Biometrische Log-ins mit der Blockchain sichern
Biometrie in der Blockchain
Als wichtigster Hoffnungsträger der fälschungssicheren Authentifizierung gilt mittlerweile die Blockchain-Technologie, kurz DLT für Distributed Ledger Technology. Diese Technik nutzt fortgeschrittene Kryptografie und eine verteilte Datenbank, um eine lückenlose Nachverfolgung von Ereignissen, autarken Vertragsvollzug durch Software und eine Vielzahl anderer praktischer Anwendungen in diversen Bereichen der Wirtschaft zu ermöglichen.
Die verteilte Architektur der Blockchain hat zahlreiche Vorteile, nicht zuletzt im Hinblick auf die Gewährleistung der Datenintegrität. Der Ansatz führt zur Entstehung einer hohen Anzahl gleichwertiger Replikas des DLT-Protokolls, während verteilte, autarke Software die Gültigkeit der Sicherheitskopien anhand kryptografischer Prüfsummen kontinuierlich überprüft. Vor allem der Verzicht auf eine zentrale Vermittlungsstelle zugunsten eines Peer-to-Peer-Netzwerks verhindert, dass es an einem gemeinsamen Punkt zu einem Sicherheitsproblem kommt.
Ein häufig propagiertes vermeintliches Patentrezept für eine blockchainbasierte Authentifizierung folgt einem einfachen Gedankengang: jeden Mitarbeiter biometrisch erfassen und an die Blockchain anketten – Problem gelöst. Doch ganz so einfach ist es nicht, denn bei diesem Ansatz stossen zwei gravierende Probleme aufeinander: Ein Sicherheitsvorfall hat bei gespeicherten biometrischen Authentifizierungsmerkmalen schwere datenschutzrechtliche Konsequenzen, etwa durch den Zugriff auf den Personalausweis. Die Unveränderlichkeit der Datenblöcke in einer Blockchain erschwert zudem die Geheimhaltung schutzwürdiger Informationen. Angesichts steigender Rechenleistung ist in Zukunft nicht gewährleistet, dass aktuelle Verschlüsselungs-Algorithmen nicht geknackt werden.
Sensible Informationen stehen auf dem Spiel
Cybersicherheits-Experten wie Gunnar Porada, Geschäftsführer der IT-Sicherheitsberatung innoSec, warnen vor dem zu sorglosen Einsatz biometrischer Authentifizierung. Sollten Daten der Körper- oder Verhaltensbiometrie in falsche Hände geraten, könnten sich Cyberkriminelle die Identität des Betroffenen erschleichen, erläutert Porada. Selbst Dermalog, ein Unternehmen der Bundesdruckerei und unter anderem Hersteller der Fingerabdruckscanner für Behörden, musste das Missbrauchspotenzial dieser Daten einräumen.
Beim Verlust von biometrischen Daten bestehen für den Betroffenen keinerlei Möglichkeiten der Schadensbegrenzung. Denn anders als ein Zertifikat, ein Schlüssel oder ein Token-Generator lassen sich körpereigene Merkmale nicht einfach austauschen. Das Risiko – vor allem für die Privatsphäre der Mitarbeiter, aber auch für jeden Arbeitgeber, der diese Daten künftig nutzen wollte – ist gravierend.
Die Unveränderlichkeit der Blockchain stellt ein weiteres Problem dar. Denn bereits beglaubigte Datenblöcke können nur gelesen, aber nicht manipuliert werden. So steht und fällt die Geheimhaltung der Daten, die innerhalb einer Blockchain «gesichert» sind, letztlich mit der Widerstandsfähigkeit der eingesetzten Verschlüsselung – und diese nimmt mit der Zeit aufgrund der steigenden Rechenleistung prinzipiell immer ab. So verwandelt sich die Blockchain im Endeffekt zu einem Gefahrenpunkt: Der Bruch der Verschlüsselung an einem beliebigen Netzwerkknoten führt zur Enthüllung sensibler Authentifizierungsdaten, womöglich samt Biometrik. Die verteilte Architektur der Blockchain kann also zwar die Integrität der Daten gewährleisten, nicht jedoch deren Geheimhaltung.
In einem typischen Anwendungsszenario der Blockchain dient diese Technologie ja auch nicht der Geheimhaltung von Informationen, sondern der Konsensbildung: Viele voneinander unabhängige Netzwerkteilnehmer stimmen über die Gültigkeit zuvor abgeschlossener Transaktionen ab oder bezeugen sich gegenseitig relevante Ereignisse. Dennoch erhoffen sich Sicherheitsexperten von der Blockchain unbestreitbare Vorteile. Die verteilte Datenspeicherung soll selbstheilende, praktisch unzerstörbare Ereignisprotokolle ermöglichen und dank automatischer Audits und fortgeschrittener Forensik viele Arten von Cybersicherheits-Attacken im Keim ersticken.