Biometrische Identifikation — die Verwendung von einzigartigen physischen Attributen, wie Fingerabdrücke, um Personen zu authentifizieren – wurde lange für sicher gehalten. So ist die Technologie z. B. für Banken und Bankkunden attraktiv, die zusammen ein riesiges Angriffsziel für Cyberkriminelle darstellen.
Tatsächlich testen Banken bereits neue Bankautomaten mit biometrischem Zugriff – oder planen dies in Kürze.
Was die institutionelle Seite betrifft, ist der große Vorteil solcher Methoden, wie Iriserkennung oder Venenidentifizierung, dass die Fehlerrate der falschen Rückweisung (Fehler 1) und falschen Akzeptanz (Fehler 2) verringert wird. User mögen Biometrie, weil die Technologie schnell ist und sie von Passwörtern und anderen Geheimcodes befreit.
Leider ist die Technologie zum Scannen von Fingerabdrücken weitverbreitet und nicht so zuverlässig, wie sie sein sollte. So beschweren sich z. B. Nutzer von iOS- und Android-Geräten oft darüber, dass sie ihre Geräte nicht entsperren können – oder dass andere Personen sie entsperren können.
Was ist mit Geldautomaten?
Biometrische Geldautomaten sind bis jetzt noch nicht implementiert, aber unsere Sicherheitsexperten Olga Kochetova und Alexey Osipov haben bereits mehr als ein Dutzend Untergrundentwickler entdeckt, die biometrische Skimmer auf dem Schwarzmarkt anbieten. Diese Geräte dienen dazu, gescannte Fingerabdrücke zu stehlen.
Andere Untergrundentwickler wollen Geräte erstellen, die die Ergebnisse von Iriserkennung oder Venenidentifizierung abfangen können. Außerdem sind Skimmer nicht der einzige Weg, um biometrische Daten zu stehlen. Man-in-the-Middle-Angriffe und ähnliche Methoden werden mit biometrischen Anmeldedaten so effektiv sein wie sie jetzt mit Usernamen und Passwörter sind.
Natürlich hacken Kriminelle auch Server mit Nutzerdaten, ungeachtet der Form dieser Daten.
Beachten Sie, dass Dropbox dieses Jahr Daten von über 60 Millionen Accounts verloren hat, und später bestätigte Yahoo ein Leck von 500 Millionen Daten — und dies sind nur zwei Beispiele von vielen
More bad news from the #Yahoohack https://t.co/neicHoAHh0 #infosec #yahoo pic.twitter.com/zl6dOXe5gu
— Kaspersky (@kaspersky) September 27, 2016
Stellen Sie sich nun vor, dass diese Unternehmen statt Passwörter biometrische Daten ihrer User verloren hätten. Das Ändern von Passwörtern kann lästig sein, aber Sie können Ihre DNA nicht ersetzen.
Darüber hinaus können Kriminelle mithilfe von biometrischen Skimmern Rohdaten verwenden, um eine Fälschung eines Loginmusters zu erstellen. Banken werden an Sicherheitsstandards sehr sorgfältig arbeiten müssen, bevor sie biometrische Bankautomaten verwenden.
Warum biometrisches #Banking nicht sicher ist
Tweet
Die Talfahrt der biometrischen Sicherheit
Die Verwendung von Biometrie begann mit Regierungen, Sicherheitskräften und Verteidigungsindustrie. In diesen Bereichen stellte sich Biometrie als verlässlich heraus, vor allem weil sich die Institutionen kostspielige, hochwertige Ausrüstung leisten konnten.
Durch die weitverbreitete Annahme von Biometrie haben wir jedoch bereits die beeindruckende Sicherheitspanne beobachtet. Die Beliebtheit der Technologie ist aus zwei Gründen ein bedeutender Faktor für dieses Problem. Erstens sind die Standards für Sicherheitsvorgaben für Konsumgüter geringer als in einsatzkritischen Implementierungen. Zweitens bietet ein weites Feld von einfach erhältlichen Geräten Kriminellen einen riesigen Prüfstand von Verbrauchergeräten, mit denen experimentiert werden kann und immer mehr Schwachstellen gefunden werden können — zu ihrem eigenen Vorteil natürlich. Die schnelle Entwicklung von 3D-Druck hat ebenfalls zu den Schwachstellen der Biometrie beigetragen.
Letztes Jahr wurden mehr als 6 Millionen mobile Apps installiert, die eine Authentifizierung durch Fingerabdrücke unterstützten. Nach Juniper Research wird die Menschheit bis 2019 über 770 Millionen solcher Apps verwenden. Zu diesem Zeitpunkt wird biometrische Authentifizierung alltäglich sein. Andere Experten sind noch optimistischer: Acuity Market Intelligence geht davon aus, dass bis 2020, 2,5 Milliarden Menschen 4,8 Milliarden biometrische Geräte verwenden werden.
Hoffnung — und Empfehlungen — für die Zukunft
Glücklicherweise werden biometrische Daten nicht einfach so gespeichert: Ein Server empfängt nur gehashte Scanergebnisse und macht somit offenen Diebstahl zu einer unattraktiveren Option. Nichtsdestotrotz können Kriminelle noch immer solche Methoden, wie den zuvor genannten Man-in-the-Middle-Angriff, anwenden, indem sie sich selbst in den Datentransferkanal zwischen dem Bankautomaten und einem Bearbeitungszentrum einschleusen, um das Geld von Nutzern zu stehlen.
RT @emm_david: 4 ways to hack an ATM: https://t.co/tsZDBfnu04 via @kaspersky
— Kaspersky (@kaspersky) October 4, 2016
Letztendlich werden Banken und User weiterhin strenge Sicherheitsmaßnahmen gegen Lücken in traditionellen Logins anwenden, sowie Schutz gegen biometrischen Betrug hinzufügen müssen. Seitens der Unternehmen beinhaltet das eine Verbesserung des Designs von Bankautomaten, um die Installation von Skimmern vorzubeugen, sowie eine Kontrolle über die Sicherheit von Hardware und Software von Geldautomaten zu schaffen und zu erhalten.
Wir empfehlen biometrische Identifikationstechnologie als Zweitschutz zu verwenden, der andere Sicherheitsmaßnahmen ergänzt, aber sie nicht vollkommen ersetzt.