Mit der PSD2, so haben es Banken- und Payment-Branche erwartet, werden traditionelle Identifikationsverfahren durch biometrische abgelöst. Noch vor einem Jahr wollte die EBA sogar nur biometrische Verfahren für die starke Kundenauthentifizierung zulassen.
Doch noch ehe die Biometrie sich in großem Stil durchgesetzt hat, mehren sich die Zweifel an ihrer Tauglichkeit. Bereits im August 2018 machte die Meldung die Runde, dass die für den elektronischen Personalausweis erhobenen Fingerabdruckdaten relativ einfach direkt bei den Einwohnermeldeämtern abgegriffen werden können. Ein Jahr später, rund einen Monat vor dem offiziellen Stichtag für die PSD2, haben Sicherheitsforscher aus Israel eine riesige Datenbank mit rund einer Million Fingerabdrücken und anderen biometrischen Daten aufgespürt, die quasi ungeschützt und unverschlüsselt im Internet abgerufen werden konnten. Die Daten stammten vom System "Biostar 2" der koreanischen Sicherheitsfirma Suprema, die nach eigenen Angaben Marktführer in Europa bei biometrischen Zutrittskontrollsystemen ist. Das weckt Zweifel daran, dass die Biometrie wirklich der Weisheit letzter Schluss ist.
Natürlich ist der Fingerabdruck nicht die einzige Methode zur Identifikation anhand individueller Körpermerkmale. Es gibt auch Handvenen-Scan, Iris-Scan, Gesichts- und Spracherkennung oder sogar Verhaltensbiometrie. Die Spracherkennung wird angesichts des neuen Lecks bei Fingerabdrücken teilweise zum Heilsbringer in Sachen Sicherheit erhoben. Doch zum einen sind diese Verfahren bisher noch weniger verbreitet und erfreuen sich weitaus geringerer Akzeptanz beim Verbraucher. Zum anderen eignen sich längst nicht alle gleichermaßen für den in den strategischen Überlegungen immer wichtigeren Einsatz auf mobilen Geräten. Der Handvenen-Scan etwa ist auf dem Smartphone allein aufgrund der Größe schwer vorstellbar.
Und nicht zuletzt: Wenn es jetzt schon beim Fingerabdruck solche Sicherheitslücken gibt - weshalb sollten die Risiken bei der Verwendung anderer biometrischer Verfahren geringer sein? Möglicherweise hat sich die kriminelle Szene damit nur noch nicht ernsthaft beschäftigt, weil es angesichts der geringen Verbreitung an einem lukrativen "Geschäftsmodell" dafür fehlt. Hundertprozentige Sicherheit kann es nicht geben, so viel ist klar - gleichgültig, ob Biometrie oder ein anderes Verfahren zum Einsatz kommt. Der Haken ist nur: Biometrische Merkmale kann der Betroffene nach einem Identitätsdiebstahl und dem Missbrauch seiner Daten nicht einfach auswechseln wie etwa ein Passwort. Die Opferrolle droht dann quasi zum Dauerzustand zu werden.
Vermutlich lassen sich die Risiken durch eine Kombination möglichst vieler biometrischer Merkmale in einer Anwendung stark minimieren. Endgültige Sicherheit bietet aber vielleicht auch das nicht - und dann? Zudem drohen Authentifikationsverfahren dann so komplex zu werden, dass Verbraucher für manche bisher selbstverständlich nicht nur digital, sondern auch mobil genutzte Anwendungen nicht dazu bereit sein werden. Das Rennen der Sicherheitsverantwortlichen mit der Hacker-Szene um die Sicherheit von Daten und Anwendungen ist also noch lange nicht zu Ende. Vielleicht tun die Verantwortlichen gut daran, sich nicht ganz auf die Biometrie zu verlassen, sondern weiter nach zugleich sicheren und doch praktikablen Lösungen jenseits davon zu suchen - und sei es nur als Ausweichlösung für künftige Opfer des Missbrauchs biometrischer Daten. Red.