1. Was ist Biometrie?

Biometrie ist die Wissenschaft der Vermessung von Lebewesen. Biometrische Informationen sind also jegliche Art von Messdaten über Charakteristika von zum Beispiel Menschen. Dazu können die Form des Kopfes, die Fingerabdrücke, die Körpertemperatur oder die Beschaffenheit des Auges zählen.

2. Wann kommt Biometrie zum Einsatz?

Ziel einer biometrischen Erkennung ist stets, die Identität einer Person zu ermitteln (Identifikation) oder die behauptete Identität zu bestätigen oder zu widerlegen (Verifikation). Das heißt, biometrische Identifizierungsverfahren kommen dort zum Einsatz, wo sich Personen eindeutig authentisieren müssen. Dabei kann das Abtasten biometrischer Merkmale, beispielsweise eines Fingerabdrucks, alleine verwendet werden, um etwa ein Telefon zu entsperren oder eine gesicherte App zu öffnen. Oder aber biometrische Verfahren werden als zweiter Faktor neben etwa einer Kombination aus Benutzernamen und Passwort genutzt, zum Beispiel um das Onlinebanking zu schützen oder um das E-Mail-Konto abzusichern.

3. Welche biometrischen Verfahren gibt es?

Theoretisch lässt sich jedes körperliche Merkmal biometrisch verwerten. Ausschlaggebend hierfür ist die zugrundeliegende Technik. Die bekanntesten Beispiele sind Scanner für Fingerabdrücke, Iris, Handvenen oder das Gesicht. Man kennt die Technologien zum Beispiel vom Smartphone, PC oder Sicherheitsschlössern. Die häufigsten sind laut Marktüberblick des vzbv mit Stand 01/2024 die Verfahren der Fingerabdruck- und der Gesichtserkennung.

4. Welche Vorteile bringt Biometrie mit sich?

Körperliche Merkmale sind in der Regel untrennbar mit dem Körper der Person verbunden und müssen daher nicht erst dem Berechtigten künstlich zugeordnet werden, wie beispielsweise die Kombination aus Benutzername und Passwort. Körperliche Merkmale können in der Regel auch nicht verloren gehen, im Gegensatz zu Passwörtern oder Smartphones. An ein körperliches Merkmal muss sich der Merkmalsträger nicht erinnern, er trägt es untrennbar stets bei sich. Biometrische Verfahren bieten also die Möglichkeit einer Identifizierung und sind zugleich bequem in der Anwendung für die Nutzerinnen und Nutzer.

5. Welche Nachteile bringt Biometrie mit sich?

Das körperliche Charakteristikum kann im Allgemeinen nicht geheim gehalten werden. Im Gegenteil liegen viele der für eine biometrische Erkennung verwendeten körperlichen Merkmale, wie Gesicht und Finger, offen. Deshalb müssen biometrische Erkennungssysteme auch prüfen, ob der Anfragende am Leben ist – damit wird erschwert, dass Systeme z. B. mit einem Foto getäuscht werden. Biometrische Charakteristiken können schließlich nicht übertragen oder weitergegeben werden. Zudem können einmal gestohlene Daten über biometrische Eigenschaften dazu führen, dass dieses Merkmal nicht mehr zur Sicherung von Diensten eingesetzt werden sollte. Ist der Fingerabdruck einmal bekannt, können Kriminelle diesen bei jedem Dienst missbrauchen, bei dem der Abdruck hinterlegt ist – der Abdruck lässt sich nicht wechseln oder ändern. Passwörter können dagegen beliebig oft gewechselt und zurückgesetzt werden. Wenn Ihre biometrischen Daten gestohlen werden oder verloren gehen, könnten sie dauerhaft gefährdet und nicht mehr sicher nutzbar sein.

6. Wie funktioniert Biometrie?

Biometrische Erkennung erfolgt anhand messbarer, individueller Körpermerkmale. Erkannt wird der Nutzer oder die Nutzerin anhand seiner individuellen Merkmale, z. B. der einmaligen Geometrie der Hände. Damit die biometrischen Daten auch nützlich sind, müssen sie erfassbar, einzigartig und beständig sein. Das Grundprinzip der biometrischen Erkennung ist bei allen Systemen gleich. Zuerst wird der Anwender oder die Anwenderin im System registriert. Danach wird die Eigenschaft, die für das jeweilige Verfahren relevant ist, gespeichert - zum Beispiel das Gesicht einer Person mittels einer Kamera. Sowohl bei der erstmaligen Erfassung zur Erstellung des sogenannten Referenzdatensatzes als auch bei jeder späteren Erfassung zur Wiedererkennung, wird das biometrische Merkmal erfasst.

Beim Matching wird schließlich ein Vergleich zwischen dem gespeicherten Abbild und dem Datensatz vorgenommen, der bei dem erneuten Scan des Merkmals gegenüber dem biometrischen System erstellt wird. Bei Übereinstimmung meldet das Gerät die korrekte Erkennung. Die Software nimmt jedes Mal einen Abgleich der Eingabe mit den Daten vor, die in der Datenbank gespeichert wurden. Ändern sich z. B. die Mess-Situationen (wie Beleuchtung) oder die biometrischen Merkmale selbst, etwa durch Alter oder einen Unfall, kann es zu Messfehlern oder Problemen mit dem Abgleich der Datensätze kommen.

Die tatsächliche Entscheidung über Match oder Non-Match beruht auf zuvor durch Hersteller oder Anbieter eingestellten Parametern („Schwellwert“), die einen Toleranzbereich bilden, in dem biometrische Daten vom System als „gleich“ erkannt werden. Die biometrischen Merkmale werden also nicht auf Gleichheit, sondern nur auf „hinreichende Ähnlichkeit“ getestet. Dies hat zur Folge, dass biometrische Systeme nur mit einer gewissen Wahrscheinlichkeit bestimmen können, ob es sich um den wahren Berechtigten handelt. Die Position des Fingers, z. B. auf einem Fingerabdrucksensor oder der Blickwinkel des Gesichts, ändern sich bei jeder Nutzung geringfügig. Dies hat zur Folge, dass zwei digitale Abbilder eines biometrischen Merkmals niemals identisch sind und ein exakter Abgleich der Daten nicht möglich ist.

7. Wie zuverlässig sind biometrische Identifizierungsverfahren?

Eine generelle Einschätzung ist auf Grund der Vielfältigkeit biometrischer Verfahren und ihrer Umsetzung in unterschiedlichen Produkten nicht möglich. Die tatsächliche Entscheidung über Match oder Non-Match beruht auf zuvor eingestellten Parametern („Schwellwert“), die einen Toleranzbereich bilden, in dem biometrische Daten vom System als „gleich“ erkannt werden. Die biometrischen Merkmale werden nicht auf Gleichheit, sondern nur auf „hinreichende Ähnlichkeit“ getestet. Dies hat zur Folge, dass biometrische Systeme nur mit systemtypischer Wahrscheinlichkeit bestimmen können, ob es sich um den wahren Berechtigten handelt.

Ein höherer Schwellwert fordert dabei eine größere Ähnlichkeit und kann eine erhöhte Sicherheit bedeuten. Gegebenenfalls führt er aber häufiger dazu, dass das Merkmal nicht erkannt wird, was die Gebrauchstauglichkeit beeinträchtigt. Umgekehrt führt ein geringerer Schwellwert zu einer besseren Gebrauchstauglichkeit, senkt aber gleichzeitig die Sicherheit des Systems.

8. Ist der Einsatz von Biometrie für mein Gerät oder meinen Dienst möglich?

Um biometrische Verfahren einsetzen zu können, muss das Gerät oder der Dienst grundsätzlich dafür geeignet sein. Das heißt, entsprechende Hard- und Software, wie z. B. eine Kamera für die Gesichtserkennung, werden vorausgesetzt. Aktuelle Geräte bringen diese Funktionalitäten oft mit. Sind diese technischen Bedingungen gegeben, muss noch der Dienst die Nutzung eines biometrischen Verfahrens anbieten. Viele Dienste haben die Funktion standardmäßig deaktiviert, bieten sie aber dennoch an. Eine Überprüfung der Log-In-Verfahren kann sich lohnen.

9. Was hat Biometrie mit einer 2FA zu tun?

Die 2FA gibt es in zahlreichen Varianten: Einige ergänzen das zuvor eingegebene Passwort um einen zusätzlichen Faktor, andere ersetzen das Passwort komplett durch eine direkte Kombination zweier Faktoren. Faktor 1 ist meist ein Passwort. Das heißt, der Nutzende weiß etwas, das andere nicht wissen. Faktor 2 kann dann z. B. ein Fingerabdruck sein. Der Nutzende besitzt also etwas oder weist eine biometrische Eigenschaft auf, die sie oder ihn eindeutig identifiziert. Erst die Kombination der beiden Faktoren führt zum Login. Wichtig ist, dass die Faktoren aus verschiedenen Kategorien stammen, also eine Kombination der Faktoren Wissen, Besitz und Biometrie darstellen. Erbeuten Kriminelle beispielsweise das Passwort, können sie sich trotzdem nicht in ein entsprechend gesichertes Benutzerkonto einloggen, weil ihnen z. B. der zugehörige Fingerabdruck fehlt.

10. Wie verbreitet sind biometrische Verfahren und wo können sie genutzt werden?

Gemäß Marktüberblick des vzbv bieten mit Stand 01/2024 56 von 121 untersuchten Diensten biometrische Verfahren an. Allerdings sind die Unterschiede zwischen den Branchen groß. So bieten alle untersuchten Finanzinstitute eine Zwei-Faktor-Authentisierung mittels Biometrie, aber beim Online-Shopping, bei Fitness-Trackern und Versandapotheken müssen Verbraucherinnen und Verbraucher bei den meisten untersuchten Anbietern sogar gänzlich auf den Schutz durch 2FA verzichten.

11. Wie richte ich Biometrie sicher ein?

Der genaue Ablauf der Einrichtung ist abhängig vom eingesetzten Gerät bzw. Dienst. Grundsätzlich werden Nutzerinnen und Nutzer für die sichere Einrichtung vom Anbieter bzw. Hersteller durch den Prozess geführt.

12. Was passiert, wenn Biometrie mal nicht „funktioniert“?

Funktioniert die biometrische Authentisierung kurzfristig bzw. einmalig nicht, wird in der Regel das vorher hinterlegte Passwort oder eine PIN abgefragt. Funktioniert das biometrische Verfahren dauerhaft nicht, so kann es sich lohnen, die Biometrie neu anzulegen oder ein – wenn möglich – anderes Charakteristikum (z. B. Finger statt Gesicht oder ein anderer Finger) einzusetzen. Alternativ kann ein anderes Verfahren für den zweiten Faktor gewählt werden. Gemäß einer Marktuntersuchung des vzbv bieten mit Stand 01/2024 alle untersuchten Dienste, die einen zweiten Faktor mittels Biometrie anbieten, alternativ auch immer ein anderes Verfahren wie beispielsweise die SMS-TAN oder die Verifikation mittels Authenticator-App an.

13. Wo werden meine biometrischen Daten gespeichert?

Die für das biometrische Verfahren benötigten Daten von z. B. Finger oder Gesicht werden lokal auf dem Gerät oder in einer Cloud gespeichert. Bei den in Deutschland angebotenen Diensten wird zumeist eine lokale Speicherung genutzt.

14. Was wird von meinen biometrischen Daten gespeichert?

Was gespeichert wird kann sich innerhalb der Verfahren und von Anbieter zu Anbieter unterscheiden. So ist beispielsweise nicht ausgeschlossen, dass Originalbilder gespeichert werden und nicht eine Liste an Merkmalen (z. B. nur bestimmte Maße oder Abstände) in Form eines Templates. Ein solches Template sollte darüber hinaus über einen Templateschutz geschützt und verschlüsselt abgelegt werden. Leider tätigen laut Marktüberblick des vzbv (Stand 01/2024) die Dienste keinerlei Aussage zu den eingesetzten Verfahren oder zugrundeliegenden Standards. Dies bedeutet auch, dass es für Verbraucherinnen und Verbraucher nicht möglich ist, eine Sicherheitsabwägung zu den angebotenen Verfahren vorzunehmen.

15. Wie sicher ist der Einsatz von Biometrie?

Die Frage nach der Sicherheit biometrischer Verfahren lässt sich nicht pauschal beantworten. Sie setzt sich zusammen aus der biometrischen Zuverlässigkeit, der Überwindungs-/Fälschungssicherheit sowie der sicheren Speicherung und Verarbeitung biometrischer Daten. Die Sicherheit von Biometrie ist demnach in hohem Maße davon abhängig, wie diese durch den Hersteller implementiert wird.

16. Gibt es Unterschiede bei den Verfahren? Ist z. B. eine Gesichtserkennung immer gleich standardisiert?

Ja, die Verfahren unterscheiden sich. Beispielsweise bietet eine 3D-Gesichtserkennung grundsätzlich einen höheren Schutz als eine 2D-Gesichtserkennung. Laut Marktüberblick des vzbv (Stand 01/2024) tätigen die Dienste keinerlei Aussage, wie die eingesetzten Verfahren umgesetzt werden oder welche Standards zugrundeliegenden, sodass eine Unterscheidung nicht ohne Weiteres möglich ist. Dies bedeutet auch, dass es für Verbraucherinnen und Verbraucher nicht möglich ist, die angebotenen Verfahren nach ihrer Sicherheit auszuwählen.

17. Benötige ich mit Biometrie kein Passwort mehr bzw. kann ich nun ein einfaches Passwort immer wieder verwenden, weil es nicht mehr wichtig ist?

Das Passwort ist auch in Verbindung mit Biometrie weiter ein wesentlicher Faktor für den Schutz von Online-Diensten, z. B. bei einer Zwei-Faktor-Authentisierung. Kein Faktor kann für sich einen hundertprozentigen Schutz gewährleisten, aber in der Kombination bieten starke Passwörter und Biometrie in der Regel einen ausreichend guten Schutz.

18. Wie können biometrische Verfahren sicher genutzt werden, wenn z. B. meine biometrischen Daten in die falschen Hände geraten oder das mobile Gerät verloren geht?

Die Bewertung des BSI zeigt auf, wie biometrische Systeme gesichert werden können. Idealerweise u. a. so, dass die gespeicherten Informationen für Dritte nicht direkt nutzbar sind (Speicherung als Template mit Templateschutz), die Verfahren nicht (z. B. mit Fotos bei der Gesichtserkennung) getäuscht werden können (durch standardisierte Verfahren zur Fälschungserkennung) und die Speicherung der Daten dezentral und lokal auf mobilen Geräten erfolgt.

Wenn Kriminellen biometrische Merkmale in die Hände fallen, dann sind diese Merkmale nicht mehr sicher zu verwenden. Ab diesem Zeitpunkt kann nicht ausgeschlossen werden, dass Dritte ebenfalls den Fingerabdruck verwenden können. In diesem Fall kann auf alternative Merkmale, wie einen anderen Finger oder einen Gesichtsscan, zurückgegriffen werden. Wenn etwa das Mobilgerät verloren geht, kann es häufig aus der Ferne gesperrt und/oder die Daten gelöscht werden. Dann ist zumeist davon auszugehen, dass die gespeicherten biometrischen Merkmale nicht missbraucht wurden.

19. Wenn die Biometrie mal nicht funktioniert, werde ich aufgefordert meine PIN oder mein Passwort zu verwenden. Wie vermeide ich, dass ich diese vergesse?

Soweit es das Gerät oder der Dienst zulässt, ist die Nutzung eines Passwortmanagers zu empfehlen. Ansonsten empfehlen wir Anbietern, eine regelmäßige Überprüfung der PIN/des Passworts sicherzustellen, das durch die Biometrie ersetzt wird. Das sollte anlassbezogen nach z. B. 3-mal falschem Datenabgleich stattfinden und auch regelmäßig nach einer bestimmten Zeit oder nach einer bestimmten Anzahl erfolgreicher Datenabgleiche, um das Vergessen des Passworts/der PIN auszuschließen. Auch als Nutzer kann i. d. R. von biometrischer Authentisierung auf Authentisierung per Passwort/PIN leicht umgestellt und in regelmäßigen Abständen das alternative Verfahren genutzt werden.

Dieser FAQ erschien zuerst im Ergebnispapier der Untersuchung Nutzung von Biometrie in der 2-Faktor-Authentisierung (2FA) des BSI und des vzbv.