Biometrie bietet den Komfort einer einfachen Authentifikation. Diese zeichnet sich dadurch aus, dass biometrische Charakteristika nicht vergessen oder ohne Weiteres verloren werden können, wie dies beispielsweise bei PINs oder Passwörtern der Fall ist. Deshalb findet Biometrie als Authentifikationsfaktor immer häufiger Anwendung. Ein prominentes Beispiel hierfür ist das Smartphone, welches viele technische Merkmale, wie Konnektivität zu internen und externen Netzwerken, Speicherung von sensiblen Daten und vielfältiger Sensorik vereint. Biometrie ist hier eine Möglichkeit zur Verifikation oder Authentifikation gegenüber offline und online Diensten. Zu nennen sind aktuell die biometrischen Modalitäten Finger und Gesicht, die mit der in Smartphones integrierten Hard- und Software verwendet werden. Durch die fortschreitende Digitalisierung verschwimmt zunehmend die strikte Trennung zwischen privater Hardware und hoheitlicher Anwendung. Um Identitätsmissbräuche zu erschweren und ein Vertrauensniveau in einer biometrischen Verifikation oder Authentifikation zu erzeugen, sind Definitionen für biometrische Performanzwerte, wie auch eine Präsentationsangriffsdetektion (engl. Presentation Attack Detection PAD) notwendig. Denn im Gegensatz zu Passwörtern und Authentisierungstoken ist die Anzahl an biometrischen Instanzen begrenzt und sie lassen sich, wenn einmal veröffentlicht, nicht beliebig häufig ändern oder löschen.

Die Technische Richtlinie "Technical Guideline for Biometric Authentication Components in Devices for Authentication” (BSI TR-03166) macht Vorgaben und gibt Empfehlungen bezüglich Biometrie als einen Authentifikationsfaktor neben Wissen und Besitz. Die entsprechenden Performanzanforderungen und die Forderung nach PAD-Funktionalitäten sind angelehnt an Anforderungen aus der eIDAS-Verordnung. Zukünftige Anwendungsszenarien können es erforderlich machen, dass eine biometrische Verifikation oder Authentifikation einem dem Anwendungsszenario angemessenen Vertrauensniveau entspricht. Das erforderliche Vertrauensniveau in die Authentifikation wird durch den Service oder Dienst selbst bestimmt. Exemplarisch sind im Anhang der Technischen Richtlinie Verwendungsszenarien am Beispiel eines Smartphones skizziert.

Alle Dokumente sind ausschließlich in englischer Sprache verfügbar.

Kommentare und Fragen zur Technischen Richtlinie können an biometrie@bsi.bund.de übermittelt werden.