbeiter in Unternehmensnetzen bewährt. Die zu identifizierende Person muss ein bestimmtes Wort in die Kamera sprechen. Spezielle Algorithmen reduzieren die Bilder auf die wesentlichen Erkennungsmerkmale. Zur Analyse der Lippenbewegung wird eine Folge von Teilbildern der Mundpartie zu je 128 x 128 Pixeln extrahiert. Ein Algorithmus ermittelt den optischen Fluss aus jeweils zwei aufeinanderfolgenden Bildern und speichert ihn in 16 Feldern zu je 32 x 32 Vektoren. Optional kann man die Wellenform des gesprochenen Wortes mit einer zuvor aufgenommenen Wellenform vergleichen. Durch die Kombination mehrer Körper- und Verhaltensmerkmale erhöht sich die Sicherheit deutlich. 3.5. Biometrie auf Ausweisen Im derzeitigen Ausweissystem sind momentan Angaben wie Name, Geburtsdatum, Größe, Augenfarbe, Foto, etc. enthalten. Diese Daten liegen als Kopie bei der ausstellenden Behörde (dezentral) in einem Register vor. Bei Auskunftsersuchen werden diese Daten in einem bestimmten Umfang übermittelt. 3.5.1. Möglichkeiten Bei der Aufnahme biometrischer Daten in Ausweisen gibt es verschiedene Möglichkeiten: Ausschließliche Speicherung der Merkmale im Ausweis Zusätzliche dezentrale Speicherung der Merkmale bei den Meldebehörden Zusätzliche zentrale Speicherung der Merkmale 3.5.2. Auswirkungen Bei der Aufnahme biometrischer Daten in Ausweisen kann es zu folgenden Auswirkungen kommen: Verwendung zu strafrechtlichen Ermittlungszwecken und sog. Rasterfahndungen Anstieg des Missbrauchs- und Schadenspotenzial (unbefugter Zugriff auf die Datenbestände) Auf Dauer kann die Zweckbestimmung der Daten nicht sichergestellt werden Seite 15 von 20
3.5.3. Ziele und Einsatzbereiche Folgende Ziele können verfolgt werden: Rationalisierung durch Automatisierung Beschleunigung (z. B. schnellere Personenkontrolle) Ausweitung von Kontrollen und Überwachungen Erhöhung der Sicherheit gegenüber PINs, Passwörtern, Passbild, etc. Komfortgewinn (kein Merken von Passwörtern, etc.) Als Anwendungsgebiete können sich folgende ergeben: Automatisierung/Beschleunigung von Ausweiskontrollen (Flughafen, Sicherheitsbereichen, Grenzen, etc.) Ausgabe von Ausweisen, Visa, etc. (Vermeidung von Doppelausgaben) Automatisierte Überwachung Zugang zu Computern und Dateien Online-Verkauf von Tickets 3.6. Biometrie und Datenschutz Bei der technischen Realisierung von biometrischen Verfahren werden Daten aufgenommen und gespeichert, die ihrerseits sensibel sind. Biometrische Daten sind personengebundene Daten, die unabhängig von der "Offenkundigkeit" (z.b. aktuelle Haarfarbe einer Person) den einschlägigen Datenschutzgesetzen unterliegen. Die Aussagekraft kann im Einzelfall sehr weit gehen. So können unter Umständen Informationen wie Krankheiten, Drogenkonsum oder ethnische Zugehörigkeit aus den gemessenen biometrischen Daten gewonnen werden. Solche zusätzlichen Informationen können besonders sensibel sein. Grundsätzlich lassen sich verschiedene Arten von Merkmalen unterscheiden: Merkmale, die das ganze Leben an eine Person gebunden sind (z.b. DNA) Merkmale, die sich ändern können (z.b. durch Alterungs- oder Wachstumsprozesse oder durch Krankheiten). Weiterhin unterscheiden sich die Merkmale dahingehend, ob eine Kooperation oder bewusste Entscheidung des Nutzers für das biometrische Verfahren erforderlich ist (z.b. Unterschrift) oder ob die Verfahren statt dessen auch unbemerkt ablaufen können (z.b. Gesichtserkennung). Hier ist der Vorzug denjenigen Verfahren zu geben, die eine bewusste Entscheidung erfordern. Eine unbemerkte Erfassung der Daten und Identifikation einer Person beeinträchtigt nicht nur ihr Persönlichkeitsrecht, sondern kann auch zu einer Einbuße an Datensicherheit führen. Beim Test biometrischer Verfahren hat sich herausgestellt, dass nicht alle Personen von diesen Geräten gleich gut erkannt werden können: Bei einigen Personen versagen die Verfahren ganz (oder sind generell nicht anwendbar, wie z.b. die Stimmerkennung für Stumme), andere Personen werden nur innerhalb großer Toleranzgrenzen erkannt. Die Information über das Versagen der Geräte bei einzelnen Personen ist wiederum eine Information über die Personen. Seite 16 von 20
3.7. Fazit Biometrische Verfahren basieren darauf, dass jeder Mensch über einzigartige, nicht kopierbare Körper- und Verhaltensmerkmale verfügt. Biometrisch auswerten lassen sich eine ganze Reihe von Daten: Das Tippverhalten an einer Tastatur, die Fingergeometrie, die Stimme, das Gesicht, die Unterschriftendynamik, das Netzhautund das Irismuster oder der Fingerabdruck. Der große Vorteil biometrischer Daten: Sie können nicht wie PINs ausgetauscht oder ausgespäht werden. Die Entschlüsselung sensibler Dokumente ist nur noch durch die dazu berechtigte Person möglich. Neben dem staatlichen Sicherheitssektor sollen biometrische Systeme im wirtschaftlichen Bereich die lästigen PINs und Passwörter ersetzen und so mehr Komfort bringen und Kosten sparen. Bislang haben die Kosten und hohe Fehlerquoten eine schnellere Einführung biometrischer Verfahren blockiert. Die Fehleranfälligkeit beträgt derzeit bis zu 10 Prozent, im günstigsten Fall immer noch 1 bis 5 Prozent. Angesichts der Gelder, die derzeit in die Technologie gesteckt werden, dürfte sich diese Fehlerquote künftig aber deutlich verbessern. Seite 17 von 20
4. Videoüberwachung 4.1. Einleitung Immer häufiger werden Videokameras eingesetzt, die für Zwecke der Überwachung genutzt werden können. Dabei unterscheidet man drei verschiedene Überwachungsräume: öffentlicher Raum privater Raum öffentlich-institutioneller Raum (Ämter, Verwaltungen etc. der öffentlichen Hand). Im folgenden wird auf die Videoüberwachung öffentlicher Räume eingegangen. 4.2. Gefahr der Videoüberwachung Überall müssen Bürgerinnen und Bürger damit rechnen, dass sie auf Schritt und Tritt offen oder heimlich von einer Videokamera aufgenommen werden. Durch die Zunahme der Überwachungskameras in den letzten Jahren besteht die Gefahr, dass diese Entwicklung zur einer Überwachungsinfrastruktur führt. Mit der Videoüberwachung sind besondere Risiken für das Recht auf informationelle Selbstbestimmung verbunden. Weil eine Videokamera alle Personen erfasst, die in ihren Bereich kommen, werden von der Videoüberwachung unvermeidbar völlig unverdächtige Menschen mit ihren individuellen Verhaltensweisen betroffen. Erfassung, Aufzeichnung und Übertragung von Bildern sind für die Einzelnen in aller Regel nicht durchschaubar. Schon gar nicht können sie die durch die fortschreitende Technik geschaffenen Bearbeitungs- und Verwendungsmöglichkeiten abschätzen und überblicken. Die daraus resultierende Ungewissheit, ob und von wem sie beobachtet werden und zu welchen Zwecken dies geschieht, erzeugt einen latenten Anpassungsdruck. Dies beeinträchtigt nicht nur die grundrechtlich garantierten individuellen Entfaltungsmöglichkeiten, sondern auch das gesellschaftliche Klima in unserem freiheitlichen und demokratischen Gemeinwesen insgesamt. Alle Menschen haben das Grundrecht, sich in der Öffentlichkeit zu bewegen, ohne dass ihr Verhalten durch Kameras aufgezeichnet wird. Seite 18 von 20
4.3. Fazit Durch den Einsatz von Videokameras kann der Staat sicherlich das Sicherheitsgefühl der Bürger in gefährdeten Bereichen (Bahnhöfen, Parks, Parkhäusern, etc.) stärken. Die Befürworter von Videoüberwachung rechnen mit einem Kriminalitätsrückgang in den überwachten Bereich, durch die ständige Möglichkeit des Beobachtetseins bei Strafdelikten. Die durch die ständige Bildschirmbeobachtung verbesserte Kontrollmöglichkeit überwachter Bereiche soll die Reaktionszeit der Polizei verkürzen Im Fall einer beobachteten Straftat sollen die Aufnahmen der Kameras Straftaten in einem höheren Maße aufgeklärt werden. Täter könnten unter Zuhilfenahme von Aufzeichnungen identifiziert werden und die Aufnahmen sollen auch zur Beweissicherung genutzt werden. Die Videoüberwachung soll damit einen präventiven Effekt erzielen. Die Erfahrungen in England zeigen, dass die Wirkung der Videoüberwachung als Mittel zur Kriminalitätsbekämpfung nicht eindeutig festzustellen ist. Der Erfolg der Videoüberwachung liegt vor allem in der einfachen und kostengünstigen Anwendbarkeit, sie löst jedoch keine grundlegenden Probleme, da sie die sozialen Ursachen der Kriminalität nicht anspricht. Die Videoüberwachung schreckt sicherlich potentielle Täter ab, diese können aber in nicht-überwachte Bereiche ausweichen. Videoüberwachung führt insofern nur zu einer lokalen Entlastung von Kriminalitätsschwerpunkten. Seite 19 von 20
5. Fazit In der heutigen Informationstechnologie mit weltweiten Datennetzen und Kleincomputern in praktisch allen Bereichen ist es dem Staat nicht mehr möglich, den Einzelnen vor allem Gefährdungen seines Grundrechts auf informationelle Selbstbestimmung vollständig zu schützen. Dies bedeutet zum einen dass der Bürger sich selbst für seinen Datenschutz einsetzen muss, zum anderen muss der Staat Selbstschutzmechanismen fördern. Zu einem derartigen Selbstdatenschutz gehören neben den bereits für alle Bürger bestehenden Einheitsregelungen insbesondere Auswahlmöglichkeiten unter mehreren Varianten. Im Rahmen der technischen Entwicklung seien anonyme und pseudonyme Datenverarbeitungen und vor allem eine wirkungsvolle Verschlüsselung genannt, die es dem Bürger ermöglichen, selbst für seinen Schutz zu sorgen. Seite 20 von 20