Hundertprozentige Sicherheit kann es nicht geben - nicht in der "analogen" und nicht in der digitalen Welt. Das gilt auch für Zahlungsverkehr und Bankgeschäfte. In der vor digitalen Zeit war es früher für Kriminelle attraktiv, Überweisungsträger aus Bankbriefkästen zu fischen, um an Kontodaten und Unterschriften zu kommen. Der Diebstahl des Portemonnaies ist es noch immer. In der digitalen Welt werden Zugangsdaten zum Online-Banking oder Kreditkartendaten ausgespäht oder gar digitale Identitäten missbraucht. Der Aufwand für die kriminelle Szene ist heute geringer als früher, der mögliche Schaden, den sie anrichten kann, höher.
Das hat den Vormarsch digitaler Services nicht verhindert, da den Sicherheitsrisiken für Anbieter wie Nutzer unbestreitbare Vorteile gegenüberstehen. Die Sicherheitsfrage bleibt aber nach wie vor ein Thema. Daher immer neue Technologien, die die Sicherheit erhöhen sollen, daher auch die mit der PSD2 vorgeschriebene Zwei-Faktor-Authentifikation, die missbräuchliche Transaktionen mindestens erschweren sollen.
Weil Sicherheit allerdings immer auch im Spannungsfeld mit der Bequemlichkeit steht, ruhten zuletzt alle Hoffnungen auf der Biometrie. Die Transaktionsfreigabe per Fingerabdruck oder Blick in die Kamera schien höchstmögliche Sicherheit mit höchst möglicher Bequemlichkeit verbinden zu können, der Durchbruch solcher Verfahren in der Breite deshalb fast unausweichlich.
Die Nachricht, dass auch die Biometrie nicht so sicher ist wie erhofft, ist deshalb ein Schlag ins Kontor. Wieder einmal ist es also nichts mit dem fast wasserdichten Verfahren. Aber ist das wirklich überraschend? Schon immer gibt es einen Wettlauf zwischen der Hacker-Szene und jenen, die den Kriminellen Einhalt gebieten wollen. Mit jedem neuen Sicherheitsverfahren gab es auch Versuche, dieses auszuhebeln. Warum hätte das bei biometrischen Verfahren anders sein sollen?
Natürlich sind biometrische Merkmale einer Person ganz individuell. Aber die Sicherheit darauf basierender Identifikationsverfahren ist nur so gut, wie es die damit verbundenen Systeme zulassen. Denn die Merkmale müssen ja auch irgendwo gespeichert und übertragen werden. Dass sich den Berichten zufolge dabei ausgerechnet die Behörden als Schwachstelle erweisen, ist außerordentlich blamabel. Denn wenn es Hackern gelingt, hier Daten abzugreifen, sitzen sie buchstäblich an der Quelle. Bei der Biometrie ist das deshalb so problematisch, weil sich ein Fingerabdruck eben nicht wie ein Passwort auswechseln lässt.
Die Bürger werden nun zur Vorsicht aufgerufen, wo sie ihre biometrischen Daten verwenden. Muss etwa das Smartphone per Fingerabdruck entsperrt werden? Nein, muss es nicht. Ob die Alternativen PIN oder Muster aber wirklich sicherer sind, darf bezweifelt werden. Was bleibt, ist einmal mehr die Erkenntnis, dass jedes neue Verfahren, das scheinbar endgültig Sicherheit schafft, alsbald von Angreifern ins Visier genommen wird. Das war bei PIN/TAN so, das ist bei der Biometrie so und wird bei etwaigen künftigen Verfahren nicht anders sein. Anderes anzunehmen wäre naiv.
Dem Durchbruch biometrischer Verfahren muss und wird das aller Voraussicht nach nicht den Todesstoß versetzen. Sie können aber nicht länger als die allein seligmachende Lösung verstanden werden, sondern werden auch künftig weiterentwickelt und von anderen Verfahren flankiert werden müssen. Red.