Das hessische Unternehmen iCOGNIZE meldet ein Patent auf sein neues Split-Template-Verfahren zur Sicherung von biometrischen Daten an. Bei dem neuen Verfahren werden biometrische Daten direkt nach der Erfassung gesplittet, um sie unkenntlich zu machen.
Da biometrische Daten die mathematische Beschreibung bestimmter Eigenschaften von Körpermerkmalen wie Fingerabdrücke, Iris- oder Gesichtsmerkmale und Venenmuster enthalten, gelten sie als hochkritisch und müssen auf besondere Art und Weise geschützt werden – nicht nur um Datenschutzverletzungen zu verhindern, sondern vor allem, um zu verhindern, dass bei Cyberattacken keine kompletten biometrischen Datensätze gestohlen werden können.
Das Verfahren kann überall angewendet werden, wo sensible Daten stärker geschützt werden sollen – auch außerhalb von biometrischen Systemen. Beispielsweise können Tokens mit Split-Template noch besser vor unerlaubtem Zugriff geschützt werden.
Um den Vorgang und die Vorteile des Split-Template-Verfahrens zu verdeutlichen, ist ein detaillierter Blick auf die bisherigen Verfahren nötig:
Mögliche Sicherheitslücken bei biometrischen Zugangskontrollen
Bei biometrischen Zugangskontrollen im Hochsicherheitsbereich werden biometrische Eigenschaften wie Fingerabdruck, Venen oder Irismerkmale von einer entsprechenden Sensorik erfasst und mit im System abgespeicherten biometrischen Merkmalen verglichen. Ergibt sich dabei eine hinreichende Ähnlichkeit, wird von einem sogenannten „Match“ ausgegangen. Denn die zum Vergleich genutzten biometrischen Daten gehören zu der Person, die das entsprechende biometrische Merkmal präsentiert hat. Da das System weiß, welche Person zuvor den zum Vergleich genutzten biometrischen Datensatz erzeugt hat, ist die Person dadurch identifiziert.
Cyberkriminelle können diese biometrischen Merkmale stehlen oder manipulieren. Werden beispielsweise Fingerabdruckdaten im Internet veröffentlicht, kann jede Person, die über entsprechendes Wissen verfügt, eine Attrappe für eine sog. „Presentation Attack“ erstellen und damit biometrische Sicherheitssysteme täuschen.
Für die Person, zu der die Fingerabruckdaten gehören, bedeutet dass, dass ihr Fingerabdruck nie wieder im biometrischen System genutzt werden kann. Denn da das biometrische Merkmal nun in seiner Reinform bekannt ist, kann jederzeit ein Replikat erzeugt werden. Zusätzlich handelt es sich bei digitalen Fingerabdrücken um sensible, persönliche Daten, die nach EU-DSGVO besonders geschützt werden müssen.
Möglicherweise sind sie auch ganz von einer dauerhaften Speicherung ausgenommen. Aus diesem Grund verbietet der Datenschutz das zentrale Speichern von sensiblen biometrischen Daten. Das wiederum kann dazu führen, dass biometrische Systeme in verschiedenen Anwendungen nicht zum Einsatz kommen dürfen.
Schwierigkeiten bisheriger Lösungsansätze
Um obiges Problem zu umgehen, gibt es bereits einen möglichen Weg: Die biometrischen Daten werden zum späteren Vergleich auf Servern gespeichert, die zu einer hochsicheren und nicht-angreifbaren IT-Infrastruktur gehören.
Dieses Verfahren funktioniert in der Praxis auch recht gut. Durch immer komplexer werdende IT-Verfahren wird es jedoch immer schwieriger und kostenintensiver eine solche hochsichere Infrastruktur aufrechtzuerhalten.
Außerdem und wie oben bereits erwähnt, ist die zentrale Datenspeicherung von personenbezogenen Daten, wie es biometrische Daten sind, ein grundsätzliches Problem beim Datenschutz.
Ist die mobile Datenspeicherung ein DSGVO-freundliche Alternative?
Um im Sinne der DSGVO zu handeln, dürfen biometrische Daten ausschließlich auf mobilen Medien wie RFID-Karten oder Mobilgeräten gespeichert werden. So können Nutzer jederzeit auf ihre persönlichen Daten zugreifen und diese im Zweifelsfall auch löschen.
Durch Vorhalten der Karte bzw. Mobile Device an einen entsprechenden Leser werden die Daten erfasst. Das System vergleicht nun die Daten und löscht danach sofort die genutzten Daten. So befinden sich die biometrischen Daten nur zum Zeitpunkt der Nutzung im System und werden dort nicht persistent gespeichert. Um mit dieser Methode der EU-DSGVO zu genügen, müssen zudem folgende Voraussetzungen erfüllt sein:
(DSGVO (Artikel 9)
Es handelt sich zwar um ein Umfeld, welches dem Datenschutz genügt – im Sinne von IT-Security sind die Daten jedoch nicht gesichert oder überwacht. Folglich sind beide Verfahren für eine hochsichere Datenspeicherung von kritischen Datensätzen nur bedingt einsetzbar.
Was macht das Split-Template-Verfahren besser?
Das Split-Template-Verfahren nutzt das Beste aus den oben beschriebenen Verfahren und geht weitere Schritte, um biometrische Daten unkenntlich zu machen:
Da biometrische Daten die mathematische Beschreibung bestimmter Eigenschaften von Körpermerkmalen wie Fingerabdrücke, Iris- oder Gesichtsmerkmale und Venenmuster enthalten, gelten sie als hochkritisch und müssen auf besondere Art und Weise geschützt werden – nicht nur um Datenschutzverletzungen zu verhindern, sondern vor allem, um zu verhindern, dass bei Cyberattacken keine kompletten biometrischen Datensätze gestohlen werden können.
Das Verfahren kann überall angewendet werden, wo sensible Daten stärker geschützt werden sollen – auch außerhalb von biometrischen Systemen. Beispielsweise können Tokens mit Split-Template noch besser vor unerlaubtem Zugriff geschützt werden.
Um den Vorgang und die Vorteile des Split-Template-Verfahrens zu verdeutlichen, ist ein detaillierter Blick auf die bisherigen Verfahren nötig:
Mögliche Sicherheitslücken bei biometrischen Zugangskontrollen
Bei biometrischen Zugangskontrollen im Hochsicherheitsbereich werden biometrische Eigenschaften wie Fingerabdruck, Venen oder Irismerkmale von einer entsprechenden Sensorik erfasst und mit im System abgespeicherten biometrischen Merkmalen verglichen. Ergibt sich dabei eine hinreichende Ähnlichkeit, wird von einem sogenannten „Match“ ausgegangen. Denn die zum Vergleich genutzten biometrischen Daten gehören zu der Person, die das entsprechende biometrische Merkmal präsentiert hat. Da das System weiß, welche Person zuvor den zum Vergleich genutzten biometrischen Datensatz erzeugt hat, ist die Person dadurch identifiziert.
Cyberkriminelle können diese biometrischen Merkmale stehlen oder manipulieren. Werden beispielsweise Fingerabdruckdaten im Internet veröffentlicht, kann jede Person, die über entsprechendes Wissen verfügt, eine Attrappe für eine sog. „Presentation Attack“ erstellen und damit biometrische Sicherheitssysteme täuschen.
Für die Person, zu der die Fingerabruckdaten gehören, bedeutet dass, dass ihr Fingerabdruck nie wieder im biometrischen System genutzt werden kann. Denn da das biometrische Merkmal nun in seiner Reinform bekannt ist, kann jederzeit ein Replikat erzeugt werden. Zusätzlich handelt es sich bei digitalen Fingerabdrücken um sensible, persönliche Daten, die nach EU-DSGVO besonders geschützt werden müssen.
Möglicherweise sind sie auch ganz von einer dauerhaften Speicherung ausgenommen. Aus diesem Grund verbietet der Datenschutz das zentrale Speichern von sensiblen biometrischen Daten. Das wiederum kann dazu führen, dass biometrische Systeme in verschiedenen Anwendungen nicht zum Einsatz kommen dürfen.
Schwierigkeiten bisheriger Lösungsansätze
Um obiges Problem zu umgehen, gibt es bereits einen möglichen Weg: Die biometrischen Daten werden zum späteren Vergleich auf Servern gespeichert, die zu einer hochsicheren und nicht-angreifbaren IT-Infrastruktur gehören.
Dieses Verfahren funktioniert in der Praxis auch recht gut. Durch immer komplexer werdende IT-Verfahren wird es jedoch immer schwieriger und kostenintensiver eine solche hochsichere Infrastruktur aufrechtzuerhalten.
Außerdem und wie oben bereits erwähnt, ist die zentrale Datenspeicherung von personenbezogenen Daten, wie es biometrische Daten sind, ein grundsätzliches Problem beim Datenschutz.
Ist die mobile Datenspeicherung ein DSGVO-freundliche Alternative?
Um im Sinne der DSGVO zu handeln, dürfen biometrische Daten ausschließlich auf mobilen Medien wie RFID-Karten oder Mobilgeräten gespeichert werden. So können Nutzer jederzeit auf ihre persönlichen Daten zugreifen und diese im Zweifelsfall auch löschen.
Durch Vorhalten der Karte bzw. Mobile Device an einen entsprechenden Leser werden die Daten erfasst. Das System vergleicht nun die Daten und löscht danach sofort die genutzten Daten. So befinden sich die biometrischen Daten nur zum Zeitpunkt der Nutzung im System und werden dort nicht persistent gespeichert. Um mit dieser Methode der EU-DSGVO zu genügen, müssen zudem folgende Voraussetzungen erfüllt sein:
(DSGVO (Artikel 9)
- Einwilligung: Die betroffene Person hat in die Verarbeitung der biometrischen Daten für einen oder mehrere festgelegte Zwecke ausdrücklich eingewilligt. Es sei denn, nach Unionsrecht oder dem Recht der Mitgliedstaaten kann das Verbot durch die Einwilligung der betroffenen Person nicht aufgehoben werden.
- Die Verarbeitung ist erforderlich, damit der Verantwortliche oder die betroffene Person, die ihm bzw. ihr aus dem Arbeitsrecht und dem Recht der sozialen Sicherheit und des Sozialschutzes erwachsenden Rechte ausüben und seinen bzw. ihren diesbezüglichen Pflichten nachkommen kann. Das muss nach Unionsrecht oder dem Recht der Mitgliedstaaten oder einer Kollektivvereinbarung nach dem Recht der Mitgliedstaaten, das geeignete Garantien für die Grundrechte und die Interessen der betroffenen Person vorsieht, zulässig sein.
Es handelt sich zwar um ein Umfeld, welches dem Datenschutz genügt – im Sinne von IT-Security sind die Daten jedoch nicht gesichert oder überwacht. Folglich sind beide Verfahren für eine hochsichere Datenspeicherung von kritischen Datensätzen nur bedingt einsetzbar.
Was macht das Split-Template-Verfahren besser?
Das Split-Template-Verfahren nutzt das Beste aus den oben beschriebenen Verfahren und geht weitere Schritte, um biometrische Daten unkenntlich zu machen:
- Zunächst werden kritische Datenblöcke in zwei oder mehr Datenanteile gespalten.
- Die einzelnen Anteile werden anschließend auf unterschiedliche Medien und/oder an unterschiedlichen Orten gespeichert.
- Speicherorte können Datenträger wie die RFID-Karte UND der Server innerhalb der IT-Infrastruktur sein.
