Status quo bei verhaltensbiometrischen Authentifizierungsverfahren

bei

 / 21. June. 2021

Schon länger nutzen Banken und Finanzdienstleister physische biometrische Sicherheitsverfahren, wie Scans des Fingerabdrucks, der Iris oder des Gesichts, um den Online-Zugang und die Online-Transaktionen ihrer Kunden vor unberechtigten Zugriffen zu schützen. Doch auch biometrische Daten können gefälscht werden. Mehr Sicherheit versprechen verhaltensbiometrische Systeme. Doch zwingen Vorgaben zum Datenschutz die meisten Anbieter dieser Lösung zur Arbeit mit anonymisierten Verhaltensdaten. Darunter leidet die Effektivität ihrer Systeme. Ein Problem, das Nutzer von biometrischen Authentifizierungsverfahren, die auf dem Verhalten basieren, nicht kennen.

Cyberangriffe auf digitale Identitäten von Nutzern nehmen zu. Nicht zuletzt das Lagebild Cybercrime [1] 2020 des BKA zeigt genau dieses Phänomen auf. Immer häufiger versuchen Kriminelle über Social Engineering und Dateneinkäufe aus dem Darknet an Anmeldedaten der Nutzer zu gelangen, sich in deren Konten einzuwählen und unrechtmäßige Transaktionen anzuordnen. Klassische Authentifizierungsverfahren die Passwörter, PIN und Token nutzen, genügen hier schon lange nicht mehr. Mehr Sicherheit bietet ein Ansatz, der auf Daten der physischen Biometrie des Nutzers, seinen Fingerabdruck, sein Gesicht oder seine Iris, setzt. Er ist auch wesentlich anwenderfreundlicher als klassische Verfahren. Der Nutzer trägt seine Zugangsberechtigung am Körper, ist freier in seinen Zugangsmöglichkeiten, muss sich nicht mühsam Passwort oder PIN merken. Doch sind auch physische biometrische Daten nur Daten, können entwendet und missbraucht werden. Ein verwandtes biometrisches Verfahren verspricht hier mehr Schutz: die Authentifizierung eines Nutzers anhand seiner Verhaltensmuster.

Verhaltensbiometrische Verfahren – die sicherere Art der Nutzerauthentifizierung

Im Gegensatz zum physisch-biometrischen Ansatz werden beim verhaltensbiometrischen Ansatz Nutzer nicht anhand ihrer physischen Merkmale, sondern anhand ihrer Aktivitätsmuster authentifiziert. Der Anschlag einer Taste, das Bewegen und Klicken einer Maus unterscheiden sich von Nutzer zu Nutzer. Sammelt und analysiert man die diesbezüglichen Daten, lassen sich Verhaltensmuster erstellen, die klar einem Nutzer zugeordnet werden können und sich dementsprechend zur Anwendung in einem Authentifizierungsverfahren eignen. Verhaltensbiometrische Verfahren sind sicherer – sowohl als klassische als auch als physisch-biometrische Authentifizierungsverfahren. Drei Vorteile stechen besonders hervor: Erstens können sie im Gegensatz zu Letzteren nicht nur als Gatekeeper, sondern zur kontinuierlichen Überwachung im Hintergrund eingesetzt werden – und so die gesamte Customer Journey des Nutzers vor unerlaubten Zugriffen absichern helfen. Zweitens machen sie es Cyberkriminellen schwerer, gestohlene Daten zu nutzen. Denn Verhaltensprofile werden fortlaufend aktualisiert, um dem Umstand Rechnung zu tragen, dass Nutzerverhalten nun einmal nicht statisch ist. Drittens ermöglichen sie es Banken und Finanzdienstleistern, proaktiv gegen Cyberkriminelle vorzugehen. Betrüger können erkannt und blockiert werden – bevor sie Schaden anrichten. Weitere Vorteile der Technologie sind, dass die Kosten gesenkt und das Nutzererlebnis verbessert werden. Mit der kontinuierlichen Betrugsaufspürung sinkt die Zahl der Arbeitsstunden, die in manuelle Nachforschungen verdächtiger Transaktionen investiert werden; ebenso wie die Zahl der Kontrollen, die den Kunden auf seiner Customer Journey behindern.

Anonymisierte Verhaltensbiometrie – Datenschutz zu Lasten der Genauigkeit

Eine Vielzahl unterschiedlicher verhaltensbiometrischer Authentifizierungsverfahren ist mittlerweile erhältlich. Doch haben fast alle Lösungen eine Schwachstelle: die Verhaltensdaten der Nutzer werden in einer Cloud gelagert und verarbeitet. Innerhalb der EU gilt für Unternehmen der Finanzbranche, dass sie ein Outsourcing in die Cloud nur dann durchführen dürfen, wenn sie zuvor die Sicherheit und den Schutz ihrer Daten technisch sichergestellt haben. Dies bedeutet im Regelfall: die Verhaltensdaten werden vor ihrer Weitergabe an den Anbieter anonymisiert. Dadurch verliert das Authentifizierungsverfahren jedoch an Genauigkeit, steigt die Equal Error-Rate (EER) und es bleiben mehr Betrugsversuche unentdeckt.

Einen Ausweg aus diesem Dilemma bietet das verhaltensbiometrische Authentifizierungsverfahren von BehavioSec. Die vom Nutzer erhobenen Verhaltensdaten werden hier zunächst in eine Varianz – eine Verteilung um einen Mittelwert – überführt und erst danach in einem Verhaltensprofil gespeichert und verarbeitet. Das Verhaltensprofil besteht somit ausschließlich aus Varianzen anwendungsspezifischen Verhaltens – und nicht aus konkreten Daten, die Rückschlüsse auf die Identität des Nutzers geben könnten. Mehr zum Thema Datenschutz erfahren Leser im 2021 Global Data Privacy Regulation of Physical & Behavioral Biometrics Report von BehavioSec.

Das Verfahren kann über On-Premises und über die Cloud betrieben werden. Die Datenübertragung zwischen Kunde und Hersteller erfolgt dabei verschlüsselt; die Speicherung ebenfalls verschlüsselt auf einem separaten, isolierten Konto innerhalb einer VPC-Instanz; das Hosting über ein isoliertes Subnetz. Selbst wenn es einem Angreifer gelingt, sich Zugriff auf die Daten zu verschaffen, kann er sie, da sie ja nur in Form von Varianzen vorliegen, nicht missbrauchen. Das konkrete Nutzerverhalten bleibt ihm verborgen. Selbstverständlich können alle erhobenen Verhaltensdaten vor ihrer Speicherung und Bearbeitung auch noch zusätzlich anonymisiert werden; so dass beispielsweise nur noch das Timing eines Tastenanschlags, nicht aber mehr der konkrete Tastenanschlag selbst in die Analyse einfließt. Das Verfahren verliert dann natürlich – wie die oben erwähnten Cloud-basierten Konkurrenzverfahren – an Genauigkeit.

Beste Ergebnisse lassen sich nun einmal nur mit der Speicherung und Verarbeitung nicht anonymisierter Daten erzielen. Denn so kann Nutzerverhalten nicht nur genauer, sondern auch kontextbasierter analysiert werden. Standort, IP-Adresse, Endgerät, Uhrzeit und weitere Kontextfaktoren können dann mit den verhaltensbiometrischen Faktoren verknüpft und zu einer kontextbasierten Verhaltensbiometrie erweitert werden. Wird die Lösung On-Premises eingesetzt, verbleiben alle Verhaltensdaten vor Ort und werden allein auf den Servern gespeichert sowie verarbeitet. Beim Abgleich der Verhaltensdaten eines Nutzers mit seinem Profil finden nicht allein dessen gespeicherte Varianzen, sondern auch Big Data-Analyseergebnisse zu den Varianzen in der Cloud gespeicherter Verhaltensgruppen Berücksichtigung. Das Ergebnis: eine noch geringere EER und ein signifikant beschleunigtes Training von Neuprofilen.

Fazit

Dank dieser innovativen Herangehensweise arbeiten verhaltensbiometrische Technologien deutlich effizienter – und sicherer – als konkurrierende verhaltensbiometrische Verfahren. Die Bedrohungslage bleibt dynamisch. Unternehmen werden ihre Schutzmaßnahmen deshalb ausbauen müssen.

Quellen und Referenzen:

[1]https://www.bka.de/SharedDocs/Kurzmeldungen/DE/Kurzmeldungen/210507_BLBCyber.html

Über den Autor / die Autorin:


Dr. Torben Guelstorff ist gebürtiger Flensburger und promovierte 2012 an der Humboldt-Universität zu Berlin. Einmal jährlich arbeitet er als freier Gutachter für das Marie-Sklodowska-Curie-Programm der Europäischen Kommission. Zudem unterstützt er eine Sonderermittlung der Vereinten Nationen.[auto_author_box]