Biometrie: Standardisierung kontra Datenschutz
Manfred Bromba • Bromba Biometrics
First release: 2010-03-09
Je
größer die zentrale Datenbank eines biometrischen Systems, desto
größer das berechtigte Unbehagen der Datenschützer. Und
als wären die Hürden zur Einführung biometrischer Systeme
im betrieblichen und geschäftlichen Umfeld nicht schon hoch genug,
zeigt sich auch noch, dass die in den vergangenen Jahren erfolgreich auf
den Weg gebrachten biometriespezifischen ISO/IEC-Normen zwar einige praktische
Vorteile aufweisen, den Datenschutz aber prinzipbedingt vor zusätzliche
Herausforderungen stellen können. |
|
| Die Entscheidung, Biometrie im betrieblichen
Umfeld einzusetzen, ist keine triviale Angelegenheit. Neben Kosten-/Nutzen-Überlegungen
und Sicherheitsabwägungen sind auch der Datenschutz und die Mitbestimmungsrechte
zu berücksichtigen, die sich aus der besonderen Natur der zu speichernden
biometrischen Daten ergeben. Des Weiteren fällt es nicht leicht, die
stark unterschiedliche Leistungsfähigkeit biometrischer Systeme verschiedener
Hersteller zu vergleichen, um eine Kaufentscheidung treffen zu können.
Biometrische Erkennungsraten hängen zum Beispiel nicht nur vom Erkennungsalgorithmus
und der benutzten Messmethode ab, auch die Eigenschaften der zu erfassenden
Personengruppe und das spezielle Umfeld der gewünschten Applikation
spielen eine erhebliche Rolle. So erreichen die Erkennungsraten von Maurern
auf einer Baustelle bei weitem nicht die guten Werte, die man von Büroangestellten
kennt. Umso mehr richtet sich das Augenmerk der Entscheider deshalb auf
das formale Kriterium der Erfüllung von Normen. Allerdings stellt
sich die Frage, ob wirklich alle Normen in allen Anwendungen tatsächlich
sinnvoll sind, wenn dem Datenschutz der angemessene Stellenwert zukommt. |
Datenschutz in biometrischen Anwendungen
| Während private biometrische Anwendungen,
wie z.B. der Zugang zum eigenen Notebook per Fingerabdruck, datenschutzrechtlich
eher unproblematisch erscheinen, sieht die Sache schon anders aus,
wenn es um die Einführung biometrischer Systeme für Mitarbeiter
oder Kunden geht, insbesondere, wenn die biometrischen Daten nicht der
unmittelbaren und einzigen Verfügungsgewalt des Betroffenen unterliegen
[1]. In diesen Fällen sind Mitbestimmungs-
und Datenschutzgesetze zu beachten, was in der Praxis darauf hinausläuft,
dass ohne Zustimmung
aller Beteiligten nichts läuft. |
| Die besonders schützenswerte
Natur biometrischer Daten ergibt sich im Wesentlichen aus zwei Gegebenheiten: |
| 1. |
Biometrische Daten lassen sich wie eindeutige,
aber nicht änderbare Personenkennziffern nutzen. |
| 2. |
Biometrische Daten können zusätzliche
Informationen über den Betroffenen enthalten, z.B. über die Gesundheit. |
| Eine bei manchen Herstellern biometrischer
Systeme beliebte Nebelkerze ist die Aussage "Aus den gespeicherten biometrischen
Referenzdaten ('Templates') lassen sich die Originaldaten nicht zurückrechnen".
Nebelkerze deshalb, weil die Aussage zwar rein formal richtig ist,
von Laien aber gerne so aufgefasst wird, dass Datenschutz kein Problem
sei, insbesondere, wenn solch ein Template in falsche Hände gerät.
Das Gegenteil kann man sehr schön am Beispiel der Fingerprinterkennung
zeigen. Zur Erstellung eines Referenzdatensatzes berechnen die meisten
biometrischen Systeme aus dem Fingerabdruck-Rohbild eine Minuzienliste.
(Minuzien sind beim Fingerabdruck die Träger der Einmaligkeitsinformation
und repräsentieren die für jeden Finger unterschiedlichen Orte
der Fingerlinienverzweigungen und -endungen.) In der Tat lässt sich
mit Hilfe spezieller mathematischer Methoden (und notfalls sogar von Hand)
ein Fingerbild rekonstruieren, das das Fingerprinterkennungssystem nicht
vom ursprünglichen Fingerabdruckbild unterscheiden könnte. Hierzu
müsste das rekonstruierte Bild nicht einmal identisch mit dem Ursprungsbild
sein. |
| Die "Personenkennziffer-Eigenschaft" mit
seinen Missbrauchs- und Fälschungsmöglichkeiten wird also nicht
von der Rückrechenbarkeit bzw. Rekonstruierbarkeit des biometrischen
Charakteristikums / Rohbilds aus den gespeicherten Referenzdaten tangiert.
Allenfalls darf man behaupten, dass in einem Minuziendatensatz weniger
Zusatz-Informationen
stecken als in einem Rohbild. Wenn also das Rohbild Informationen über
den Gesundheitszustand eines Betroffenen enthalten sollte, bestünde
die Möglichkeit, dass diese Information in der Minuzienliste nicht
mehr enthalten ist. Ein Rohbild wäre also in dieser Hinsicht kritischer
als die Minuzienliste, allerdings nur dann, wenn das Rohbild tatsächlich
unerwünschte Informationen enthalten würde, die bis in das Template
"überleben". Dies ist sicher abhängig vom biometrischen Charakteristikum.
Hierüber gibt es beim Fingerabdruck derzeit leider nur Spekulationen,
wenn man von einfachen Hautoberflächenzuständen wie Hautfeuchtigkeitsgrad
oder speziellen Hautkrankheiten, die eine Fingerabdruckerkennung deutlich
erschweren oder unmöglich machen, einmal absieht. |
| Man könnte die Frage, ob ein biometrisches
Charakteristikum Gesundheitsinformationen seines Trägers enthält,
ganz allgemein aber mit einem klaren Ja beantworten, wenn am Markt funktionierende
Diagnosesysteme erscheinen würden, die sich eines kostengünstigen
biometrischen Sensors bedienten und ansonsten nur noch einen PC benötigten.
Der Verfasser wagt hier die Prognose, dass solche Diagnosesysteme, wenn
sie in der Lage wären, bedeutende Krankheiten zu erkennen, biometrische
Erkennungssysteme in ihrer wirtschaftlichen Bedeutung recht bald in den
Schatten stellen würden. Für den Fingerabdruck lassen sich trotz
vereinzelter Bemühungen allerdings derzeit keine Anzeichen für
solche Krankheits-Diagnosesysteme erkennen, die eine über Scharlatanerie
hinausgehende messbare Treffsicherheit aufweisen. Umgekehrt stehen die
denkbaren diesbezüglichen Missbrauchsmöglichkeiten aller biometrischen
Erkennungssysteme in keinem Verhältnis zu den Missbrauchsmöglichkeiten
einer Blutuntersuchung, wie sie im Schatten der Öffentlichkeit
inzwischen bei einigen Firmen und sogar beim EU-Parlament zum Zwecke der
Bewerberauslese Einzug gehalten hat [2]. |
| Selbst
wenn also ein biometrischer Datensatz keine Zusatzinformation über
den Betroffenen enthält, bleibt immer noch das Problem der Nutzbarkeit
als Personenkennziffer, also jener Art von Information, deren Nutzung das
Bundesverfassungsgericht 1983 in seinem Volkszählungsurteil als verfassungswidrig
bezeichnet hatte [6]. Erschwerend
kommt hinzu, dass sich ein ideales biometrisches Charakteristikum
nicht ändern lässt. Das ist zwar in der Regel für den Normaleinsatz
ein großer Vorteil. Im Fall des Missbrauchs kann sich dieser Vorteil
jedoch in einen Nachteil umkehren, was jeder bestätigen wird, der
wegen Spam schon einmal seine E-Mail-Adresse ändern musste. |
Biometriebezogene Standardisierung
| Bei der Standardisierung und insbesondere
der Normung geht es darum, Vorteile durch Austauschbarkeit von Hardware-,
Software und Daten zu gewinnen und dem Beschaffer vergleichbare Messwerte
für Investitionsentscheidungen zu liefern. Im Bereich der Biometrie
gibt es inzwischen allein in der ISO-Arbeitsgruppe SC 37 dreißig
publizierte ISO/IEC-Normen [7], und
noch einmal mindestens genauso viele sind in Arbeit. Die wichtigsten Normen
beschäftigen sich mit den Programmierschnittstellen für die Algorithmen
("BioAPI"), den Austauschformaten für biometrische Referenzdaten und
den Messverfahren zur Bestimmung der Erkennungsraten. BioAPI, einer der
ältesten biometrischen Standards, ist datenschutztechnisch weniger
relevant. Auch halten sich seine Vorteile für die breite Masse der
Anwendungen sehr in Grenzen, weil die meisten Integratoren inzwischen deutlich
einfachere Top-Level-Schnittstellen bevorzugen, die von Haus aus einen
relativ einfachen Wechsel der Erkennungsalgorithmen ermöglichen. |
| Messverfahren zur Vorabbestimmung der
biometrischen Performanz sind schon eher datenschutzrechtlich relevant.
Anders als bei rein technischen Geräteeigenschaften, sind diese Leistungsdaten
nicht einfach mit einem Messgerät zu erfassen. Vielmehr sind aufwändige
statistische Tests durchzuführen. Je besser die Erkennungsleistung
eines Produkts ist, desto mehr Personen müssen sich mit ihren biometrischen
Daten an solch einem Test beteiligen. Das ist nicht nur sehr teuer, sondern
erfordert insbesondere bei Technologietests erhöhte Schutzmaßnahmen
für die gesammelten Daten - bzw. erschwert die Akzeptanz potenzieller
Testteilnehmer. (Hier könnte ein möglicher Ausweg die Nutzung
synthetischer Daten sein, wie sie für Fingerabdrücke bereits
mehrfach erfolgreich bei den Vergleichstests FVC 2002 bis FVC 2006 zum
Einsatz kamen [3].) |
| Die in Bezug auf Datenschutz größte
Relevanz haben zweifelsohne ISO/IEC-Normen zum Austausch von biometrischen
Daten. Die erste große Anwendung fanden die Normen für Gesichts-
und Fingerabdruckdaten bei der Einführung biometrischer Pässe,
und zwar in Form von Bilddaten. Hier kommt es darauf an, mit der Hard-
und Software unterschiedlichster Hersteller arbeiten zu können und
gleichzeitig einen Datenaustausch über Ländergrenzen hinweg zu
ermöglichen. |
| Während bei den Pässen noch
Rohbilddaten gespeichert werden, sind inzwischen einige biometrische Systemkomponenten
erhältlich, die auch Minuziendaten in einem der Normformate von ISO/IEC
19794-2 austauschen können. Generell hat die Austauschbarkeit biometrischer
Daten innerhalb eines Systems im Idealfall verschiedene Vorteile: |
| 1. |
Die bei der Erstregistrierung (Enrolment)
gespeicherten biometrischen Referenzdaten lassen sich beispielsweise gleichzeitig
zur PC-basierten Zugriffskontrolle und bei der Zutrittskontrolle durch
vernetzte autonome Türöffnersysteme nutzen, und das insbesondere
auch dann, wenn die Komponenten von unterschiedlichen Herstellern stammen. |
| 2. |
Es lassen sich theoretisch sowohl Erkennungsalgorithmen
als auch Sensorkomponenten mit zugehöriger Software austauschen, ohne
die Referenzdaten neu aufnehmen zu müssen. Wenn der Hersteller einer
Komponente ausfällt, muss man ansonsten mit Problemen rechnen, z.B.
bei Ausfall der Hardware oder wenn die Software nach einem Betriebssystem-Update
nicht mehr funktioniert. |
| Wie wir noch sehen werden, ist die Austauschbarkeit
real
doch stärkeren Einschränkungen unterworfen, als auf den ersten
Blick ersichtlich sind. |
Standardisierung kontra Datenschutz
| Zunächst einmal steht die Frage im
Raum, was denn an der Veröffentlichung biometrischer Daten problematisch
ist. Hier reichen die Meinungen von "das kann nicht gefährlich sein,
schließlich sind meine Merkmale kein Geheimnis" bis hin zu "biometrische
Daten sind die schützenswertesten Daten überhaupt". Beide Meinungen
sind Extremmeinungen - und regelmäßig von 'Unkenntnis' geprägt.
Während sich aber im ersten Fall durchaus Gegenbeweise führen
lassen, ist der zweite Fall vor Allem durch besondere Vorsicht gegenüber
dem (in der Regel nicht beweisbaren) Unbekannten geprägt und deshalb
nicht
verwerflich. So sind biometrische Daten sicher dann ungefährlich,
wenn es keine technische Anwendung dafür gibt: ohne Gebrauch kein
Missbrauch. Das ist natürlich nicht im Sinne der Systemanbieter. Andererseits:
Hätte sich der Erfinder der E-Mail bereits 1971 träumen lassen,
dass Spam mit oder ohne Schadsoftware einmal zu einem Problem mit messbar
hohem Schadpotenzial werden könnte und in der Folge selbst E-Mail-Adressen
nicht mehr im Internet veröffentlicht werden sollten? Man darf nicht
vergessen, dass in der Biometrie echte Probleme heute vor allem wegen geringer
Marktdurchdringung noch nicht sichtbar sind, obwohl der Chaos Computer
Club der Fantasie immer wieder mehr oder weniger gelungen auf die Sprünge
zu helfen versucht [4]. |
| Bei der Frage, inwiefern eine Standardisierung
der Datenformate einen Einfluss auf Datenschutz und Sicherheit haben können,
beschränken wir uns hier auf zwei Problemfälle: |
| 1. |
Standardisierte biometrische Referenzdaten
ermöglichen einen besonders einfachen Austausch. Das wissen auch Bösewichte,
die versuchen könnten, eigene biometrische Daten in eine fremde Datenbank
zu schmuggeln, dort gegen die Daten eines Berechtigten zu tauschen und
in der Folge die Berechtigungen eines registrierten Nutzers zu übernehmen.
Dieser Fall ist zumindest für die Zielanwendung durch das Signieren
der Daten einfach zu beheben, ohne die Standardisierung aufzugeben. Die
Signatur verhindert allerdings nicht das Sammeln und Nutzen für andere,
unbekannte Zwecke durch eine wie auch immer geartete Anwendung, die in
diesem Fall die angehängten Signaturen einfach ignorieren könnte. |
| 2. |
Wir konzentrieren uns auf eine zweite,
sehr konkrete Möglichkeit, die sich zu einem echten Sicherheitsproblem
ausweiten kann: die Rekonstruierbarkeit eines Fingerabdrucks aus seinen
Referenzdaten. Wir beschränken uns hierbei auf den Fingerabdruck,
andere biometrische Merkmale können sich durchaus völlig anders
verhalten, wenn auch nur quantitativ. Wie bereits oben vermerkt, wird gerne
behauptet, dass sich ein Fingerabdruck nicht aus seinen Minuziendaten zurückrechnen
lässt. Das stimmt genau dann, wenn eine 100%ige Bildrekonstruktion
des Fingerabdrucks gemeint ist. Wenn man aber zurückfragt, welches
Problem die angebliche 'Nichtrekonstruierbarkeit' lösen soll, ist
entweder betretenes Schweigen angesagt oder aber man bekommt leicht widerlegbare
Vorstellungen serviert, wie z.B., dass die Polizei mit diesen Referenzdaten
nichts anfangen könne. |
| Wie also sieht ein solcher Angriff im
Detail aus? Gelingt es einem Angreifer, Referenzdaten in Minuzienform aus
einer Datenbank zu stehlen, kann er aus diesen Daten mit Hilfe bekannter
mathematischer Methoden ein Fingerabdruckbild zurückrechnen [5].
Dieses Bild wird in der Regel wenig Ähnlichkeiten mit dem Originalbild
haben, zeichnet sich aber durch eine fatale Eigenschaft aus. Präsentiert
man es dem Sensor des betroffenen biometrischen Systems als mechanische
Kopie ("Plagiat"), wird dieses bei unzureichender Fälschungserkennung
daraus wieder exakt die gleichen Minuzien extrahieren, die bereits als
Fälschungsvorlage dienten. Damit kann das biometrische System das
nachgemachte Bild nicht vom echten unterscheiden, denn die Minuziendaten
von gestohlener Referenz und Plagiat sind ja die gleichen! |
| Zwar ist dieser Angriff kein einfacher,
die Gefahr liegt vielmehr in der teilweisen Automatisierbarkeit. Er setzt
nach einem erfolgreichen Datendiebstahl voraus, dass das Referenzdatenformat
bekannt ist. An dieser Stelle kommt die Standardisierung ins Spiel. Wir
wissen von heutigen IT-Angriffen, dass oft die schiere Menge den Erfolg
für den Angreifer ausmacht. Das erfordert für den üblichen
Angreifer billige Abläufe. Wäre das Referenzdatenformat nicht
standardisiert, müsste der Angreifer zunächst das proprietäre
Format verstehen lernen und in seine Rekonstruktionssoftware einbauen.
Aus einem Spam-Angriff würde also ein gezielter. Das rechnet sich
dann nicht, wenn es sehr viele solcher nicht öffentlich dokumentierter
Formate gibt. (Gleichzeitig ist es natürlich lohnender, möglichst
große Datensammlungen zu knacken, da man hier in der Regel gleiche
Bedingungen für alle Daten vorfindet.) |
| Der beschriebene Angriff ließe sich
natürlich vollständig abwehren, wenn man sich auf eine gut funktionierende
Fälschungserkennung verlassen könnte. Dann wäre die Veröffentlichung
der biometrischen Daten für diese eine Angriffsart sogar belanglos!
Leider ist die Wirklichkeit von diesem Ideal weit entfernt, zumindest für
Fingerprint. Bisherige Methoden mögen zwar zur Abwehr von speziellen
Plagiaten recht erfolgreich sein, allerdings ist kaum jemals zu erwarten,
dass sämtliche, auch noch nicht ausgetüftelte Methoden abwehrbar
sind, ohne dass die Erkennung berechtigter Nutzer darunter erheblich leiden
würde. |
Was tun?
| Ein wirkungsvoller und unerlässlicher
Schutz gestohlener biometrischer Daten vor Missbrauch ist die starke Verschlüsselung.
Dies gilt sowohl für die Speicherung als auch für die Übertragung.
Besonders über LAN ist eine Verschlüsselung biometrischer Daten
unentbehrlich, da im Prinzip jeder angeschlossene PC die Kommunikation
mitschneiden kann. (Das war in der Anfangszeit selbst bei einigen biometrischen
Systemen in Banken nicht selbstverständlich!) Empfohlen wird sogar
eine Mehrfachverschlüsselung durch Algorithmenanbieter, Applikationsentwickler
und Anwender. In diesem Fall kann keine der drei Parteien ohne die zwei
anderen erfolgreich die erforderliche Komplett-Entschlüsselung eines
gestohlenen Datensatzes durchführen. Mit der Verschlüsselung
im Fall unterschiedlicher Schlüssel für unterschiedliche Anwendungen
und Datenbanken ist damit die Standardisierung und Austauschbarkeit wirkungsvoll
aufgehoben, und zwar besser als es proprietäre Formate jemals vermögen. |
| Die Verschlüsselung muss in der Lage
sein, wenigstens so lange gegen Brute-Force-Angriffe durchzuhalten, wie
es der "Lebensdauer" der biometrischen Referenz entspricht. Nicht alle
biometrischen Daten haben eine kurze Lebensdauer. Bei Fingerabdrücken
sollte man vorsichtshalber die Gesamtlebenszeit des Anwenders (~100 Jahre)
ansetzen, auch wenn die Erkennungsleistung manchmal schon nach einigen
Jahren aufgrund natürlicher Veränderungen des biometrischen Charakteristikums
messbar nachlässt. Dabei ist zu berücksichtigen, dass auch der
Schlüssel korrumpiert werden kann. Dagegen hilft selbst die stärkste
Verschlüsselung nicht. |
| In der Biometrie (und dies gilt auch für
andere sicherheitsrelevante Verfahren) sollte man sich nicht auf einen
singulären Datenschutz verlassen, der alle Probleme gleichzeitig mittels
einer einzigen Methode löst. Vielmehr ist die Sicherheit durch eine
Vielzahl kleinerer Maßnahmen zu gewährleisten, so dass bei Ausfall
einer
Maßnahme der Gesamtschutz nur unwesentlich beeinträchtigt ist.
Im Fall der Verschlüsselung ist ein proprietäres Format als "Schutzmaßnahme"
also auch zusammen mit der Verschlüsselung noch nicht überflüssig,
sondern höchstens etwas eher entbehrlich. |
| Mit der Verschlüsselung sind aber
auch die sonstigen Vorteile der Standardisierung der Referenzdaten dahin:
Im Fall der empfohlenen Dreifachverschlüsselung ist immer dann eine
Neuregistrierung erforderlich, wenn der Algorithmenhersteller oder die
Applikation gewechselt wird. Aber ist das wirklich so schlimm? Es sieht
vielmehr so aus, dass es noch eine Reihe von weiteren Gründen gibt,
eine Neu- bzw. Auffrischregistrierung als festen operativen Bestandteil
eines biometrischen Systems zu akzeptieren! |
| Für die meisten Anwendungen ist es
durchaus möglich, den Registrierungsprozess einfach und gleichzeitig
sicher zu gestalten, so dass er nur wenige Minuten in Anspruch nimmt und
quasi jederzeit durchführbar ist. Man sollte sich immer vergegenwärtigen,
dass Biometrie etwas Besonderes ist. Wem als Betreiber z.B. 1 Neuregistrierung
pro
Jahr zu teuer ist, der sollte auf Biometrie ganz verzichten. Denn dann
wird entweder mit Kanonen nach Spatzen geschossen oder die Vorteile des
Biometrieeinsatzes reichen in diesem Fall offenbar nicht aus, diese Zusatzkosten
wieder wett zu machen. |
| Grundsätzlich ist die Möglichkeit
einer unkomplizierten Neuregistrierung auch für den Normalbetrieb
vorzusehen. Wenn bei der Erstregistrierung der Anwender bzw. Kunde noch
nicht mit dem Umgang mit dem biometrischen System vertraut ist, wird üblicherweise
auch die Referenzdatenqualität noch nicht optimal sein. Die erneute
Registrierung bietet dann die Möglichkeit, die Erkennungsraten individuell
deutlich zu verbessern. Unabhängig davon wird im (gefühlten)
Zeitalter der Datenschutzpannen die Definition eines festen Verfallsdatums
die Akzeptanz beim Anwender deutlich erhöhen. |
Grenzen der Normung
| Die Standardisierung biometrischer Referenzdaten
ist im Übrigen keine Gewähr für bestmögliche Erkennungsraten.
Maximale Performanz darf man nur dann erwarten, wenn die gleiche Hardware
und die gleichen Erkennungsalgorithmen, die die Referenz erzeugt haben,
auch die Erkennung durchführen. Andernfalls liegt die Leistung regelmäßig
unter den für diesen Algorithmus üblichen Werten, was auch durch
Interoperabilitätstests (MINEX) bestätigt wurde [3].
Wenn man also in einer Anwendung den Algorithmus wechselt, sollte man auch
bei standardisierten Referenzdaten eine Neuregistrierung anstreben. Allerdings,
und das ist der verbleibende Vorteil der Standardisierung, muss die Neuregistrierung
nicht unmittelbar zusammen mit dem Wechsel durchgeführt werden. Dadurch,
dass man sich etwas Zeit lassen kann, erreicht man einen glatteren Betriebsübergang. |
| Zu beachten ist, dass Kompatibilität
nicht nur mit der Referenzdaten-Standardisierung verknüpft ist. Schon
der Wechsel der Erfassungshardware kann zu deutlichen Performanzeinbußen
führen, selbst wenn der integrierte Sensor der gleiche geblieben ist.
Dies gilt insbesondere für kleinere Sensoren, die aus Kostengründen
nur einen Teil des Fingerabdrucks abbilden. Wenn sich in diesem Fall die
mechanische Fingerführung geändert hat, so dass sich Abdrücke
mit alter und neuer Hardware nicht mehr 100%ig überlappen, ist auf
jeden Fall mit einer Erhöhung der Erkennungsfehlerraten zu rechnen.
Will man alte und neue Hardware parallel betreiben, ist eine Neuregistrierung
keine Lösung. Hier helfen eher Algorithmen weiter, die schon bei der
Erstregistrierung auf eine ausreichende Variation der Fingerlage auf dem
Sensor achten und auf diese Weise einen größeren Referenzfingerabdruck
erzeugen, als der Sensorfläche entsprechen würde. |
| Hat man sich einmal für einen Referenzdaten-Standard
entschieden, kann man ohne Neuregistrierung (oder Formatkonverter) nur
noch zu Algorithmen wechseln, die den selben Referenzdatenstandard unverschlüsselt
nutzen. Allein für Fingerprint gibt es derzeit 4 unterschiedliche
biometrische Datenaustauschformate, die untereinander inkompatibel sind: |
| ISO/IEC 19794-2: Fingerminuziendaten |
| ISO/IEC 19794-3: Spektrale(s) Muster der
Finger-Daten |
| ISO/IEC 19794-4: Fingerbilddaten |
| ISO/IEC 19794-8: Daten skelettierter Fingerabdrücke |
| Selbst bei Beschränkung auf einen
der genannten Standards, gibt es immer noch unterschiedliche, inkompatible
Subformate. Teilweise lassen sich die einzelnen Formate ineinander umrechnen,
und zwar mittels geeigneter Formatkonverter. Solche Formatkonverter sind
natürlich auch für die Umrechnung von proprietären Formaten
in genormte und umgekehrt denkbar. Dies kann allerdings mit Konvertierungsverlusten
einher gehen, wobei das Fingerbilddatenformat nach ISO/IEC 19794-4 noch
die beste Möglichkeit darstellt, Referenzdaten systemunabhängig
dauerhaft zu speichern, wenn man einmal vom originären Bitmap-Format
(BMP) absieht. Da es sich hier mehr oder weniger um ein Rohdatenformat
handelt, ist es auch das Format mit der meisten Information. Es lässt
sich deshalb mit den geringsten Verlusten in fast beliebige weitere, auch
standardisierte Formate umwandeln. Die Speicherung ist im Sinne des Datenschutzes
dann natürlich mit den höchsten Schutzvorkehrungen vorzunehmen! |
| Wir sehen also auch hier, dass die Entscheidung
für Standard nicht automatisch eine beliebige Austauschbarkeit mit
gegenwärtigen, geschweige denn zukünftigen Formaten bedeutet,
zumal sich schon heute nicht alle Referenzdaten derzeit am Markt erhältlicher
Systeme ohne deutliche Leistungseinbußen in ein verfügbares
Standardformat zwängen lassen. Andererseits gibt es Referenzdatennormen,
die am Markt nur von wenigen, wenn nicht gar nur von einem einzigen Algorithmenhersteller
unterstützt werden, wie z.B. ISO/IEC 19794-3. Die Verwendung eines
selten genutzten ("firmenspezifischen") Standards hat deshalb für
die Austauschbarkeit keine wirklichen Vorteile gegenüber einem proprietären
Format. Aber seine Software als "standardkonform" bezeichnen zu können,
klingt allemal gut und wird so manchen technisch weniger bewanderten Einkäufer
geschickt am eigentlichen Ziel vorbeilenken, nämlich das Beste für's
Geld zu erwerben. |
Fazit
| Datenschutz und freie Austauschbarkeit
von biometrischen Daten sind nicht leicht miteinander zu vereinbaren. Da
einerseits dem Schutz biometrischer Daten besondere Bedeutung zukommt (für
die es bisher keine Entsprechung gibt!) und andererseits deren Standardisierung,
wie gezeigt, in vielen Anwendungen nur unwesentliche praktische Vorteile
hervorbringt, neigt der Verfasser dazu, Standardformate nur dort zu empfehlen,
wo eine Austauschbarkeit unabdingbar ist und angemessene besondere Schutzmaßnahmen
kostenmäßig kein Problem darstellen. Das gilt insbesondere für
Systeme, die mit den Komponenten mehrerer Hersteller gleichzeitig arbeiten
müssen. |
Referenzen
|