- Anzeigen -


Sie sind hier: Home » Fachbeiträge » Grundlagen

Biometrie hat viele Gesichter


In einer zunehmend digitalisierten Welt wird Authentifizierung immer wichtiger und zugleich zu einer immer größeren Herausforderung
Die am weitesten verbreitete und bekannteste dieser biometrischen Methoden ist die Identifikation über den Fingerabdruck

- Anzeigen -





Von Martin Grauel, One Identity

Laut National Academies Press versteht man unter Biometrie "die automatisierte Erkennung von Individuen anhand von Verhaltensmerkmalen und biologischen Eigenschaften". Diese Merkmale werden zunehmend genutzt, um eine wachsende Zahl digitaler Systeme und Objekte wie Anwendungen, Datenquellen, Mobiltelefone, PCs und Gebäude zu sichern sowie den Zugang oder Zugriff zu ermöglichen. Hier ersetzen biometrische Merkmale vermehrt Passwörter und Codes, die wesentlich einfacher zu knacken sind.

Passwörter haben fundamentale Schwächen. Sie können kompromittiert oder gestohlen, oder in einigen Fällen sogar einfach erraten werden – und so die digitale Identität einer Person gefährden. Biometrische Technologien sind an dieser Stelle wesentlich sicherer, weil sie sich auf einzigartige Erscheinungsmerkmale oder Verhaltensweisen einer Person stützen, bevor diese auf Geräte, Datenbanken oder Systeme zugreifen darf.

Die beiden Arten von Biometrie
Man unterscheidet grundlegend zwei Arten von Biometrie: die physiologische und die verhaltensbasierte. Die überwiegende Zahl kommerzieller Anwendungen nutzt physiologische Merkmale. Die zweite der beiden Varianten nutzt individuelle Verhaltensmerkmale einer Person. Ein Ansatz, der sehr viel geeigneter sein kann.

Physiologische Biometrie
Der wesentliche Vorteil dieser Methode liegt darin, dass sie individuelle, physische Merkmale, die üblicherweise stabil sind und konstant bleiben, als Mittel zur Identifikation nutzt. Allerdings gibt es Fälle, wo das nicht mehr der Fall ist und sich die äußeren Erscheinungsmerkmale einer Person eben doch verändern. Sei es beispielsweise durch einen Unfall oder auch durch einen chirurgischen Eingriff. Dann kann es unter Umständen schwierig werden, teure Sensoren und Geräte innerhalb einer biometrischen Infrastruktur entsprechend anzupassen. Und zwar so, dass sie auch noch die veränderten Merkmale zuverlässig als zu dieser Person zugehörig erkennt. Dazu kommt noch eine weitere Schwierigkeit. Im Allgemeinen wird diese Methode nur ein Mal verwendet (sogenannte One-off Authentication). Das heißt, eine durchgängige Überwachung ist kaum möglich ohne den Benutzer zu stören.

Die am weitesten verbreitete und bekannteste dieser biometrischen Methoden ist die Identifikation über den Fingerabdruck. Dazu werden winzige Details eines Fingerabdrucks untersucht, etwa Brüche oder Unregelmäßigkeiten innerhalb der Papillarleisten und der Fingerrillen. Und genau diese winzigen Details, die einen Fingerabdruck von einem anderen unterscheiden, benutzt man um einer Person den Zugriff auf ein Smartphone oder Laptop zu gewähren, aber auch um Zahlungen zum Beispiel in einem App-Store zu verifizieren. Auch wenn die Eigenart und Deutlichkeit von körperlichen Merkmalen für mehr Sicherheit sorgen, lassen sich Fingerabdruck-Scanner sehr wohl umgehen, beispielsweise durch Teilabdrücke oder abgenutzte Fingerabdrücke.

Eine andere biometrische Verfahrensweise ist die der Sprach- oder Stimmerkennung. Die physische Komponente für die Spracherkennung ist der menschliche Vokaltrakt. Die genaue Klangfarbe, Beschaffenheit und Tonhöhe der Stimme einer Person sind so einzigartig wie ein Fingerabdruck und keine zwei Personen teilen sich den exakt gleichen Vokaltrakt. Allerdings ist auch diese Methode bei aller Zuverlässigkeit nicht unfehlbar, da ihre Funktionstüchtigkeit von einer Reihe von Faktoren beeinträchtigt werden kann. Das sind zum Beispiel Hintergrundgeräusche oder die emotionale Verfassung des Sprechers.

Verhaltensbasierte Biometrie
Physiologische Merkmale sind aber nicht die einzigen Charakteristika, die uns einmalig machen. Psychologische Experimente haben gezeigt, dass für Routineaufgaben wie sprechen, schreiben, gehen oder auch das Tippen auf einer Tastatur einem bestimmten Set von vorhersehbaren Aktionen folgen. Auf dieser Entdeckung basieren biometrische Systeme, die das Verhalten einer Person zur Identifizierung nutzen.

Verhaltensbasierte Biometrie überwindet die meisten gewichtigen Nachteile der physiologischen Methoden: sie kann sogar ohne das Wissen der betreffenden Nutzer eingesetzt werden und ist für eine lückenlose Supervision und Authentifizierung geeignet, ohne den Nutzer bei seiner Tätigkeit zu stören. Allerdings sind zumindest einige der verwendeten Verhaltensmerkmale nicht unbedingt stabil und sie können von Faktoren wie Stress, Krankheit, Wetterfühligkeit oder anderer vorübergehender Faktoren beeinflusst werden.

Eine der vielleicht aufregendsten und wegweisendsten Technologien innerhalb der Biometrie ist die Analyse der Mausbewegungen. Dabei wird das relative Maß der Cursor-Position gemessen während sie sich verändert und der Mauszeiger sich bewegt. Solche Tools registrieren unter anderem die Klick-, Maus- und Scrollbewegungen. Einer der offensichtlichsten Faktoren ist die Geschwindigkeit der Mausbewegungen. Die Stillstandzeit zwischen einer Mausbewegung und einem Klick ist genauso typisch wie die Zeit zwischen den beiden Klicks bei einem Doppelklick. Darüber hinaus lässt sich auch die Winkelgeschwindigkeit (die Veränderungsrate der Winkelposition eines rotierenden Körpers - wie zum Beispiel einem Mauszeiger) als Charakteristikum nutzen um einen bestimmten Benutzer zu identifizieren.

Verhaltensbasierte Methoden innerhalb der Biometrie werden nicht selten übersehen. Obwohl sie vielleicht am hilfreichsten sind. Während es für einen Angreifer beispielsweise möglich ist in ein System einzudringen und dort die Rolle des Administrators zu übernehmen können mithilfe von verhaltensbasierter Biometrie solche Aktivitäten erkannt und der Ausführende gestoppt werden bevor ein wirklicher Schaden entsteht.

Die Rolle der Biometrie in der IT-Sicherheit
In unserer zunehmend digitalisierten Welt wird Authentifizierung immer wichtiger und zugleich zu einer immer größeren Herausforderung. Die überwiegende Mehrzahl schwerwiegender Datenschutzverletzungen geht auf den Diebstahl von Anmeldeinformationen zurück. Sie erlauben es Cyberkriminellen auf die wichtigsten (und vertraulichsten) Werte der IT-Infrastruktur eines multi-nationalen Konzerns zuzugreifen. Laut dem "Verizon Data Breach Investigations Report 2017", "nutzen 81% der auf Hacking zurückgehenden Datenschutzverletzungen entweder gestohlene oder schwache Passwörter". Diese offensichtliche Schwachstelle lässt sich mit der effektiven, gleichzeitigen Anwendung von drei der wichtigsten biometrischen Vorgehensweisen schließen.

Kontinuierliche Überwachung im Hintergrund
Die zu Beginn ausführlich beschriebenen Methoden der One-Off-Authentifizierung sind nutzlos, wenn ein Hacker valide Anmeldedaten eines legitimen Nutzers missbraucht. Für Benutzer sind viele Authentifizierungsmethoden umständlich, mühsam und zeitaufwendig. Also wird nach Wegen gesucht, sie zu umgehen wo immer das möglich ist. Eine verhaltensbasierte Nutzerlegitimation ist ein neuartiger Ansatz bei der Authentifizierung.

Aufdeckung in Echtzeit
In den meisten Fällen verbringen Cyberkriminelle zwar Tage, Wochen oder sogar Monate in den IT-Systemen, bevor man sie entdeckt. Trotzdem kommt es vor, dass sie schon innerhalb der ersten, wenigen Minuten auf unternehmenskritische Daten zugreifen. Deshalb ist es umso wichtiger die Angreifer so schnell wie möglich als solche zu erkennen.

Angemessene Genauigkeit
Sicherheitsanalysten werden schon jetzt von den im Einsatz befindlichen Sicherheitssystemen mit Tausenden von Alarmen überschwemmt. Eine Technologie, die mehr falsche Warnmeldungen produziert als zutreffende ist keine Option. Die Genauigkeit lässt sich aber immens steigern, indem man eine Reihe von biometrischen Datenpunkten miteinander kombiniert werden und man letztendlich sagen kann "ja, das die richtige Person und die Person, der wir Zugriff gewährt haben".

Fazit
Eine der ersten Erkenntnisse, die IT-Sicherheitsexperten realisieren müssen, ist, dass es keine Wunderwaffe im Bereich IT-Sicherheit gibt. Verhaltensbasierte Biometrie ist eine fortgeschrittene Technologie. Aberauch sie hat Schwachstellen, wenn sie isoliert eingesetzt wird. Der "Defence in depth"-Ansatz, also ein mehrstufiger Ansatz, verbessert die Sicherheit in einem System als Ganzem und ist eines der ältesten IT-Sicherheitskonzepte. Gelingt es einem Angreifer einen Sicherheitsmechanismus zu umgehen oder außer Kraft zu setzen, bietet möglicherweise ein anderes Systeme immer noch ausreichenden Schutz.

Methoden der verhaltensbasierten Biometrie wie das individuelle Tippverhalten und die Analyse der Mausbewegung sind hocheffiziente Beispiele dafür. Unternehmen können diese Methoden nahtlos mit den üblichen vorbeugenden Sicherheitssystemen wie Firewalls oder Sicherheitstüren kombinieren ohne die Benutzer mit den Analysen zu beeinträchtigen. Zudem bieten diese Lösungen Resultate in Echtzeit, weil sie die Aktivitäten der einzelnen Benutzer kontinuierlich und präzise kontrollieren. Ohne Fehlalarme zu produzieren. Es handelt sich um eine hochsichere Methode, welche aber die Benutzer nicht beeinträchtigt. Das wiederum hilft Unternehmen dabei ihre eigenen Taktiken zu verbessern, Angreifer hinter sich zu lassen. (One Identity: ra)

eingetragen: 08.01.19
Newsletterlauf: 13.02.19

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Grundlagen

  • Sieben Punkte zur IoT-Security

    Das Internet der Dinge steckt immer noch in den Kinderschuhen, aber hat sich bereits einen Ruf als ausgewachsenes Sicherheitsrisiko gemacht. Ob Router, Drucker, Smart-TV, Spielzeug oder Waschmaschinen - vernetzte Geräte werden für Cyberkriminelle zum Werkzeug für illegales Krypto-Mining, DDoS-Angriffe bis hin zur Lösegelderpressung durch angedrohte Datenlöschung, wie im Fall des Spielzeugherstellers Spiral Toys. Dessen Datenleck machte 2017 Schlagzeilen, bei dem mehr als 800.000 Nutzer betroffen waren. Die IoT-Malware-Landschaft entwickelt sich stetig weiter, während die Sicherheitsvorkehrungen meist noch rudimentär sind. Das Anfang des Jahres entdeckte Botnet "Hide and Seek" bettet, im Gegensatz zur berüchtigten DDoS-Mirai-Malware, eine Vielzahl von Befehlen wie Datenexfiltration, Code-Ausführung und Interferenz mit dem Betrieb des Geräts ein. Die Sicherheitsrisiken im IoT-Bereich sind Großteils auf das rasante Tempo zurückzuführen, mit dem IoT-Devices weltweit implementiert werden - 20 Milliarden installierte Geräte sind nach Schätzungen von Gartner bis Ende 2020 zu erwarten. Im hart umkämpften Technologiesektor hat der Eifer, als erster mit erschwinglichen IoT-Geräten auf den Markt zu kommen, dazu geführt, dass viele Hersteller selbst einige der grundlegendsten Sicherheitsprinzipien zugunsten schneller Entwicklungszyklen außer Acht gelassen haben.

  • Implementierung einer Public Key Infrastructure

    Die digitale Transformation hat inzwischen eine Vielzahl von Branchen erreicht. Nicht zuletzt angetrieben durch die rasante Weiterentwicklung des Internet of Things (IoT) und die darin liegenden unternehmerischen Möglichkeiten. Wie etwa den, sich Wettbewerbsvorteile gegenüber der Konkurrenz zu verschaffen. Richtig aufgesetzt haben IoT-Projekte das Potenzial, betriebliche Abläufe zu rationalisieren, neue Umsatzquellen zu erschließen und Dienstleistungen besser auf die Bedürfnisse der Kunden zuzuschneiden. So erheben und sammeln IoT-Geräte Unmengen von Daten, die Firmen analysieren und für sich nutzbar machen können. Dazu muss allerdings eines gewährleistet sein: Sowohl die Geräte als auch die Daten müssen vertrauenswürdig sein. Sonst hätte es wenig Sinn, sie aufwendig zu analysieren und zueinander in Beziehung zu setzen. Will man die ambitionierten Ziele der digitalen Transformation erreichen, braucht es zwingend eine Vertrauensbasis für IoT-Anwendungen. Eine Technologie, die sich in dieser Hinsicht bereits bewährt hat, wird hier zu einem der zentralen Bausteine: eine auf Best Practices basierende Public Key Infrastructure (PKI).

  • KI: Kein Ersatz für IT-Sicherheitsteams

    Ob Spear-Phishing, Ransomware oder Zero-Day-Exploits, Netzwerke sind ständig in Gefahr gehackt zu werden. Die wachsende Bedrohung geht einher mit immer komplexeren IT-Landschaften, mehr Daten und weniger IT-Personal. Um ihre Netzwerke unter diesen schwierigen Umständen effektiver zu schützen, setzen viele Unternehmen inzwischen auf Technologien wie KI-basierte Verhaltensüberwachung. Sie nutzt die Möglichkeiten von Datenanalyse und maschinellem Lernen um einen der größten Risikofaktoren im Netzwerk zu minimieren: den Benutzer. Nutzer sind die Einfallstore, die sensible Unternehmensdaten gefährden, sei es ein kompromittiertes Nutzerkonto im Netzwerk, ein Insider-Angriff oder unbedachtes Verhalten eines Mitarbeiters.

  • Cyber-Erpressung auf Bestellung

    CryptoLocker, GoldenEye, Locky, WannaCry - Ransomware hat mit der Geiselnahme von Dateien durch Verschlüsselung in den letzten Jahren eine beachtliche und unrühmliche Karriere hingelegt. Und da sich Kriminelle auch bei Digitalisierungstrends wie as-a-Service-Angeboten nicht lumpen lassen, hat die Untergrundökonomie mit Ransomware-as-a-Service (RaaS) rasch ein lukratives Geschäftsmodell für sich entdeckt, das in kürzester Zeit enormes Wachstum erlebt hat. Das Prinzip ist denkbar einfach - wie in der legalen Wirtschaft sind die Dienstleistungen ganz auf die Bedürfnisse einer möglichst breiten Kundschaft zugeschnitten: Auf Ransomware-as-a-Service-Plattformen können nun auch technisch wenig versierte Kriminelle ins Cyber-Erpressergeschäft einsteigen und sich von Schadware-Entwicklern die entsprechende Service-Leistung gegen Abgabe einer festen Gebühr oder einer Provision basierend auf den Lösegeldeinnahmen besorgen.

  • Investitionen in IT-Sicherheit legitimieren

    Wenn man so oft direkt mit unterschiedlichen Unternehmen und Menschen zu tun hat wie der Vertrieb, erkennt man schnell bestimmte Reaktionsschemata. Ebenso wie zuverlässig wiederkehrende Schwierigkeiten beim Implementieren von IT-Sicherheitsmaßnahmen. Den größten Teil unserer Zeit verbringen wir damit zu erläutern warum Cybersicherheit derart wichtig ist und wie ein Unternehmen von bestimmten Maßnahmen am besten profitiert. Trotzdem erhält man regelmäßig dieselben Antworten: "Ich verstehe absolut wovon Sie sprechen, und ich gebe Ihnen sogar Recht. Nur, wie soll ich die zusätzlichen Ausgaben gegenüber der Geschäftsleitung rechtfertigen?" Es gibt allerdings einige grundlegende Argumente die Kunden helfen, Sicherheitsansätze und Lösungen gegenüber der Geschäftsführung oder anderen Zeichnungsbefugten plausibel zu machen.