Wirksamer Datenschutz zeichnet sich vor allem dadurch aus, dass er den Datenerzeugern stets die weitestgehend mögliche Kontrolle über sie belässt. Als Eigentümer haben sie einen Anspruch darauf zu erfahren, welche ihrer Daten erhoben und wie und zu welchem Zweck sie genutzt werden, ein Recht darauf, hierzu ihre Zustimmung zu geben oder diese eben zu verweigern.
Ein Beitrag von Mehmet Yaliman, Senior Solutions Architect bei Ping Identity:
Wenn sie vom Schutz ihrer Daten sprechen, meinen viele Menschen in aller Regel zuallererst ihre Adressdaten, ihre Bankdaten, ihre Standortdaten oder auch ihre Kommunikationsdaten. Tatsächlich werden solche Daten mittlerweile rund um die Uhr gespeichert und verarbeitet – am Arbeitsplatz, auf Behörden, bei der Bestellung von Waren oder Dienstleistungen, auf Reisen oder auch einfach beim Surfen im Internet.
Die Schutzbedürftigkeit einer weiteren Gruppe von Daten – die in den vergangenen Jahren erheblich an Verbreitung und Bedeutung gewonnen hat – wird hierbei jedoch nach wie vor häufig übersehen: die Rede ist von Musterdaten zur biometrischen Authentifizierung einer natürlichen Person.
In den vergangenen Jahren hat der Anteil derjenigen Menschen, die sich über ihre biometrischen Merkmale identifizieren, stark zugenommen. Für die meisten gehören biometrische Authentifizierungsverfahren längst zum Alltag – auch in Deutschland.
52 Prozent aller Deutschen, so die Covid Monitoring-Umfrage 2022 von Capterra, nutzen mittlerweile Scans des Fingerabdrucks, 27 Prozent Scans des Gesichts und 7 Prozent Scans der Stimme, um sich für eine digitale Anwendung oder ein digitales System anzumelden.
Fingerabdrücke, Gesichter, Stimmen und selbst die Iris sind aus der heutigen digitalen IAM-Welt kaum noch wegzudenken, werden in den kommenden Jahren weiter an Bedeutung gewinnen. Ob für das Online-Banking, das Online-Shopping, den Google-Account oder das Smartphone, an einem biometrischen Anmeldeverfahren kommt heute kaum noch jemand vorbei.
Jedoch: Nicht wenige haben nach wie vor erhebliche Bedenken gegenüber den passwortlosen Verfahren. Denn wo werden die biometrischen Musterdaten gespeichert? Und was können Cyberkriminelle mit ihnen anrichten, wenn ihnen eine digitale Kopie in die Hände fällt? Ganze 40 Prozent erklärten in der Umfrage, immer noch ganz auf biometrische Verfahren zu verzichten.
Sie fürchten, ihren digitalen Fingerabdruck, haben Cyberkriminelle erst einmal eine Kopie in ihren Besitz gebracht, für immer als sicheres Authentifizierungsverfahren verloren zu haben. Viele Anwender und Unternehmen sind deshalb nach wie vor unschlüssig, ob sie den Schritt in Richtung biometrische Authentifizierungsverfahren wagen sollen.
Dabei lässt sich ein adäquater Schutz auch für solche Daten durchaus herstellen. Unternehmen müssen die biometrischen Musterdaten ihrer Mitarbeiter, Partner, Zulieferer und Kunden nur dezentral genug lagern und so das Risiko eines Angriffs reduzieren. Werden sie zentral gespeichert, haben Cyberkriminelle die Chance, mit einem einzigen erfolgreichen Angriff eine große – und damit lukrative – Beute zu machen.
Anders verhält es sich, wenn die biometrischen Muster einzeln – eben dezentral – auf den Endgeräten ihrer Besitzer gespeichert werden. Umso geringer die Anzahl der gespeicherten biometrischen Muster an einem Ort, umso niedriger fällt deren Attraktivität als lukratives Angriffsziel aus.
Für noch mehr Sicherheit kann gesorgt werden, wenn das biometrische Muster gleich im Scanmodul selbst abgespeichert wird. Denn dann sind die Daten zudem auch vor Manipulationen am Betriebssystem des Endgeräts geschützt.
So aufgestellt kann das Risiko, dass Cyberkriminelle einen erfolgreichen Angriff auf biometrische Musterdaten unternehmen, entscheidend minimiert werden. Biometrische Anmeldeverfahren sind nichts vor dem man sich fürchten oder dass man meiden müsste.
Sie bieten Anwendern und Anbietern die Möglichkeit, ihre Authentifizierungsverfahren sicherer und nutzerfreundlicher zu gestalten. Man muss sie nur richtig – eben über eine dezentrale Speicherung – abzusichern wissen.