2333579

Gesichtserkennung wie Face ID – kann sie Komfort, Sicherheit, Privacy leisten?

24.05.2018 | 11:00 Uhr |

Wer im Web nach biometrischen automatisierten Grenzkontrollen sucht, wird mittlerweile in 51 Ländern rund um die Welt fündig. Die große Mehrheit hat sich dabei für die Gesichtserkennung entschieden. Ist Gesichtserkennung das Wundermittel, mit dem flächendeckend Sicherheit für alle erzeugt werden kann und der geringe Verlust an Privatsphäre ein vernachlässigbarer Kollateralschaden ist?

Gesichtserkennung ist scheinbar überall: Am Berliner Südkreuz führt die Bundespolizei ein zumindest in der Presse und von Datenschutzaktivisten stark beachtetes Pilotprojekt durch. Auf diversen Einkaufsplattformen können Bürger einen Ersatz für ihr Haustürschloss kaufen, mit dem sie ihre Haus- oder Wohnungstür quasi auflächeln können.

Diverse Laptops erlauben die Anmeldung per Blick in die Webcam. Apple mutet den Fans seines neuesten iPhones zu, ein Gesichtserkennungs-System zumindest mitkaufen zu müssen.

Gleichzeitig schätzen Millionen Reisende die Bequemlichkeit der automatisierten Grenzkontrolle mit den deutschlandweit mittlerweile über 180 Kontrollspuren von Easypass an sieben deutschen Flughäfen, gar nicht zu reden von den inzwischen tausenden anderen E-Gates weltweit.

Wer im Web nach biometrischen automatisierten Grenzkontrollen sucht, wird mittlerweile in 51 Ländern rund um die Welt fündig: Ein Staat verwendet die Iris zur Identifikation der Einreisenden, zwölf Staaten benutzen Fingerabdrücke, die große Mehrheit aber hat sich für die Gesichtserkennung entschieden.

Sind das Vorboten von „1984“ und seinem „Big Brother is watching you“? Oder sind derartige Aussagen pure Übertreibung paranoider Spinner? Ist Gesichtserkennung das Wundermittel, mit dem flächendeckend Sicherheit für alle erzeugt werden kann und der geringe Verlust an Privatsphäre ein vernachlässigbarer Kollateralschaden ist? Oder sollte die Gesichtserkennung im Gegensatz dazu, zusammen mit jeglicher weiteren Biometrie-Technologie als Teufelszeug am besten verboten werden?

Wie fast immer im Leben, ist die Antwort ein „Es kommt darauf an.“ Eine Analyse des Sachverhaltes hilft dabei, eine realistische Bewertung vorzunehmen. Hier ein Versuch.

Zunächst ist es erforderlich, ein paar staubtrockene Begriffe zu klären.

Was sind biometrische Daten?

Die EU-Datenschutz-Grundverordnung (EU-DSGVO) definiert biometrische Daten als „mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen einer natürlichen Person, die die eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen“.

Ihre Erhebung, Speicherung und Verarbeitung wird im Gesetz eingehend geregelt. Der Umgang mit biometrischen Daten ist per Gesetz regelmäßig zu begründen. Was aber genau ist eine „Erhebung“ und was eine „Speicherung“?

Mit einem Fotoapparat werden regelmäßig Gesichter fotografiert. Gesichtsbilder sind biometrische Daten. Nahezu jede aktuelle Kamera integriert mittlerweile einen Gesichtsfinder – meist, um nur fröhliche Menschen statt verkniffene Gesichtszüge abzulichten. Um ein Gesicht zu finden, müssen Daten verarbeitet werden, die potenziell Gesichtsbilder und damit biometrische Daten enthalten. Nach der Aufnahme wird auf der Speicherkarte der Kamera ein Bild – und damit biometrische Daten – gespeichert.

In den meisten Fällen wird dieser Vorgang vollständig im Einflussbereich des Fotografen und (hoffentlich auch) des Fotografierten stattfinden und so implizit ein Einverständnis vorliegen, jedenfalls wenn der Fotografierte bewusst und länger in die Kamera schaut. Wie ist es aber, wenn jemand im Copyshop ein Klassenfoto auf den Kopierer legt? Für die Herstellung einer Kopie speichert die Festplatte Gesichtsbilder aller Schulkameraden.

Grundsätzlich ist es sehr gut, dass der Gesetzgeber europaweit einheitliche Regeln getroffen hat. Im Laufe der Zeit wird sich ein harmonisiertes Verständnis herausbilden, was erlaubt ist und was nicht. Übrigens wird die Datenschutz-Grundverordnung weit über Europa hinaus wahrgenommen und beeinflusst das Geschehen auch außerhalb unserer Staatengemeinschaft.

Was ist Biometrie?

Die Euronorm EN 17054 definiert Biometrie als „automatisierte Erkennung von Individuen anhand ihrer verhaltensbezogenen und biologischen Charakteristika, von welchen sich zur Unterscheidung verwendbare, reproduzierbare biometrische Merkmale ableiten lassen, die zum Zwecke der biometrischen Erkennung einsetzbar sind“.

Im Falle der Gesichtserkennung ist das Charakteristikum das Gesicht. Mittels geeigneter Sensorik werden von diesem Gesicht Merkmale erfasst. Das können zum Beispiel die Koordinaten von markanten Punkten, Linien oder anderen messbaren Objekten im Gesicht sein.

Wichtig ist erstens, dass diese über einen geeignet langen Zeitraum einigermaßen stabil gemessen werden können, sie zweitens überhaupt mit vertretbarem Aufwand gemessen werden können, dass drittens alle Menschen diese Merkmale besitzen und viertens hoffentlich alle in verschiedenen Ausprägungen.

Was muss Gesichtserkennung leisten?

Ein System zur Gesichtserkennung muss sich für jede Person, die es in der Folge wiedererkennen soll, die erfassten Merkmale irgendwie und irgendwo merken. Diese scheinbar lapidaren Wörter „wiedererkennen“, „erfassen“, „irgendwie“ und „irgendwo“ sind wichtig. Warum?

Fangen wir mit dem „Wiedererkennen“ an. Man kann aus dem Gesichtsbild eines Menschen viel ableiten: Alter, Geschlecht, ethnische Herkunft, Stimmung, Body-Mass-Index.

„Erfassen“, das nächste Wort. Man muss die Merkmale erfassen können, bevor man sie auswertet. Das ist bei Gesichtern nicht immer einfach. Der meistgenutzte Bereich im Gesicht, aus dem Merkmale erfasst werden, ist die Augenregion. Verbirgt sich diese hinter einer großen Sonnenbrille, ist die Erfassung problematisch. Auch mit Mütze und Schal bleibt vom Gesicht nicht mehr viel sichtbar. Jetzt aber Sonnenbrillen und Mützen verbieten zu wollen, damit die Überwachungskameras immer geeignete Gesichtsbilder liefern, erscheint weltfremd. Mein Vertrauen in unsere Demokratie lässt mich zuversichtlich sein, dass so etwas nicht vom Gesetzgeber beschlossen wird.

„Irgendwie merken“, unser lapidarer Ausdruck Nummer drei. Die Qualität der gemerkten Merkmale ist für die erreichbare Leistungsfähigkeit der technischen Realisierung eines Gesichtserkennungs-Verfahrens extrem wichtig. Wie überall in datenverarbeitenden Systemen, so gilt auch hier: „Garbage in, garbage out.“ Mit anderen Worten: Habe ich mir schlechtes Referenzmaterial gemerkt, werden die Algorithmen häufiger Fehler machen. Was das für Fehler sind, wird später in diesem Artikel thematisiert. Es hat einen Grund, warum die Anforderungen an Passbilder streng sind und zukünftig eher noch strenger werden.

An dieser Stelle mein Appell an die Leser: Bitte geben Sie in Ihrem eigenen Interesse ordentliche Passbilder ab, wenn Sie einen Pass oder Personalausweis beantragen. Urlaubsfotos aus früher Jugend erhöhen Ihr Risiko, am Grenzübergang abgewiesen zu werden.

Bleibt noch „irgendwo merken“. In einer zentralen oder verteilten Datenbank oder beim Merkmals-Träger, sprich Bürger? Hat der Merkmals-Träger die tatsächliche Verfügungsgewalt über seine Daten, kann niemand anderes ungefragt diese Daten verwenden. Jedenfalls wenn das benutzte System bestimmungsgemäß implementiert ist. Er ist aber auch selber dafür verantwortlich, auf seine Daten aufzupassen und sie nicht zu verlieren.

Authentifikations-Verfahren in Unternehmen

Im Unternehmensbereich verbreitete Authentifikations-Verfahren basieren oft auf mehreren Faktoren und kombinieren Besitz mit Wissen oder Biometrie. Ein Beispiel dafür sind kombinierte Security-Token, Smartcards, die über einen integrierten Fingerabdruck-Sensor und ein eigenes PIN-Pad verfügen. Abhängig von der situativ benötigten Funktionsstärke kann die Vorlage der Karte oder die zusätzliche Eingabe einer PIN beziehungsweise die Präsentation des passenden Fingerabdrucks erforderlich sein.

Merkmals-Erfassung und Merkmals-Vergleich werden auf der Karte durchgeführt (sensor on card, comparison on card). Das Token enthält verschlüsselte Zugangsinformationen, zum Beispiel Zertifikate, die erst nach erfolgreichem Vergleich mit den Referenzdaten freigegeben werden. Biometrische Daten werden ausschließlich auf der Karte gespeichert und verlassen diese niemals. Damit wird konsequent Privacy by Design umgesetzt.

In der Zukunft werden auch Lösungen verfügbar sein, die anstelle des Fingerabdrucks andere biometrische Charakteristika, zum Beispiel das Gesicht, die Iriden, Sprache oder Venen verwenden.

Designt man ein biometrisches System mit einem Speichertoken im Besitz des Benutzers, vergibt man sich allerdings einen ziemlich großen Bequemlichkeitsvorteil: Hat ein Erkennungssystem Zugang zu meinem Gesichtsdatensatz, brauche ich für eine erfolgreiche Erkennung nur mein Gesicht dabeizuhaben – was in der Regel einfach ist.

Diese sogenannte Identifikation funktioniert allerdings bei Gesichtern (zumindest derzeit) nicht aus beliebig großen Personenmengen. Pressebilder von Personen in China, die beim Überqueren einer roten Ampel zur Abschreckung gleich mit Namen und Adresse auf einem nahen Werbe-Bildschirm eingeblendet werden, lassen jedoch vermuten, dass diese Aussage nicht mehr allzu lange zutreffen wird.

Was kann Gesichtserkennung leisten?

Komfort, Sicherheit, Privacy. Diese drei Konzepte aus dem Titel sollen nach der Begriffsklärung nun betrachtet werden.

Komfort : Für den Nutzer kann biometrische Authentifikation, gutes Design vorausgesetzt, ein unglaublich bequemes Werkzeug sein. Etwa wenn sprichwörtlich „augenblicklich“ das Smartphone entsperrt wird, die Anmeldung am Laptop erfolgt oder die Haustür aufgeht. Es wird eine Menge Anwendungen geben, die geeignet sind, einen Benutzer am Gesicht zu erkennen. Da die Algorithmen immer besser und die Rechenleistung immer billiger sowie Kameras oder andere geeignete Sensoren immer weiter verbreitet sein werden, bekommt man ein bequemes Authentifikationsverfahren fast geschenkt.

Sicherheit : Hier hat die Gesichtserkennung wie jeder andere Zugriffs-Kontroll-Mechanismus Grenzen. Schlüssel kann man verlieren, sie können gestohlen werden oder zerbrechen, das gilt sinngemäß für alle besitzbasierten Verfahren. Und ja, man kann sichere Passwörter verwenden, die man irgendwann wieder vergisst, wenn man sie selten benutzt. Jedes Verfahren passt an der einen Stelle gut, an der anderen weniger. So auch die Biometrie und damit die Gesichtserkennung.

Welche Bedrohungsszenarien existieren?

Um ein Gesichtserkennungs-System zu überwinden, muss man ihm ein sogenanntes Artefakt präsentieren, etwa eine Maske oder ein ausgedrucktes Foto, welches als erlaubtes Charakteristikum akzeptiert wird und von dem die verwendeten Merkmale erfasst werden können. Oder man bringt den echten Merkmals-Träger unter Ausnutzung von Zwang oder Hilflosigkeit zur Präsentation.

Beide Szenarien können ziemlich schnell und gut abgewehrt werden. Immerhin können Gesichtserkennungs-Algorithmen schon heute Stimmungen erkennen. Wenn durch die immer größere Verbreitung von Authentifikation per Gesichtserkennung ein Bedarf entsteht, wird es nicht lange dauern, bis Verfahren vorliegen, die Zwang, Schlaf oder Ohnmacht ausreichend gut erkennen. Schlaf ist übrigens schon heute nicht so kompliziert festzustellen: Die meisten Algorithmen möchten die Augen sehen.

Das Prinzip der Gesichtserkennung
Vergrößern Das Prinzip der Gesichtserkennung
© Bundesdruckerei

Reden wir über den Schutz vor Artefakten. Presentation Attack Detection (PAD) ist aktuell en vogue. An fast jeder Uni wird an diesem Thema gearbeitet. Es gibt schon recht gute Lösungen zur Abwehr vieler Arten von Angriffen, gerade für die Gesichtserkennung. Ob diese immer implementiert sind oder werden sollten, hängt vom Ergebnis der hoffentlich durchgeführten Bedrohungsanalyse ab.

Präsentiert ein Angreifer irgendein zweidimensionales Objekt, so lässt sich das mit jeglicher 3D-Technologie erkennen. Dabei muss man nicht übermäßig tief in die Trickkiste der Elektronik greifen. Zwei Kameras für stereoskopisches Sehen, ein Projektor für strukturiertes Licht oder eine sogenannte Time-of-flight-Kamera zur Distanzmessung liefern hier gute Ergebnisse.

Hält ein Angreifer ein Tablet oder ein Farbfoto vor den Sensor des Biometrie-Systems, liefert eine dort integrierte Nah-Infrarot-Kamera kein Ergebnis. Denn viele Pigmente in Drucken und Fotos sind außerhalb des sichtbaren Spektrums „unsichtbar“. Tablets sind dazu gedacht, von Menschen betrachtet zu werden. LED-Displays decken schon so nicht das ganze für den Menschen sichtbare Spektrum ab, geschweige denn Bereiche außerhalb desselben, wie zum Beispiel Nah-Infrarot (NIR). Zudem gilt: NIR können sogar die billigen Silizium-Sensoren „sehen“, normale Kameras haben in der Regel sogar einen Sperrfilter, damit sie das nicht tun. Eine Kamera, die nur NIR erfasst, muss damit nicht kostspieliger sein als eine gewöhnliche Webcam.

Generell unterscheiden sich viele mögliche Artefakte in ihrer spektralen Reaktion außerhalb des sichtbaren Lichtes von der menschlichen Haut. NIR ist nur ein Beispiel dafür. Außerdem zwinkern ausgedruckte Porträts nie, bewegen nicht die Augen und verziehen auch nicht das Gesicht – Puppen und Büsten übrigens auch nicht.

Bleiben dreidimensionale Masken als weiteres Artefakt. Wenn man darauf achtet, die richtigen Pigmente auszuwählen, bekommt man nicht nur im Weißlicht, sondern auch im NIR die richtige „Farbe“ hin. Augenbrauen und Lippen werden dabei von Angreifern oft vergessen. Eine Maske, mit der man nicht absolut nach einer missglückten Botox-Behandlung aussieht, muss ziemlich dünn sein. Damit eignet sie sich vorzugsweise für einen Angreifer, der eine ähnliche Gesichtsstruktur wie der Angegriffene hat. Es kann also nicht jeder Angreifer jede Zielperson angreifen.

Aber auch gegen Masken kann man etwas tun: Die Maske wird nahezu zwingend Augen- und Nasenlöcher haben, wahrscheinlich auch ein Mundloch – das sähe sonst komisch aus und könnte per Bildverarbeitung ganz bestimmt detektiert werden. Um diese Löcher herum gibt es einen Absatz, an dem sich Material, Textur und Temperatur desselben ändern. Sucht man danach, zeigt eine Wärmebildkamera beim Ein- und Ausatmen sehr starke Veränderungen um die Nasenlöcher, es sei denn, der Angreifer befindet sich in einer Umgebung mit Körpertemperatur.

Also: Man kann eine ganze Menge machen, um Angriffe zu entdecken. Ob das in einem konkreten Fall notwendig ist, ergibt die Bedrohungsanalyse. Wie bei jeder Technologie, die in einem Sicherheitskontext verwendet werden soll, ist eine Bedrohungsanalyse ratsam. In dieser wird man die vorhandenen Risiken benennen und bewerten und gegen die Kosten von möglichen Lösungen zur Behandlung dieser Risiken abwägen. Für jeden Angriff braucht es einen Angriffspunkt, einen fähigen Angreifer und einen Nutzen für diesen.

Am Ende ist das Mobiltelefon womöglich nicht der richtige Aufbewahrungsort für streng geheime Daten. Aber die Gesichtserkennung an der Haustür ist wahrscheinlich eine gar nicht so schlechte Idee, zumindest tagsüber und wenn man nur kurz das Haus verlässt: Sich nie mehr beim Rausbringen des Mülleimers aussperren zu können, erscheint mir ein verlockender Vorteil.

Was unterscheidet gute von schlechten Merkmals-Sätzen?

Alle gerade besprochenen Sicherheitseigenschaften haben übrigens nicht viel mit der Fähigkeit zu tun, Menschen anhand ihrer Gesichter auseinanderhalten zu können, also der eigentlichen Biometrie. Wann immer ein Gesichtserkennungs-System zu mehr als nur zum Spaß eingesetzt wird, ist in der Regel eine Authentifikation einer Person durchzuführen. Dabei muss die Frage beantwortet werden, ob ein zu einer behaupteten Identität hinterlegter Merkmals-Satz „gut genug“ zu den Daten passt, die die vor dem Sensor befindliche Person gerade eben abgeliefert hat.

Die jeweils aktuell abgelieferten Daten werden immer nur ungefähr mit den hinterlegten Referenzdaten übereinstimmen. Menschen ändern sich: im Laufe des Lebens, selbst im Laufe des Tages. Wer übermüdet in den Spiegel schaut, kennt das. Der verwendete Algorithmus muss entscheiden, ob diese zwei Datensätze ähnlich genug sind, um sie derselben Person zurechnen zu können.

Bei dieser Authentifikation gibt es vier mögliche Ergebnisse. Der Algorithmus kann erstens richtig entscheiden, dass beide Datensätze übereinstimmen. Oder zweitens richtig entscheiden, dass dies nicht so ist. Beide Fälle wird der berechtigte Nutzer gar nicht merken. Es kann aber drittens sein, dass eine Person fälschlicherweise als nicht ähnlich genug zu ihrem hinterlegten Datensatz bewertet wird. Das ist dann eine sogenannte falsche Nicht-Übereinstimmung. Oft kann man diesen Fehler durch einen wiederholten Versuch korrigieren, aber unbequem und manchmal auch peinlich ist er wohl immer.

Der unter der Annahme der Verwendung des biometrischen Verfahrens als Sicherheitskomponente schlimmste Fehler ist es, wenn viertens eine falsche Person als ähnlich genug zu den hinterlegten Daten eingestuft wird. Dann liegt eine „falsche Übereinstimmung“ vor. Das ist häufig ein sicherheitskritischer Fehler.

Die beiden letztgenannten Fehler hängen übrigens zusammen: Leider nimmt der Anteil der Falsch-Übereinstimmungen nur dann ab, wenn gleichzeitig der Anteil der Falsch-Nicht-Übereinstimmungen zunimmt.

Fehlerfreiheit gibt es nicht, zumindest nicht mit der heutigen Gesichtserkennungs-Technologie. Die Biometrie-Experten sind sich weitgehend einig, dass Fehlerraten mit der sogenannten Dreißiger-Regel berechnet werden können (ISO/IEC 19795-1, aktuell unter Revision). Nach dieser kann man nach 30 beobachteten Fehlern mit 90-prozentiger Sicherheit sagen, dass die reale Fehlerrate im Bereich von plus/minus 30 Prozent um den beobachteten Fehler liegt – sofern die Versuche unabhängig voneinander waren.

Ein Beispiel: Ein Hersteller behauptet für sein System einen Anteil von einem Prozent Falsch-Nicht-Übereinstimmungen und einen Anteil von 0,1 Prozent Falsch-Übereinstimmungen.

Um das nachzuweisen, muss man folglich 3000 Versuche durchführen, bei denen man Paare von Datensätzen vergleicht, von denen man jeweils weiß, dass sie zu den gleichen Personen gehören. Zudem müssen 30000 Vergleiche von Paaren von Merkmals-Sätzen verschiedener Personen durchgeführt werden – und dabei dürfen jeweils höchstens 30 Fehler auftreten. Damit diese Versuche wirklich unabhängig sind, benötigt man also 60000 Testpersonen!

Selbst wenn man behauptet, jede Person kann unter Wahrung der Unabhängigkeit der Versuche mehrfach mit jeder anderen verglichen werden, braucht man für 30000 Vergleiche mindestens 246 Tester. Ein gehöriger Aufwand. Dieser steigt weiter an, weil die Daten in einer anwendungsnahen Umgebung erhoben werden sollten, also insbesondere nicht im Labor. Das ist wahrscheinlich der Grund, warum seriöse Einschätzungen von Fehlerraten biometrischer Systeme eher rar sind. Die einfache Rechenübung, wie viele Tester man braucht, um 0,0001 Prozent, also 10-6 Falsch-Übereinstimmungen nachzuweisen, sei dem Leser überlassen.

Nun könnte man sagen, eine vierstellige PIN hat doch aber eine Falsch-Übereinstimmungsrate von 1 zu 10000! Ist das nicht viel besser als jedes biometrische System, das wie im obigen Beispiel nur 0,1 Prozent (also 1:1000) schafft?

Dieser Gedanke trägt nicht. Denn: Wie lange braucht man, um 10000 PINs zu generieren? Sekundenbruchteile. Wie lange braucht man hingegen, um 1000 verschiedene Gesichter darzustellen? Und zwar so verschieden, dass man vermuten kann, jedem nur möglichen Gesicht ähnlich genug zu sein? Genau. Man sollte nicht Äpfel mit Birnen vergleichen, sondern immer eine Bedrohungsanalyse machen.

Datenschutz und Sicherheit: Ein Widerspruch?

Bleibt noch die Privacy. Datenschutz ist mit Recht ein wichtiges Thema. Die seit Jahrzehnten verankerten und akzeptierten Prinzipien der Transparenz, Datensparsamkeit, Zweckbindung und Angemessenheit sind heute noch wichtiger geworden. Kann man Gesichtserkennung so verwenden, dass sie diese Prinzipien unterstützt? Einfache Antwort: Ja, das geht. Es gibt beispielsweise keinen Zwang, Bilder oder extrahierte Merkmale länger zu speichern, als sie benötigt werden. Wird eine Anwendung so designt, dass nur die beabsichtigte Nutzung der biometrischen Daten möglich ist, kann Missbrauch erschwert werden.

Auch hier ein Beispiel: Wenn ein Einzelhändler seinen Kunden passend zu deren Alter und Geschlecht personalisierte Werbung über einen Bildschirm anbieten will, ist die Verwendung der Daten „Alter“ und „Geschlecht“ nicht notwendig verwerflich. Insbesondere dann nicht, wenn keinerlei Verknüpfung mit anderen Daten erfolgt. Ist die Anwendung so konzipiert, dass sie die zwischendurch aus der Kamera kommenden Bilder sofort nach der Bestimmung von Alter und Geschlecht verwirft, können auch keine anderen Daten gewonnen werden.

Zumindest bis man darauf vertrauen kann, dass die Softwarehersteller ihre Systeme tatsächlich spezifikationsgetreu konzipiert haben, sind die Dienste unabhängiger Prüfer hilfreich. Wenn man von Anfang an daran denkt, datenschutzgerechte Funktionalität zu entwickeln („Privacy by Design“), muss das nicht mal teurer werden. Nachrüsten wird schwieriger und kostet mehr Geld.

Nur weil viele Anbieter bei der Spezifikation ihrer Systeme nicht an solche Themen gedacht haben, ist es nicht unmöglich. In der EU gibt es inzwischen sehr viele Forschungen und Fördergelder zu „Privacy by Design“. Sobald die ersten nach diesem Prinzip entwickelten Systeme erhältlich sind, können die Anwender entscheiden, wie wichtig ihnen der Umgang mit ihren Daten ist. Sind datenschutz-freundliche Systeme bei den ersten großen Kunden installiert, steigt der Druck auf deren Konkurrenten, mitzuziehen.

Dazu wieder ein Beispiel: Bei einer bestimmten Dienstleistung muss sichergestellt werden, dass diese immer von derselben Person in Anspruch genommen wird. Das gilt etwa für eine personengebundene Monatskarte im Öffentlichen Nahverkehr. Dabei ist es für den Busfahrer nicht wichtig, welche Person einsteigt. Wichtig ist nur, dass es die ist, für die die Fahrkarte ausgestellt wurde. Das kann Gesichtserkennung komfortabel leisten. Beim Kauf oder bei der erstmaligen Benutzung der Monatskarte würde ein Gesichtsbild erfasst und aus diesem ein Merkmals-Vektor für ein passendes Vergleichsverfahren extrahiert und gespeichert. Dieser Vektor ist so beschaffen, dass mit ihm eine genaue Profilbildung von Benutzern ohne weitere Daten schwer möglich ist.

Das geht, wenn ein ausreichend hoher Anteil der Bevölkerung zu diesem Merkmals-Vektor „passen“ würde. Damit könnten dann zwar theoretisch ziemlich viele Personen diese Monatskarte benutzen – welche das sind, ist jedoch nicht vorher bestimmbar. Eine beliebige Weitergabe der Karte funktioniert also nicht.

In einer Bedrohungsanalyse findet der Anbieter heraus, wie „gut“ die biometrische Komponente arbeiten muss. „Schwächere“ Merkmals-Vektoren benötigen weniger Platz, „schwächere“ Vergleichsverfahren weniger Rechenleistung. Ordentlicher Datenschutz kann also auch noch günstiger sein.

Fazit

Heutige Technologie ermöglicht leistungsfähige Gesichtserkennungs-Systeme, die für viele Anwendungen ein passendes Sicherheitsniveau erlauben und dabei datenschutzfreundlich implementiert werden können. Dass letzteres auch geschieht, sollte der mündige Verbraucher von seinen Technologie-Lieferanten einfordern. Wenn es genügend Kunden fordern, wird die Industrie liefern.

Womöglich gilt das auch für die Politik. In Brüssel hat man zumindest erkannt, dass „Privacy by Design“ keine leere Sprachhülse ist. Die EU-Datenschutz-Grundverordnung wird hoffentlich dabei helfen, das Recht auf Datenhoheit zu stärken. An der Technologie selbst wird es jedenfalls nicht liegen. Daran, wie sie verwendet wird, wirken wir alle mit.

Macwelt Marktplatz

0 Kommentare zu diesem Artikel
2333579