Skip to main content

Cookies and Privacy

We use cookies to improve your experience on our website. To find out more, read our updated Cookie policy, Privacy policy and Terms & Conditions

ghosh18_dem10Getty Images_biometricfingerprintscan dem10/Getty Images

Die biometrische Bedrohung

NEU DELHI – Auf der ganzen Welt erliegen Regierungen den Verlockungen biometrischer Erkennungssysteme. Bis zu einem gewissen Grad mag das angesichts der Belastungen durch Anforderungen und Erwartungen an den modernen Staat unabwendbar sein. Aber niemand sollte die Gefahren im Zusammenhang mit diesen Technologien unterschätzen.

Biometrische Identifikationssysteme nutzen die einzigartigen physischen Charakteristika von Personen – Finger- oder Handabdrücke, Gesichtsmuster, Stimmen, Iris, Venenmuster oder sogar Gehirnwellen – zur Identitätsprüfung. Staaten bedienen sich dieser Technologie zur Überprüfung von Pässen und Visa, zur Identifizierung und Rückverfolgung von Sicherheitsbedrohungen sowie – in jüngerer Vergangenheit – um sicherzustellen, ob staatliche Leistungen korrekt verteilt werden.

Auch Privatunternehmen haben biometrische Erkennungssysteme eingeführt. Smartphones verwenden Fingerabdruck oder Gesichtserkennung, um zu bestimmen, wann „entsperrt“ werden soll.  Anstatt unterschiedliche Passwörter für verschiedene Dienste – darunter auch Finanzdienstleistungen - einzugeben, legen Benutzer einfach ihren Finger auf eine Taste ihres Telefons oder blicken in die Kamera.

Das ist sicher bequem. Und auf den ersten Blick scheint es auch sicherer zu sein: Passwörter können in den Besitz anderer Personen gelangen, nicht aber die wesentlichen biologischen Merkmale eines Menschen.

Doch wie bei so vielen anderen praktischen Technologien neigen wir auch hier dazu, die mit biometrischen Identifikationssystemen verbundenen Risiken zu unterschätzen. Indien musste diese Gefahren schmerzhaft zur Kenntnis nehmen, als es ein staatliches Programm erweiterte, im Rahmen dessen den Einwohnern eine „persönliche Identifikationsnummer“ oder „Aadhaar“ zugewiesen wird, die mit ihren biometrischen Daten verknüpft ist.  

Ursprünglich bestand das Hauptziel des Aadhaar-Programms darin, die staatlichen Leistungen zu verwalten und in Wirklichkeit nicht existierende Empfänger öffentlicher Zuschüsse zu beseitigen. Doch mittlerweile wurde das Programm auf zahlreiche weitere Bereiche erweitert: von der Eröffnung eines Bankkontos über die Einschreibung von Kindern in die Schule bis hin zur Aufnahme in ein Krankenhaus ist jetzt ein Aadhaar erforderlich. Über 90 Prozent der Bevölkerung Indiens haben sich für das Programm angemeldet.

Project Syndicate is conducting a short reader survey. As a valued reader, your feedback is greatly appreciated.

Take Survey

Allerdings sind schwerwiegende Sicherheitslücken zutage getreten. Die biometrische Überprüfung scheint zwar die ultimative technische Lösung zu sein, aber menschliches Versagen birgt erhebliche Risiken, insbesondere wenn Datenerfassungsprozesse nicht ausreichend etabliert oder umgesetzt werden. In Indien wollte die Regierung viele Menschen rasch in das Aadhaar-Programm einbeziehen, weswegen die Datenerfassung an kleine Dienstleister mit mobilen Geräten ausgelagert wurde.

Wird jedoch ein Fingerabdruck- oder ein Iris-Scan auch nur leicht schräg oder auf andere Art falsch positioniert aufgenommen, stimmt er möglicherweise nicht mit zukünftigen Überprüfungsscans überein. Außerdem können sich körperliche Merkmale im Laufe der Zeit verändern – tägliche manuelle Arbeit beispielsweise kann zu einer Veränderung der Fingerabdrücke führen - und Diskrepanzen zu den aufgezeichneten Daten zur Folge haben. Und dabei sprechen wir noch nicht einmal von den grundlegendsten Fehlern wie falsch geschriebene Namen oder Adressen.

Die Korrektur derartiger Fehler kann ein komplizierter und langwieriger Prozess sein. Das ist ein gravierendes Problem, wenn davon abhängt, ob man staatliche Leistungen erhält oder in der Lage ist, Finanztransaktionen durchzuführen. Aufgrund biometrischer Nichtübereinstimmung gab es in Indien gab es mehrere Fälle von Anspruchsverlusten -  ob Lebensmittelrationen oder Löhne im Bereich öffentlicher Bauvorhaben.

Wenn schon einfache Fehler derartigen Schaden anrichten können, stelle man sich das Schadensausmaß aufgrund von bewussten Betrug vor. Die Polizei im indischen Bundesstaat Gujarat fand kürzlich über 1.100 aus silikonähnlichem Material gefertigte Fingerabdrücke staatlicher Leistungsempfänger. Hergestellt wurden diese Vorlagen, um unrechtmäßig an Lebensmittelrationen aus dem staatlichen Verteilungsprogramm zu kommen. Da wir überall unsere Fingerabdrücke hinterlassen, besteht für uns alle die Gefahr, dass unsere Fingerabdrücke vervielfältigt werden.

Und die manuelle Vervielfältigung ist nur die Spitze des Eisbergs. Forscher haben synthetische „MasterPrints” entwickelt, mit denen sie eine erschreckend hohe Anzahl „betrügerischer Übereinstimmungen“ erzielen konnten.

Weitere Risiken ergeben sich bei der Übermittlung und Speicherung biometrischer Daten. Nach der Erfassung werden biometrische Daten normalerweise in einer zentralen Datenbank abgespeichert. Während der Übermittlung müssen die Daten verschlüsselt sein, aber diese Verschlüsselungen können gehackt werden -  und das werden sie auch. Auch nach ihrer Ablage auf lokalen, ausländischen oder Cloud-Servern sind diese Daten nicht unbedingt sicher.

In Indien hatte eines der Web-Systeme, mit denen die Anwesenheit öffentlich Bediensteter an ihrer Arbeitsstelle aufgezeichnet wurde, keine Passwort-Sicherung, wodurch jeder auf Namen,  Berufsbezeichnungen und Telefonnummern von 166.000 Mitarbeitern zugreifen konnte. Es wurde festgestellt, dass auf drei offiziellen, von Gujarat aus betriebenen Webseiten die Aadhaar-Nummern von Leistungsempfängern offengelegt waren. Und das Ministerium für ländliche Entwicklung veröffentlichte versehentlich fast 16 Millionen Aadhaar-Nummern.

Überdies beschuldigte ein anonymer französischer Sicherheitsforscher zwei staatliche Webseiten, tausende Ausweise, darunter auch Aadhaar-Karten geleakt zu haben. Dieses Datenleck wurde zwar mittlerweile geschlossen, aber angesichts der Tatsache, wie viele öffentliche und private Stellen über einen Zugang zu den Aadhaar-Datenbanken verfügen, unterstreichen solche Vorgänge, wie riskant ein vermeintlich sicheres System sein kann.

Natürlich bestehen derartige Schwachstellen bei allen persönlichen Daten. Allerdings ist die Offenlegung biometrischer Daten einer Person weitaus gefährlicher als beispielsweise die Aufdeckung eines Passworts oder einer Kreditkartennummer, weil biometrische Daten nicht geändert werden können. Schließlich ist es unmöglich, dass wir eine neue Iris bekommen.

Verschärft werden diese Risiken durch Bemühungen, erfasste biometrische Daten zur Kontrolle und Überwachung zu nutzen, wie dies in China und anderswo der Fall ist. In dieser Hinsicht stellt die umfangreiche Erfassung und Speicherung biometrischer Daten von Personen eine beispiellose Bedrohung der Privatsphäre dar. Und nur wenige Länder verfügen über auch nur annähernd ausreichende Gesetze zum Schutz ihrer Bewohner.

In Indien begegnete man den Enthüllungen über die Schwächen des Aadhaar-Programms größtenteils mit offizieller Verleugnung und nicht mit ernsthaften Bemühungen zum Schutz der Benutzer. Noch schlimmer: in anderen Entwicklungsländern wie Brasilien beeilt man sich biometrische Technologien einzuführen und läuft damit Gefahr, die Fehler zu wiederholen.  Und angesichts des Ausmaßes an Datenpannen in den Industrieländern, sind die Bürger auch dort nicht sicher.

Biometrische Identifikationssysteme durchdringen alle Facetten unseres Lebens. Solange Bürger und politische Entscheidungsträger die damit verbundenen komplexen Sicherheitsrisiken nicht erkennen und Lösungen finden, sollte sich niemand sicher fühlen.

Aus dem Englischen von Helga Klinger-Groier

https://prosyn.org/VgQlDWbde;
  1. op_twliu1_XinhuaXiao Yijiu via Getty Images_wuhancoronavirushospitaldoctor Xinhua/Xiao Yijiu via Getty Images
    Free to read

    Witnessing Wuhan

    Tracy Wen Liu

    While Chinese authorities have been projecting an image of national triumph over the COVID-19 outbreak there, the doctors and nurses on the front lines tell a different story. Having lived through hell, they see little to celebrate, much to mourn, and reason to remain fearful.

    9

Edit Newsletter Preferences