Neues Patent zur besseren Sicherung von biometrischen Daten

Neues Patent zur besseren Sicherung von biometrischen Daten

Beitrag teilen

Das hessische Unternehmen iCOGNIZE meldet ein Patent auf sein neues Split-Template-Verfahren zur Sicherung von biometrischen Daten an. Bei dem neuen Verfahren werden biometrische Daten direkt nach der Erfassung gesplittet, um sie unkenntlich zu machen.

Da biometrische Daten die mathematische Beschreibung bestimmter Eigenschaften von Körpermerkmalen wie Fingerabdrücke, Iris- oder Gesichtsmerkmale und Venenmuster enthalten, gelten sie als hochkritisch und müssen auf besondere Art und Weise geschützt werden – nicht nur um Datenschutzverletzungen zu verhindern, sondern vor allem, um zu verhindern, dass bei Cyberattacken keine kompletten biometrischen Datensätze gestohlen werden können.

Mehr Schutz für biometrische Daten

Das Verfahren kann überall angewendet werden, wo sensible Daten stärker geschützt werden sollen – auch außerhalb von biometrischen Systemen. Beispielsweise können Tokens mit Split-Template noch besser vor unerlaubtem Zugriff geschützt werden. Um den Vorgang und die Vorteile des Split-Template-Verfahrens zu verdeutlichen, ist ein detaillierter Blick auf die bisherigen Verfahren nötig:

Mögliche Sicherheitslücken bei biometrischen Zugangskontrollen

Bei biometrischen Zugangskontrollen im Hochsicherheitsbereich werden biometrische Eigenschaften wie Fingerabdruck, Venen oder Irismerkmale von einer entsprechenden Sensorik erfasst und mit im System abgespeicherten biometrischen Merkmalen verglichen. Ergibt sich dabei eine hinreichende Ähnlichkeit, wird von einem sogenannten „Match“ ausgegangen. Denn die zum Vergleich genutzten biometrischen Daten gehören zu der Person, die das entsprechende biometrische Merkmal präsentiert hat. Da das System weiß, welche Person zuvor den zum Vergleich genutzten biometrischen Datensatz erzeugt hat, ist die Person dadurch identifiziert.

Cyberkriminelle können diese biometrischen Merkmale stehlen oder manipulieren. Werden beispielsweise Fingerabdruckdaten im Internet veröffentlicht, kann jede Person, die über entsprechendes Wissen verfügt, eine Attrappe für eine sog. „Presentation Attack“ erstellen und damit biometrische Sicherheitssysteme täuschen.

Fingerabruckdaten gibt es nur ein Mal

Für die Person, zu der die Fingerabruckdaten gehören, bedeutet dass, dass ihr Fingerabdruck nie wieder im biometrischen System genutzt werden kann. Denn da das biometrische Merkmal nun in seiner Reinform bekannt ist, kann jederzeit ein Replikat erzeugt werden. Zusätzlich handelt es sich bei digitalen Fingerabdrücken um sensible, persönliche Daten, die nach EU-DSGVO besonders geschützt werden müssen.

Möglicherweise sind sie auch ganz von einer dauerhaften Speicherung ausgenommen. Aus diesem Grund verbietet der Datenschutz das zentrale Speichern von sensiblen biometrischen Daten. Das wiederum kann dazu führen, dass biometrische Systeme in verschiedenen Anwendungen nicht zum Einsatz kommen dürfen.

Schwierigkeiten bisheriger Lösungsansätze

Um obiges Problem zu umgehen, gibt es bereits einen möglichen Weg: Die biometrischen Daten werden zum späteren Vergleich auf Servern gespeichert, die zu einer hochsicheren und nicht-angreifbaren IT-Infrastruktur gehören. Dieses Verfahren funktioniert in der Praxis auch recht gut. Durch immer komplexer werdende IT-Verfahren wird es jedoch immer schwieriger und kostenintensiver eine solche hochsichere Infrastruktur aufrechtzuerhalten. Außerdem und wie oben bereits erwähnt, ist die zentrale Datenspeicherung von personenbezogenen Daten, wie es biometrische Daten sind, ein grundsätzliches Problem beim Datenschutz.

Ist die mobile Datenspeicherung ein DSGVO-freundliche Alternative?

Um im Sinne der DSGVO zu handeln, dürfen biometrische Daten ausschließlich auf mobilen Medien wie RFID-Karten oder Mobilgeräten gespeichert werden. So können Nutzer jederzeit auf ihre persönlichen Daten zugreifen und diese im Zweifelsfall auch löschen.

Durch Vorhalten der Karte bzw. Mobile Device an einen entsprechenden Leser werden die Daten erfasst. Das System vergleicht nun die Daten und löscht danach sofort die genutzten Daten. So befinden sich die biometrischen Daten nur zum Zeitpunkt der Nutzung im System und werden dort nicht persistent gespeichert. Um mit dieser Methode der EU-DSGVO zu genügen, müssen zudem die Voraussetzungen erfüllt der DSGVO (Artikel 9) erfüllt sein:

Was macht das Split-Template-Verfahren besser?

Das Split-Template-Verfahren nutzt das Beste aus den oben beschriebenen Verfahren und geht weitere Schritte, um biometrische Daten unkenntlich zu machen und löst gleichzeitig Probleme mit der EU-DSGVO:

  • Zunächst werden kritische Datenblöcke in zwei oder mehr Datenanteile gespalten.
  • Die einzelnen Anteile werden anschließend auf unterschiedliche Medien und/oder an unterschiedlichen Orten gespeichert.
  • Speicherorte können Datenträger wie die RFID-Karte UND der Server innerhalb der IT-Infrastruktur sein.

Durch die Spaltung handelt es sich bei den erfassten biometrischen Daten nicht mehr um personenbezogene Daten im Sinne der EU-DSGVO. Denn die gesplitteten Daten sind für ihren eigentlichen Einsatzzweck nicht mehr nutzbar, da keine Rückschlüsse zum eigentlichen Datensatz möglich sind. Weiter gelangen Cyberkriminelle beim Kompromittieren eines Speicherortes nicht in den Besitz der gesamten biometrischen Daten. Das Erstellen einer Attrappe mit den erbeuteten Daten wird dadurch wirksam verhindert.

Mehr bei iCOGNIZE.de

 


iCOGNIZE GmbH

iCOGNIZE ist auf biometrische Sicherheitslösungen spezialisiert. Seit 2007 entwickelt und produziert das Unternehmen biometrische Handvenenscanner zur Identifikation bzw. Authentifizierung die sich über unterschiedlichste Schnittstellen in andere Systeme der Sicherheitstechnik integrieren lassen. Technologien wie RFID und Bluetooth sind integraler Bestandteil des Produktportfolios.

Der Unternehmensstandort ist Dietzenbach – nahe Frankfurt am Main. Hier besitzt der Biometrie-System-Entwickler außerdem eine eigene Forschungsabteilung und kooperiert eng mit Hochschulen und anderen Forschungsinstituten, um Innovationen im Bereich biometrischer Sicherheitstechnik voranzutreiben.


 

Passende Artikel zum Thema

Datensicherheit & Backup – mehr als ein Fallschirm für Unternehmen

Unternehmen benötigen eine Lösung für Backup, Disaster-Recovery, Archivierung und auch für ihre kalten Daten. Sechs Fragen, sechs Antworten von Hannes ➡ Weiterlesen

85 Milliarden Bedrohungen blockiert – ein Plus von 30 Prozent

Über 85 Milliarden Bedrohungen wurden im ersten Halbjahr 2023 durch Trend Micro blockiert – rund ein Drittel mehr als im ➡ Weiterlesen

Kaspersky wirkt bei INTERPOL Operation mit

Im Rahmen der Operation „Africa Cyber Surge II“ unterstützte Kaspersky INTERPOL mit der Bereitstellung von Threat-Intelligence-Daten. Dadurch konnten die Ermittler, ➡ Weiterlesen

Microsoft: 38 TByte Daten versehentlich offengelegt

Der Security Anbieter Wiz hat beim stöbern im KI-GitHub-Repository von Microsoft 38 TByte an Daten gefunden samt 30.000 internen Teams-Nachrichten. ➡ Weiterlesen

Daten vor Double Extortion Ransomware schützen

Double-Extortion-Angriffe nehmen zu: Bei der Attacke werden nicht nur die Daten verschlüsselt und ein Lösegeld erpresst, sondern auch noch Daten ➡ Weiterlesen

Mit generativer KI Schwachstellen schneller beheben

KI-gestützte Wiederherstellung hilft Security-Teams, Warnungen über Schwachstellen schneller zu verarbeiten und vereinfacht ihre Zusammenarbeit mit Entwicklungsteams. Aqua Security, der Pionier ➡ Weiterlesen

Ransomware: Noch erfolgreicher durch KI

Kriminelle nutzen mittlerweile KI, um ihre Ransomware-Angriffe noch effizienter zu machen. Betrachtet man die neuesten Entwicklungen, ist keine Entwarnung in ➡ Weiterlesen

BKA Cybercrime Report 2022: Schäden von 200 Mrd. Euro 

Das vor kurzem veröffentlichte Bundeslagebild Cybercrime 2022 des BKA zeigt wieder teils erschütternde Fakten. Zwar waren die registrierten Fälle rückläufig, ➡ Weiterlesen