Biometrie: Genügt im Zahlungsverkehr Ihr Fingerabdruck?

Scans zur Gesichtserkennung oder für den Daumenabdruck werden immer häufiger genutzt. Ob diese Art der Authentifizierung auch für den Zahlungsverkehr ausreicht? [...]

Ob per Fingerabdruck oder Gesichserkennung. Biometrische Authentifizierung wird vermehrt auch im Zahlungsverkehr angewandt (c) pixabay.com

Sowohl Apple Pay als auch Google Pay unterstützen biometrische Technologien, und auch die Bank BNP Paribas arbeitet daran ihren Kunden die Authentifizierung von Kartenzahlungen mit biometrischen Verfahren zu ermöglichen. Zukünftig sollen Kunden der französischen Großbank Zahlungen über höhere Beträge mithilfe ihres Fingerabdrucks anstatt mit der PIN-Eingabe freigeben können.

Der globale Markt für biometrische Technologien wächst jährlich mit einer durchschnittlichen Rate von fast 20 Prozent und wird bis 2025 schätzungsweise auf 59,31 Mrd. USD ansteigen. Der Vorteil liegt auf der Hand: Das hektische Fummeln nach der Brieftasche oder das Zusammensuchen des losen Kleingelds in den Hosentaschen entfällt. Außerdem erschweren die Beständigkeit und Einzigartigkeit unserer Fingerabdrücke, Netzhäute und anderer biometrischer Merkmale – zumindest in der Theorie – betrügerische Transaktionen.

Doch je mehr Informationen Algorithmen über unsere Identität sammeln, desto mehr rücken Fragen zum in den Fokus.

Datenlecks, Hacks und andere Gefahren

Im Falle eines Cyberangriffs oder einer großen Datenpanne kann das Ändern des Passworts und anderer Anmeldedaten dazu beitragen, die Offenlegung vertraulicher Informationen zu begrenzen. Die Hacker hätten dann vielleicht dieses eine Mal Zugang zu den Konten gehabt, aber zukünftige Zugriffe lassen sich so verhindern.

Bei biometrischen Daten ist das jedoch nicht so einfach. Unsere Daumenabdrücke und Gesichter begleiten uns dauerhaft; wir können sie nicht einfach gegen eine neue Identität austauschen. Das Risiko eines Diebstahls oder Missbrauchs biometrischer Daten ist hoch – es ist nur eine Frage der Zeit, bis diesbezügliche Kriminalität mit der zunehmenden Nutzung steigt.

Alarmierende Beispiele in verschiedenen Ländern zeigen die Risiken auf: Aadhaar, Indiens zentrale Datenbank für biometrische Identifikatoren wie Fingerabdrücke, war in der Vergangenheit bereits von einer massiven Datenpanne betroffen. Ein ähnlicher Angriff hatte Nadra als Ziel, die zentrale Datenbank Pakistans, die ebenfalls biometrische Merkmale der Bürger erfasst. Datenbanken wie Aadhaar und Nadra enthalten jedoch keine Zahlungsinformationen, die speziell an biometrische Details gebunden sind – bis jetzt.

Während Datenschutzverletzungen jeglicher Art schwerwiegende Folgen für Einzelpersonen haben können, ist es weitaus verheerender, wenn biometrische Identifikationsmerkmale auch mit Zahlungsdaten verknüpft wurden. Wird die Handfläche mit einem biometrischen Gerät gescannt, validieren die Algorithmen im Wesentlichen die eindeutigen Identifizierungsmerkmale und gleichen sie mit den zuvor ausgefüllten Zahlungsdaten ab. Je größer diese Datenbanken werden, desto mehr geraten sie in den Fokus von Hackern und anderen Kriminellen, um daraus Profit zu schlagen.

Notwendigkeit von Interventionen durch den Gesetzgeber

Im Februar 2020 hat die EU mit einem Whitepaper weitreichende Regelungen rund um Gesichtserkennung und künstliche Intelligenz angestoßen. Das Ziel war, einen einheitlichen Markt für Daten in ganz Europa zu schaffen. In Verbindung mit der Datenschutz-Grundverordnung (DSGVO) ist es denkbar, dass Europa von Unternehmen verlangen könnte, sich an einheitliche Standards und Prozesse zu halten, wenn sie an biometrischen Zahlungsmöglichkeiten arbeiten. Das sind keine guten Nachrichten für Unternehmen wie Amazon oder Facebook, die voraussichtlich versuchen werden, die gesetzlichen Rahmenbedingungen zu beeinflussen, um eine für sie vorteilhafte Regelung zu erreichen.

Biometrische Daten sind hochsensibel. Wenn man nun bedenkt, dass große Tech-Unternehmen nicht immer ihr Bestes geben, um die Privatsphäre der Nutzer zu schützen, sollte man ihnen wirklich intime Details über die eigene Identität anvertrauen? Derzeit hat niemand außerhalb dieser Firmen eine klare Vorstellung von den Sicherheits- und Datenschutzprotokollen, die in deren Datenbankmanagement eingebettet sind. Aber wenn es eine Regelung gäbe, die klar und standardisiert festschreibt, wie Unternehmen das biometrische Zahlungsmanagement angehen müssen, könnte dies einen großen Beitrag zum Schutz vor Missbrauch leisten.

Schutz durch Technologie

„Untraceable biometrics“ können eine weitere Lösung sein. Dabei handelt es sich um Technologien, die eine sichere Verarbeitung biometrischer Informationen versprechen, ohne die Daten tatsächlich mit einer Person in Verbindung zu bringen. Dafür werden biometrische Daten, die eine Person übermittelt, in eine unabhängige Datenkette oder einen Schlüssel umgewandelt. So entsteht durch die biometrischen Daten ein Decoder zur eindeutigen Identitätserkennung.

Solche Technologien sind bereits in der Anwendung: NEXUS beispielsweise basiert auf einem biometrischen System, das beim Grenzübertritt zwischen Kanada und den Vereinigten Staaten zum Einsatz kommt. Allerdings sind diese Ansätze für Unternehmen aufgrund der komplexen Algorithmen und der benötigten Hardware meist unerschwinglich. Ohne eine entsprechende Gesetzgebung, die ihre Verwendung vorschreibt, ist davon auszugehen, dass kein großes Unternehmen einen Anreiz hat, „untraceable biometrics“ zu implementieren.

Der Gesetzgeber muss also seinen Teil dazu beitragen, wie es die EU bereits in Ihrem Whitepaper zu künstlicher Intelligenz und biometrischen Technologien angestoßen hat. Doch es bedarf nicht nur einer lokalen, sondern auch einer bundesweiten oder gar globalen Anstrengung, um die Sicherheit biometrischer Zahlungen zu gewährleisten.

Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.

Mehr Informationen

Als Verbraucher müssen wir erkennen, dass jede neue komfortable Technologie unweigerlich einen Kompromiss in Bezug auf die Privatsphäre darstellt. Biometrische Zahlungen sind verlockend, aber solange wir keine Gewissheit über deren Sicherheit haben, sollte diese Technologie nicht genutzt werden. Zudem sind Systeme, die eine sichere Verarbeitung biometrischer Informationen versprechen, aufgrund der komplexen Algorithmen und der benötigten Hardware für viele Unternehmen derzeit meist unerschwinglich. Und wem seine Anonymität und die Anonymität seiner Kunden wichtig ist, der setzt für den Bezahlvorgang ohnehin am besten auf Bargeld.

*Harold Li ist Vice President bei ExpressVPN und Teil des Senior Leadership Teams. Er arbeitet in den Bereichen Produkt Customer Experience, Business Development und Marketing. Als Datenschutz- und Sicherheitsexperte des Unternehmens arbeitet er auch eng mit Lobbyorganisationen wie der EFF, dem Center for Democracy & Technology, Fight for the Future, OpenMedia und dem Open Source Technology Improvement Fund zusammen. Li hat zuvor bei Uber gearbeitet und war als Berater für HP Enterprise, Qualcomm und Spotify tätig.


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*