Ob beim Entsperren eines Smartphones mittels Gesichtserkennung oder beim Login per Fingerabdruck – biometrische Verfahren sind aus unserem Alltag nicht mehr wegzudenken. Sie ermöglichen es, sich bequem zu authentisieren. Was Nutzerinnen und Nutzer dabei in Sachen IT-Sicherheit beachten sollten, erklären wir hier.

Neben ihren Vorteilen bringt Biometrie zudem auch Risiken und Missbrauchspotentiale mit sich: Cyberkriminelle versuchen mitunter, biometrische Systeme mit beispielsweise einem gefälschten Fingerabdruck zu überlisten oder Videos zu manipulieren. Dann scheinen Menschen in den Aufnahmen Sätze zu sagen, die sie in Wirklichkeit nie gesagt haben. Daher zeigen wir auch, wie Sie künstlich manipulierte Inhalte erkennen können.

Fingerabdruck, Gesichtserkennung & Co.: Wo verwenden wir Biometrie im Alltag?

Biometrische Verfahren werden oft zur Authentifizierung einer Person genutzt: So kann ihre Identität bestätigt werden – oder eben widerlegt. Neben dem Fingerabdruck werden dafür auch weitere Merkmale wie z. B. das Gesicht oder die Iris herangezogen.

Zu den Anwendungsfällen zählen:

• Entsperren eines Gerätes, z. B. eines Smartphones, oder einer einzelnen App
• Einloggen in ein Benutzerkonto, unter anderem mithilfe von Passkeys
• Ausweis- und Passkontrollen, z. B. an Flughäfen, bei denen Ihr Gesicht mit dem Bild in Ihrem Ausweis verglichen wird
• Zugangskontrollen, z. B. ein smartes Türschloss, das Sie per Fingerabdruck öffnen

Was diese Anwendungsfälle gemeinsam haben: Damit eine Person anhand eines biometrischen Merkmals erkannt werden kann, muss zunächst in dem jeweiligen System eine sogenannte Referenz hinterlegt worden sein. Bevor Sie Ihr Smartphone per Fingerabdruck entsperren können, muss dieser z. B. auf dem jeweiligen Smartphone hinterlegt werden.

Mehr Informationen zur Funktionsweise von Biometrie finden Sie im Erklärtext Funktionsweise biometrischer Verfahren und im FAQ zu Biometrie bei der Authentisierung. Um Gesichtserkennung, Fingerabdruck & Co. geht es auch in Folge 36 des BSI-Podcasts „Update verfügbar“.

Schutzmaßnahmen: Worauf sollte ich bei biometrischen Verfahren auf Smartphone, Tablet & Co. achten?

• Nutzen Sie ein biometrisches Merkmal nur für Anwendungen vertrauenswürdiger Anbieter. Das schließt etwa App-Downloads außerhalb offizieller App und Play Stores aus. Im Zweifelsfall helfen eine Internetrecherche, Bewertungen oder Erfahrungsberichte weiter.
• Nutzen Sie biometrische Merkmale sparsam. Im Gegensatz zum Passwort können Sie z. B. einen Fingerabdruck nicht beliebig oft ändern.
• Verwenden Sie noch einen zweiten Faktor. Stellen Sie z. B. ein, dass zum Einloggen in Ihr Benutzerkonto sowohl ein Passwort als auch ein Fingerabdruck nötig sind.
• Richten Sie für die Entsperrung von Apps eine andere Methode oder ein anderes biometrisches Merkmal als für die Geräteentsperrung ein - soweit es das Gerät und der Dienst zulassen. Das kann etwa bedeuten: Mit dem Daumen entsperren Sie Ihr Handydisplay, mit dem Zeigefinger Ihre Banking-App.
• Hinterlegen Sie auf Ihrem Gerät keine biometrischen Merkmale anderer Personen. Das kann das Risiko erhöhen, dass Unbefugte, die das biometrische System überlisten möchten, erfolgreich sind.
• Stellen Sie ein kurzes Zeitintervall ein, um Ihr Gerät zu entsperren. Das Smartphone kann beispielsweise in regelmäßigen Zeitabständen erneut nach PIN, Passwort, biometrischem Merkmal oder ähnlichem fragen. So wird ein Fremdzugriff erschwert.
• Informieren Sie sich, wo das jeweilige biometrische Merkmal gespeichert wird. Wenn es in einer Cloud oder auf Servern statt lokal auf dem Gerät abgelegt wird, besteht die Gefahr, dass das Merkmal im Rahmen eines Datenlecks an die Öffentlichkeit geraten könnte.
• Sorgen Sie für Basisschutz für Ihre Geräte und Anwendungen – etwa durch regelmäßige Updates.

Darüber hinaus liegt es in der Verantwortung von Herstellern und Betreibern, Systeme entsprechend abzusichern. Sie sollten etwa verhindern, dass Kriminelle, die sich Zugang zu gespeicherten biometrischen Daten verschaffen, aus diesen Fälschungen anfertigen können. Daher sollten Hersteller und Betreiber statt der „Rohbilder“ ausschließlich sogenannte Templates speichern: Dabei handelt es sich um eine komprimierte, mathematische Repräsentation der biometrischen Merkmale, die spezifisch für den jeweils verwendeten Erkennungsalgorithmus ist. Auch derartige Templates sollten so geschützt werden, dass sie nicht zur Herstellung einer Fälschung dienen können.

Für Verbraucherinnen und Verbraucher ist es jedoch meist schwer zu erkennen, ob Hersteller und Betreiber ihre biometrischen Daten ausreichend schützen. Umso wichtiger ist es, die oben genannten Handlungsempfehlungen zu befolgen.

Missbrauchspotenzial: Deepfakes, Desinformation und Betrugsmaschen

Durch Methoden aus dem Bereich der Künstlichen Intelligenz (KI) wird es immer einfacher, Inhalte wie etwa Bilder, Videos und Audiomitschnitte künstlich zu manipulieren. Weil dabei tiefe neuronale Netze, auf Englisch „deep neural networks“, zum Einsatz kommen, spricht man umgangssprachlich auch von „Deepfakes“.

Möglich ist etwa:

• Face Swapping: Das Gesicht einer Person, z. B. in einem Video, wird durch ein anderes Gesicht ersetzt. Mimik, Beleuchtung und Blickrichtung bleiben jedoch gleich. Angreifende können sich so als jemand anders ausgeben.
• Face Reenactment: Die Mimik, Kopfbewegung etc. einer Person, z. B. in einem Video, werden manipuliert. Kombiniert mit der Manipulation der jeweiligen Audiospur wirkt es beispielsweise, als hätte die Person etwas gesagt, das sie in der Realität nie gesagt hat.
• Text to Speech: Ein Text wird vorgegeben und von einer zuvor ausgewählten Stimme eingesprochen.
• Voice Conversion: Die Stimme in einer Audiodatei wird so manipuliert, dass es sich anhört, als würde eine andere Person sprechen. Verändert wird etwa die Klangfarbe.

Solche Verfahren setzen auch u. a. Kriminelle ein. Zu denkbaren Angriffsszenarien zählen:

• Überwindung biometrischer Systeme: Unbefugte nutzen etwa ein Foto, um ein Smartphone per Gesichtserkennung zu entsperren.
• Identitätsdiebstahl: Kriminelle geben sich als jemand anders aus. Nachdem sie beispielsweise einen Personalausweis gestohlen haben, nehmen sie in einer Videoaufnahme das Gesicht des eigentlichen Ausweisbesitzers an. So eröffnen sie etwa in dessen Name ein Konto.
• Betrugsmaschen: Kriminelle geben vor, z. B. eine Enkelin oder ein Enkel einer Person zu sein, und fingieren eine Notlage, um Geldzahlungen zu erbitten. Am Telefon nutzen sie dafür die Stimme der Person, für die sie sich ausgeben.
• Desinformationskampagnen: Menschen verbreiten z. B. Aufnahmen, in denen eine Politikerin oder ein Politiker Äußerungen tätigt, die er oder sie tatsächlich nie gesagt hat.

Auch weitere Fälle sind denkbar – etwa in den Bereichen Verleumdung und Cybermobbing.

Um das zu ermöglichen, braucht ein System zuerst sogenannte Trainingsdaten – z. B. Aufnahmen der Person, dessen Gesicht angenommen werden soll. Daher ist es grundsätzlich ratsam, nur wenige solcher Aufnahmen mit der Öffentlichkeit zu teilen. Die Systeme werden jedoch laufend weiterentwickelt: Mitunter reichen bereits ein einziges Bild oder wenige Sekunden an Stimmaufnahmen, um Fälschungen zu erzeugen. Daher sollten Sie wachsam sein im Umgang mit Bildern, Sprachaufnahmen etc., die Sie erhalten: Weiter unten finden Sie Tipps, wie Sie gefälschte Inhalte erkennen und bei einem Verdacht vorgehen.

Mehr über Künstliche Intelligenz und entsprechende Handlungsempfehlungen erfahren Sie im Wegweiser Künstliche Intelligenz sicher nutzen.

Wie erkenne ich künstlich manipulierte Inhalte – z. B. Bilder?

Künstlich manipulierte Inhalte sind oft nur schwer als solche zu erkennen. Einige Anzeichen können jedoch darauf hindeuten, dass ein Inhalt manipuliert wurde. Liegt keins dieser Anzeichen vor, kann aber dennoch nicht ausgeschlossen werden, dass es sich um eine Fälschung handelt.

Bei Gesichtsaufnahmen:

• Sichtbare Übergänge zwischen dem Gesicht und dem Hintergrund. Beispielsweise wechseln Hautfarbe und –textur.
• Eigentlich scharfe Konturen, etwa in den Zähnen oder im Auge, wirken auffällig verwaschen.
• Die Mimik der Person wirkt begrenzt: Sie scheint z. B. immer dieselben, z. T. auch unpassenden Emotionen zu zeigen.
• Die Beleuchtung wirkt unstimmig: Etwa trifft ein Schatten auf die linke Gesichtshälfte, fällt aber nicht auf den weiteren Hintergrund.
• Wird das Gesicht von z. B. einer Hand zum Teil verdeckt, treten weitere Fehler auf – beispielsweise wird die noch zu sehende Gesichtshälfte plötzlich unscharf.

Bei Stimmen:

• Einzelne Wörter werden falsch ausgesprochen, z. B. Fremdwörter oder englische Wörter.
• Die Sprechweise, etwa Akzente oder Betonungen, unterscheiden sich von der gewohnten Sprechweise der jeweiligen Person.
• Es kommt zu Verzögerungen, beispielsweise bei einem Telefonat.

Wenn Sie den Verdacht haben, es mit Betrügerinnen und Betrügern zu tun zu haben, sollten Sie auf anderem Weg Kontakt zu der jeweiligen Person oder Institution aufnehmen. Bittet eine Ihnen nahestehende Person Sie etwa am Telefon um finanzielle Unterstützung, finden Sie zuerst heraus, ob Sie tatsächlich mit der Person sprechen, die die Stimme am Telefon vorgibt zu sein.

Fragen Sie z. B. nach etwas, das nur die jeweilige Person wissen kann – nach einem gemeinsamen Geheimnis oder privaten Erinnerungen. Im Zweifelsfall sollten Sie die Person auf einem anderen Weg kontaktieren – etwa indem Sie vom Festnetztelefon auf eine Ihnen bekannte Handynummer wechseln oder die Person direkt aufsuchen.