Gesichtserkennung (Biometrische Authentifizierung) im Check
Gesichtserkennung – längst ein Trend auf mobilen Endgeräten. Welche Gefahren bergen mehr oder minder eindeutige biometrische Verfahren zur Gesichtserkennung? Wie können Sie sich vor Missbräuchen schützen und welche Potenziale könnten staatliche Institutionen hinter den neuen Technologien erkennen?
Verfahren der Gesichtserkennung
Zunächst einmal muss zwischen zuverlässigen und unzuverlässigen Verfahren der Gesichtserkennung unterschieden werden. Die kommerziellen Anwendungen setzen vor allem auf klassische Kameratechnik und diese weist eine relativ hohe Fehlerquote auf. Auch wenn weitere Sensoren, wie beispielsweise der 3D-Sensor („Dot Projector“) des iPhone X, im Einsatz sind, ist eine Gesichtserkennung nicht zu 100% Prozent eindeutig.
Wenn jedoch von einer eindeutigen Gesichtserkennung ausgegangen wird, bietet das biometrische Verfahren große Gefahren für die Privatsphäre des Nutzers. Firmen, Behörden oder auch Privatpersonen, die im Besitz von eindeutigen Gesichtsdaten sind, könnten die Personen theoretisch tracken. Ein Abgleich mit bestehenden Fotos wäre ebenfalls möglich. Welche Folgen eine Zuordnung der persönlichen Abbilder im Internet haben könnte, zeigt der „Doxing“-Skandal um den „FindFace“-Dienst.
Biometrik ist kein Sicherheitskriterium
Außerdem ist es wichtig zu verstehen, dass Biometrik niemals ein „Sicherheitskriterium“ sein kann. Gesicht, Iris und Fingerabdruck können, beispielsweise mit hochauflösender Kameratechnik, kopiert werden und sind im öffentlichen Raum frei ersichtlich. Klassische Passwörter hingegen bleiben der Öffentlichkeit vorenthalten. Biometrische Verfahren wie die Gesichtserkennung sind benutzerfreundlicher und mit geringeren Hürden verbunden, allerdings bei Weitem nicht vollständig sicher.
Wenn Sie Gesichtserkennung nutzen
An erster Stelle sollten Sie darauf achten, dass die verwendete Anwendung Ihre Daten angemessen verarbeitet. Aus diesem Grund sollten Sie vor der Verwendung die Datenschutzbestimmungen des Anbieters lesen und darauf achten, dass Ihre Daten nicht auf fremden Servern archiviert werden. Sowohl die durch die Gesichtserkennung erhohenen, als auch Ihre weiteren sensiblen Daten.
Geschützte Gesichterkennung sicherstellen
Analoge Tests bieten derzeit weder eindeutige, noch sichere Ergebnisse. Idealerweise erfolgt vor der Verwendung einer App mit Gesichtserkennung eine professionelle Überprüfung durch ein App Risk Management System. Nur durch umfangreiche Testverfahren, wie die Expertenanalyse von APPVISORY, können Missbrauchsgefahren erkannt werden. Ein solches Verfahren bietet sich insbesondere in der Absicherung einer ganzen Geräteflotte an und ist daher für jedes Unternehmen ratsam.
Außerdem gilt: Sobald Zahlungs- oder Authentifizierungsdienste ausschließlich auf biometrische Daten setzen, ist es sehr wahrscheinlich, dass es zu Missbrauchsfällen mit gestohlenen Daten kommen wird. Aus diesem Grund empfehlen wir zusätzlich zur Gesichterkennung eine sinnvolle Verwendung eines Zwei-Faktor-Authentifizierungs-Schutzes.
Welche Risiken entstehen durch die voranschreitende Analyse personenbezogener Daten?
Den Entwicklern von „FindFace“ ist es durch einen Gesichtserkennungsalgorithmus gelungen, deutlich bessere Trefferquoten als vergleichbare Lösungen zu erreichen. Der Anbieter könnte seine Technologie, die durch Medien einen hohen Bekanntheitsgrad gewonnen hat, mit großem Gewinn an weitere Unternehmen verkaufen. Auch behördliche Stellen könnten Interesse an dem Algorithmus haben. Als russisches Unternehmen ist eine solche Zusammenarbeit, ob gewollt, erzwungen oder sogar unwissend, mit staatlichen Institutionen sogar sehr wahrscheinlich. Ein erstes Pilotprojekt der „FindFace“-Gründer zur Auswertung von Moskauer Videokameras gab es bereits.
Gesichtserkennungs-Datenabgleich über Social Media
Damit Sie sich vor Datenabgleichen schützen können, sollten Sie darauf achten, auf Social-Media-Kanälen möglichst wenige persönliche Informationen zu teilen. Auf die Veröffentlichung von persönlichen Portraitfotos sollten Sie im Idealfall komplett verzichten.
Gesichterkennung für Staatliche Überwachung?
Methoden der staatlichen Überwachung sind stark umstritten. Besteht bei der Anwendung von Gesichtserkennungstools das Risiko eines Datenabgleichs mit staatlichen Institutionen? Einen offiziellen Abgleich halten wir für unwahrscheinlich. Geheimdienste sind jedoch, wie Enthüllungen der letzten Jahre wiederholt gezeigt haben, in der Lage solche Daten zu akquirieren.
Auch stellt sich die Frage, ob staatliche Institutionen auf einen solchen Abgleich überhaupt angewiesen sind. Mit Technologien, wie zum Beispiel kürzlich am Berliner Südkreuz Bahnhof getestet, können Behörden eigenständig einen Datenbestand mit biometrischen Informationen aufbauen. Solche Daten könnten im Abgleich zwischen Sozialen Netzwerken und der Vorratsdatenspeicherung zu erheblichen, nicht bewusst wahrnehmbaren, Einschränkungen der Privatsphäre der Bürger führen.
Fazit zur Gesichtserkennung
Die Verwendung von Anwendungen mit Gesichtserkennung sollte gut überlegt sein. Wägen Sie den gewonnenen Komfort, kein langes Passwort mehr eingeben zu müssen, mit den Risiken der Technologie ab. Behalten Sie dabei im Hinterkopf, dass biometrische Daten kein sicheres Authentifizierungsverfahren darstellen. Auch Fingerabdrücke können kopiert und nachgedruckt werden, Gesichter fotografiert und als Abbild modelliert werden. Wir raten daher eindeutig zur Authentifizierung über ein sicheres Passwort als über Gesichtserkennung.
