Biometrie

Was sind biometrische Daten?

Biometrische Daten sind physische oder verhaltensbezogene Merkmale, die für jede Person einzigartig sind und zur Authentifizierung einer Person verwendet werden, um Zugriff auf Anwendungen und andere Netzwerkressourcen zu erhalten. Beispiele für biometrische Identifikatoren sind Fingerabdrücke, Gesichtsmuster, Wischmuster, Tipprhythmen oder die Stimme. Die biometrische Authentifizierung ist eine beliebte Komponente der Multifaktor-Authentifizierung (MFA), da sie eine starke Authentifizierungsherausforderung mit einer reibungsarmen Benutzererfahrung kombiniert.

Laut Wikipedia werden "biometrische Identifikatoren oft in physiologische und verhaltensbezogene Merkmale unterteilt. Physiologische Merkmale beziehen sich auf die Form des Körpers. Beispiele hierfür sind u. a. Fingerabdruck, Handvenen, Gesichtserkennung, DNA, Handabdruck, Handgeometrie, Iriserkennung, Netzhaut und Geruch/Duft" Verhaltensbiometrie bezieht sich auf ein Verhaltensmuster, z. B. den Tipprhythmus einer Person oder die Art und Weise, wie sie ihr Telefon hält oder wischt.

Biometrische Daten werden zunehmend in mobilen Banking-Apps eingesetzt, um Kunden die Anmeldung zu erleichtern und eine weitere Sicherheitsebene zu schaffen. Biometrische Systeme sind nicht darauf angewiesen, dass biometrische Informationen, wie z. B. ein Bild Ihres Gesichts, ein Geheimnis sind. Im Gegensatz zu Passwörtern und PINs können biometrische Daten nicht vergessen oder weitergegeben werden und sie sind schwieriger zu kopieren oder zu stehlen.  

Wie funktioniert die Biometrie?

Ein biometrisches System besteht aus drei verschiedenen Komponenten. Es muss ein Sensor vorhanden sein, der Ihre biometrischen Informationen, wie z. B. einen Fingerabdruck, erfasst und liest. Wenn Sie Ihre biometrischen Daten für den Zugriff auf Ihr Mobiltelefon verwenden, muss ein Computer vorhanden sein, der die biometrischen Daten zum Vergleich sicher speichert. Die dritte Komponente ist die Software zur Verbindung der Computerhardware mit dem Sensor

Statische Biometrie und Verhaltensbiometrie: Was ist der Unterschied?

Statische Biometrie

Die statische Biometrie nutzt physische Merkmale, wie z. B. einen Fingerabdruck-Scan oder eine Gesichtserkennung, um Mobiltelefone zu entsperren, sich bei Bankkonten anzumelden oder Transaktionen durchzuführen.  

Hier sind die wichtigsten Arten von statischen Biometrien, die zur Überprüfung Ihrer Identität verwendet werden:

  • Gesichtserkennungssoftware analysiert den Abstand zwischen Ihren Augen und den Abstand zwischen Ihrem Kinn und Ihrer Nase, um ein verschlüsseltes digitales Modell Ihres Gesichts zu erstellen. Bei der Authentifizierung scannt die Gesichtserkennungssoftware Ihr Gesicht in Echtzeit und vergleicht es mit dem digitalen Modell, das sicher im System gespeichert ist. Gesichtserkennungssysteme mit "aktiver Lebendigkeitserkennung" erfordern, dass Sie Ihren Kopf bewegen, blinzeln oder andere Bewegungen ausführen. Die Lebendigkeitserkennung kann auch passiv sein und arbeitet im Hintergrund mit Algorithmen, um biometrische Proben auf Anzeichen zu analysieren, die darauf hindeuten, dass sie nicht von einer lebenden Person stammen, z. B. die Erkennung von Papier, digitalen Bildschirmen oder Ausschnitten in einer 3D-gedruckten Maske. Eine starke Liveness Detection stellt sicher, dass es sich um den tatsächlichen Kunden handelt, der dem System seine biometrische Probe präsentiert, und nicht um einen Angreifer, der versucht, sich als die Person auszugeben, was als Präsentationsangriff bezeichnet wird.
  • DieFingerabdruckerkennung ist eine der populärsten Formen, wenn nicht sogar die populärste, der biometrischen Authentifizierung, die auf mobilen Geräten verwendet wird. Es wurde ursprünglich durch Apples Touch ID populär gemacht. Ein Fingerabdruckleser analysiert die Rillen und Muster Ihres Fingerabdrucks und vergleicht sie bei der Authentifizierung mit dem gespeicherten digitalen Modell Ihres Fingers. Die Fingerabdruckerkennung kann sich verändern, wenn Ihr Finger nass oder schmutzig ist. Es ist eine Herausforderung für einen Angreifer, den Fingerabdruck einer Person zu replizieren, wenn ein Fingerabdruck-Erkennungssystem über eine starke Liveness-Erkennung verfügt, um Präsentationsangriffe zu verhindern, die ein 3D-Modell oder ein gefälschtes Bild verwenden könnten.
  • Iriserkennung: Es gibt zwei Methoden des Augenscannens zur Authentifizierung der Identität einer Person. Bei einem Netzhautscan leuchtet ein Licht kurz in das Auge, um das einzigartige Muster der Blutgefäße im Auge zu zeigen. Durch die Zuordnung dieses Musters kann das Augenerkennungsprogramm die Augen eines Benutzers mit einem Original vergleichen. Bei einem Iris-Scan werden die in der Iris befindlichen Farbringe abgetastet. Bei einigen Anwendungen kann die Augenerkennung so schnell und genau sein wie die Gesichtserkennung, aber es kann schwierig sein, bei Sonnenlicht, wenn sich die Pupillen zusammenziehen, eine Probe zum Vergleich zu erhalten. Die Iriserkennung kann auch weniger zuverlässig sein, wenn ein Kunde eine Brille trägt.  
  • DieStimmerkennung analysiert den einzigartigen Klang der Stimme einer Person, der durch die Länge des Vokaltrakts und die Form der Nase, des Mundes und des Kehlkopfs bestimmt wird. Die Analyse der Stimme einer Person ist eine starke Methode zur Authentifizierung, aber eine Erkältung, Bronchitis, andere Krankheiten und Hintergrundgeräusche können die Stimme verzerren und die Authentifizierung stören.
  • DieFingergeometrieerkennung nutzt die 3D-Geometrie des Fingers zur Identitätsprüfung

Insgesamt gelten statische Biometrien als sichere Methode zur Authentifizierung von Kunden und sollten eine Liveness Detection beinhalten, um gefälschte Fingerabdrücke oder Fotos bei einem Präsentationsangriff zu bekämpfen

Cover of Gartner guide

Gartner Market Guide for In-App Protection

Download the full Gartner Market Guide for In-App Protection to learn about the application security capabilities necessary to protect your mobile apps as well the major providers in the security space today.

Download Now

Verhaltensbiometrie

Die Verhaltensbiometrie analysiert Ihre einzigartigen Gewohnheiten und Bewegungen, um ein Verhaltensmuster zu erstellen, das erkannt werden kann, wenn Sie tippen oder wie Sie Ihr Telefon halten. Wie die statische Biometrie fügt die Verhaltensbiometrie eine weitere Sicherheitsebene hinzu, um Ihre Identität zu verifizieren. FinancialIT.net sagt: "Diese hochmoderne Technologie nutzt Bewegungssensoren und künstliche Intelligenz, um einzigartige Manierismen zu erkennen, wie zum Beispiel die Art und Weise, wie ein Telefon gehalten wird. Sie wird weithin als die letzte Grenze in Sachen Sicherheit angesehen."

Hier sind die wichtigsten Arten der Verhaltensbiometrie:

  • DerTastenanschlag-Rhythmus analysiert die Art und Geschwindigkeit Ihres Tippens, um markante Muster zu ermitteln. Auch die Stärke des Fingerdrucks beim Tippen kann in ein erkennbares Muster gebracht werden.
  • DieArt und Weise, wie Sie Ihr Telefon halten , analysiert den Winkel, in dem Sie das Telefon halten, und die dominante Hand, die Sie bei der Verwendung des Telefons verwenden. Zu den verhaltensbiometrischen Merkmalen gehört auch, wie Sie auf Ihrem Telefon wischen und mit welcher Hand.    
  • Ihr Gang, oder wie Sie gehen, ist auch ein Verhaltensmerkmal, das auf ein Muster untersucht werden kann. Darüber hinaus können auch Ihre üblichen Zeiten und Orte für Anmeldungen und Transaktionen in ein Verhaltensmuster eingeordnet werden.  

Verhaltensbiometrische Daten sind ein nahtloses Erlebnis für Kunden, aber eine Herausforderung für Betrüger, da jede Person ein spezifisches Profil ihrer Gewohnheiten und Bewegungen hat. Mit der Verhaltensbiometrie wird die Sitzung eines Benutzers kontinuierlich überwacht, so dass das System, wenn sie zu irgendeinem Zeitpunkt unterbrochen oder potenziell gekapert wird, dies erkennen und entsprechende Maßnahmen ergreifen kann, um Betrug zu verhindern, bevor er auftritt.

Wie Biometrie vor Finanzbetrug schützt

Biometrische Daten werden von Finanzinstituten für folgende Zwecke verwendet

  1. Zur digitalen Identitätsüberprüfung, wenn ein Kunde aus der Ferne ein neues Konto eröffnet
  2. Für die Kundenauthentifizierung (bei der Anmeldung oder zur kontinuierlichen Authentifizierung während der gesamten Banksitzung)
  3. Zur Transaktionsauthentifizierung (um sicherzustellen, dass der rechtmäßige Kontoinhaber tatsächlich die Person ist, die die Transaktion initiiert)

Die Verbraucher werden immer vertrauter mit biometrischen Merkmalen und viele entscheiden sich dafür, z. B. einen Fingerabdruck oder eine Gesichtserkennung als Mittel zur Authentifizierung und Identitätsüberprüfung bei ihrem Finanzinstitut zu verwenden. Biometrische Daten fügen eine weitere Sicherheitsebene hinzu und tragen dazu bei, das Vertrauen der Kunden in ihr Finanzinstitut zu erhöhen. Apples Touch ID, das 2013 eingeführt wurde, hat zum Aufstieg der Biometrie im Mobile Banking beigetragen, weil es Finanzinstituten eine gerätebasierte Technologie bietet, die sie zur Sicherung ihrer Mobile-Banking-Plattform nutzen können.  

In ähnlicher Weise ermöglicht Android Fingerprint ID dem Benutzer, seine Identität mit einem Fingerabdruck auf einigen Android-Geräten zu verifizieren. Laut Javelin verlangen die Verbraucher eine Auswahl an Authentifizierungsmöglichkeiten. Für mehr als ein Drittel der Nutzer sind die drei Authentifizierungsmethoden, die sie von ihren Finanzinstituten am stärksten unterstützt haben wollen, allesamt biometrische Modalitäten. Javelin stellt außerdem fest, dass man zwar typischerweise erwarten würde, dass sich die Verbraucher, die eine biometrische Auswahl wünschen, vor allem unter den jüngeren Kunden befinden würden, aber rund 40 % waren älter als 55 Jahre

Wie Biometrie eine starke Kundenauthentifizierung ermöglicht

Biometrie ist Teil eines Multi-Faktor-Authentifizierungsprozesses (MFA), bei dem mehrere Technologien verwendet werden können, um die Identität einer Person zu authentifizieren, wenn diese sich bei einer Bankensitzung anmeldet oder eine finanzielle Transaktion durchführt. Um eine Multi-Faktor-Authentifizierung (MFA) zu erreichen, müssen mindestens zwei verschiedene Faktoren der Authentifizierung verwendet werden. Zu den Authentifizierungsfaktoren gehören:

Etwas, das Sie kennen

Dies ist in der Regel ein Passwort, eine PIN, eine Passphrase oder Fragen mit den entsprechenden Antworten.  

Etwas, das Sie haben

Dies kann als Einmal-PIN sein, oder Ihr Smartphone mit einer Authenticator-App als Gerät, das im Hintergrund einen Einmal-Passcode generiert.

Etwas, das Sie sind

Das kann alles sein: Fingerabdrücke, Netzhautscans, Gesichtserkennung, Stimmerkennung oder das Verhalten eines Kunden (z. B. wie stark oder schnell er auf einem Bildschirm tippt oder wischt), das zur Verifizierung eines eindeutigen Kunden verwendet werden kann.

Folglich ist die Verwendung einer PIN mit Gesichtserkennung eine Multi-Faktor-Authentifizierung, da sie etwas kombiniert, das Sie wissen und etwas, das Sie sind, während die Verwendung einer PIN mit einem Kennwort nicht als Multi-Faktor-Authentifizierung angesehen werden würde, da es einfach zwei Dinge sind, die Sie wissen.

Wie Biometrie zum Schutz vor Finanzbetrug beiträgt

Der Einsatz von Biometrie als Teil einer starken Kundenauthentifizierung (SCA) oder MFA kann helfen, verschiedene Arten von Betrugsangriffen zu entschärfen. Wenn Betrüger digital in ein Bankkonto einbrechen, um die Kontrolle darüber zu übernehmen, verwenden sie oft Taktiken wie Phishing, um Menschen dazu zu bringen, versehentlich ihre Anmeldedaten preiszugeben. Die Folge sind Kontoübernahmen, die aufgrund der finanziellen Verluste und des damit verbundenen Aufwands eine der größten Bedrohungen für Finanzinstitute und deren Kunden darstellen. Biometrie kann helfen, Angreifer am Zugangspunkt (Login) zu stoppen, indem ein Fingerabdruck-Scan oder ein Gesichtsscan verlangt wird. Der Angreifer kann sich nicht erfolgreich authentifizieren und wird daran gehindert, in das Konto eines anderen Benutzers zu gelangen. Außerdem machen es robuste Liveness Detection und Spoof Detection den Angreifern noch schwerer. Der Angreifer ist nicht in der Lage, die biometrischen Daten eines legitimen Kunden zu imitieren und wird am Zugriff auf das Konto gehindert.  

Wie Biometrie hilft, Betrug bei der Kontoeröffnung aus der Ferne zu verhindern

Biometrie spielt auch eine Rolle bei der Verhinderung von Identitätsbetrug während des Prozesses der Fernkontoeröffnung. Dank COVID-19 vermeiden heute viele Verbraucher unnötige Besuche in der Bankfiliale. Auch wenn ein neuer Antragsteller einem Bankvertreter nicht persönlich gegenübersteht, muss die Bank dennoch überprüfen, ob der Fernantragsteller tatsächlich der rechtmäßige Inhaber eines Identitätsdokuments ist, wie z. B. eines Reisepasses oder Führerscheins. Dies ist wichtig im Kampf gegen Bewerbungsbetrug.    

Biometrische Daten sind Teil dieses Prozesses. Zum Beispiel wird der Gesichtsvergleich zur Identitätsüberprüfung verwendet, um sicherzustellen, dass der entfernte Antragsteller derjenige ist, der er vorgibt zu sein. Nachdem die Echtheit des Führerscheins, des Reisepasses oder eines anderen amtlichen Ausweises des Antragstellers überprüft wurde, wird dieser gebeten, ein Selfie mit seinem Mobilgerät zu machen. Wenn ein Selfie für die Gesichtserkennung verwendet wird, kann die Liveness Detection angewendet werden, um die echte Anwesenheit eines Menschen nachzuweisen.  

Es gibt zwei Arten der Liveness Detection, um zu erkennen, ob ein biometrisches Merkmal von einer realen Person stammt oder eine digitale oder hergestellte Darstellung ist. Die aktive Aktivitätserkennung erfordert, dass eine Person blinzelt oder den Kopf dreht. Die passive Aktivitätserkennung läuft im Hintergrund und verwendet Algorithmen, um Anzeichen für potenzielles Spoofing zu erkennen. Technologien für den Gesichtsvergleich verwenden fortschrittliche Algorithmen, um biometrische Daten aus den Merkmalen einer Person zu betrachten. Beispielsweise kann anhand der Position und Größe der Augen einer Person im Verhältnis zueinander festgestellt werden, ob das Selfie und der amtliche Ausweis von der gleichen Person stammen

Wie Biometrie das Kundenerlebnis verbessert

Der Einsatz von Biometrie macht die Interaktion von Kunden mit ihrem Finanzinstitut schneller und einfacher. Biometrische Daten sind ein sichereres Mittel zur Authentifizierung als Passwörter, die oft gestohlen oder vergessen werden. Biometrie kann das Vertrauen der Kunden in ihr Finanzinstitut erhöhen, da es für Betrüger viel schwieriger ist, mit einem gefälschten Fingerabdruck oder Selfie erfolgreich zu sein. Positive Erfahrungen mit Biometrie zur Identitätsüberprüfung bei der Kontoeröffnung aus der Ferne und zur Kundenauthentifizierung beim Login können auch die Loyalität und das Vertrauen der Kunden in ihr Finanzinstitut erhöhen.   

Es ist erwähnenswert, dass biometrische Modelle im Laufe der Zeit lernen können, so dass altersbedingte Veränderungen der Merkmale einer Person berücksichtigt werden und eine Übereinstimmung nicht ungültig machen. Wenn sich ein Benutzer regelmäßig authentifiziert, sind kleine Änderungen im Aussehen nicht signifikant genug, um die Übereinstimmung ungültig zu machen. Stattdessen wird das mathematische Modell einer Person aktualisiert, wenn Änderungen im Aussehen erkannt werden.

Javelin Scorecard book open
Analyst Report

Javelin | Mobile Biometrics Platform Scorecard

To help financial institutions evaluate mobile biometric solutions, Javelin ranked 12 vendors using the advisory firm's Functional, Innovative, and Tailored (FIT) model. Discover which vendors lead the pack in key areas like ease of integration, long-term value, and flexibility in adapting to business needs and use cases.

Download Now

Was Analysten über Biometrie sagen

Laut Gartner"kann und hängt die biometrische Authentifizierung nicht von der Geheimhaltung biometrischer Merkmale ab, sondern von der Schwierigkeit, die lebende Person, die das Merkmal einem Erfassungsgerät ("Sensor") präsentiert, zu imitieren - d.h. von einem Präsentationsangriff". Gartner fügt hinzu, dass dieser Punkt nicht weithin bekannt ist, was zu einigen weit verbreiteten Missverständnissen führt, die durch die begrenzte Erkennung von Präsentationsangriffen (PAD) in Consumer-Geräten und die Werbung über erfolgreiche Angriffe auf Apple Touch ID, Samsung Durchzugsensoren, Android Gesichtserkennung usw. verstärkt werden. Die Kundenvorteile der biometrischen Authentifizierung, so Gartner, haben in den letzten Jahren zu einem Anstieg der mobilen Banking-Anwendungen geführt.

Juniper Research hat geschätzt, dass Gesichtserkennungs-Hardware, wie Face ID auf aktuellen iPhones, die am schnellsten wachsende Form von biometrischer Smartphone-Hardware sein wird. Es wird erwartet, dass sie im Jahr 2024 über 800 Millionen erreichen wird, verglichen mit geschätzten 96 Millionen im Jahr 2019. Die neue Studie "Mobile Payment Authentication: Biometrics, Regulation & Forecasts 2019-2024" stellt jedoch fest, dass der Großteil der Smartphone-Gesichtserkennung softwarebasiert sein wird, wobei bis 2024 mehr als 1,3 Milliarden Geräte über diese Fähigkeit verfügen werden

MarketResearch.com stellt fest, dass die Bekämpfung von Bankbetrug in der digitalen Welt mehr narrensichere Technologien benötigt. "Biometrie ist eine mächtige Waffe im Kampf gegen die wachsende Bedrohung durch Finanzbetrug. Die Technologie steht daher im Rampenlicht, unterstützt durch Vorteile wie einfache, narrensichere Authentifizierung auf der Grundlage einzigartiger physischer Zeichen, die schwer zu replizieren oder zu duplizieren sind, d. h. Stimmerkennung, Iris-Scan, Fingerabdruck und Gesichtserkennung; Beseitigung der Notwendigkeit, sich Passwörter zu merken und Einmal-Passwörter (OTPs) zu verwalten; verbesserte Sicherheit, die gegen Cyber-Hacking-Strategien immun ist; konkurrenzloser Komfort; deutlich reduziertes Risiko von Identitätsdiebstahl; höhere Qualität der Benutzererfahrung; minimale bis gar keine Benutzerschnittstelle; Zeitersparnis und Verringerung des Arbeitsaufwands für die Authentifizierung im Back-Office, u. a." MarketResearch.com sagt, dass der globale Markt für Biometrie für Bank- und Finanzdienstleistungen bis 2025 voraussichtlich 10,8 Milliarden US-Dollar erreichen wird.

Javelin sagt, dass die lokale Speicherung biometrischer Templates auf dem Gerät einer Person die Risiken einer Datenkompromittierung reduziert, entweder während der Übertragung oder durch böswillige Akteure, die es auf einen zentralen Speicher biometrischer Daten abgesehen haben. "In Verbindung mit Authentifizierungsstandards, wie sie von der FIDO Alliance entwickelt wurden, ist es bei der lokalen biometrischen Authentifizierung nahezu unmöglich, Phishing zu betreiben oder abgefangene Daten zu missbrauchen", so Javelin. "Wenn eine böswillige Person in der Lage ist, ihre eigenen Merkmale erfolgreich in einen biometrischen Authentifikator einzutragen, kann sie selbst mit der ausgefeiltesten Authentifizierungsmethode Sicherheitsherausforderungen passieren. Daher bieten viele Anbieter zusätzliche, in ihre Plattform integrierte Tools zur Risikobewertung an, wie z. B. Device Fingerprinting und Geolocation. Andere Tools, wie das Scannen von Dokumenten, bieten eine natürliche Ergänzung zum biometrischen Scannen, das einen gewissen Vergleich zwischen der erfassten biometrischen Eingabe des Benutzers und dem Bild auf einem Identifikationsdokument ermöglicht."

Biometrie und Einhaltung von Vorschriften

Biometrie hilft Unternehmen dabei, die Anforderungen der zweiten Zahlungsdiensterichtlinie (PSD2) der Europäischen Union an die starke Kundenauthentifizierung (Strong Customer Authentication, SCA) zu erfüllen, die Vorschriften für elektronische Zahlungsdienste sind. Gemäß den SCA-Anforderungen muss die Authentifizierung auf zwei oder mehr der folgenden Faktoren beruhen: Wissen (z. B. Passwörter oder PINs), Besitz (z. B. Token oder mobile Geräte) oder Inhärenz (Biometrie).

Gemäß der EU-Datenschutzgrundverordnung (GDPR) ist die Zwei-Faktor-Authentifizierung für die Einhaltung der Vorschriften erforderlich. Das bedeutet, dass eine einfache Kombination aus Benutzernamen und Passwort nicht mehr genug Sicherheit für den Datenschutz bietet, da Passwörter leicht gestohlen, weitergegeben oder ausgenutzt werden können. Stattdessen wird die Zwei-Faktor-Authentifizierung (2FA) verwendet, um eine Person zu identifizieren, wenn zwei der drei möglichen Authentifizierungsfaktoren kombiniert werden, um den Zugriff auf eine Website oder Anwendung zu gewähren: etwas, das die Person weiß, etwas, das die Person hat, oder etwas, das die Person ist, was die Verwendung von biometrischen Merkmalen wie einem Fingerabdruck oder Gesichtsscan beinhaltet.

In den USA hat die größte staatliche Aufsichtsbehörde, das New York Department of Financial Services, eine Verordnung mit dem Titel Cybersecurity Requirements for Financial Services Companies erlassen. Sie verlangt den Einsatz einer Multi-Faktor-Authentifizierung, die auch Biometrie einschließt, "zum Schutz vor unberechtigtem Zugriff auf nicht-öffentliche Informationen oder Informationssysteme". Die nicht-öffentlichen Informationen sind die privaten Informationen der Person

Nehmen Sie Kontakt mit uns auf

Setzen Sie sich mit einem unserer Sicherheitsexperten in Verbindung, um mehr darüber zu erfahren, wie unsere Lösungen Ihnen bei Ihren digitalen Sicherheitsanforderungen helfen können