Gesichtserkennung

Biometrie-Tools aus der Cloud

Weitere Verfahren nötig

Die Datenschützer fordern zudem, dass biometrische Verfahren nicht als alleiniges Verfahren der Authentifizierung genutzt werden, sondern immer von weiteren Sicherheitsfaktoren wie Passwörtern oder Smartcards begleitet werden müssen. Hintergrund ist die Gefahr, dass zum Beispiel ein Fingerabdruck "gestohlen" werden könnte.

Der abschließende Punkt der dargestellten Datenschutzforderungen ist besonders kritisch, wenn es um Cloud-basierte Biometriedienste geht. So sprechen sich die Aufsichtsbehörden aus Sicherheitsgründen gegen eine zentrale Speicherung von biometrischen Daten aus. Stattdessen sollen die biometrischen Daten dezentral in Form von Templates (biometrischen Mustern) geschützt gespeichert werden, zum Beispiel auf einer Smartcard. Die biometrischen Daten sollen also unter der Kontrolle des Inhabers verbleiben.

Die zentrale Speicherung jedoch ist oftmals ein wesentlicher Punkt einer Cloud-basierten Lösung. Es gibt allerdings auch Lösungen, die dem Anwenderunternehmen den Ort der Datenspeicherung als Wahl überlassen, zentral auf einem Server oder lokal auf dem Endgerät oder der Smartcard.

Ziel: höhere Flexibilität statt größerer Risiken

Gerade Cloud-basierte Lösungen und leicht integrierbare Plug-ins für mobile Dienste und Online-Services machen die Einführung einer biometrischen Zugangskontrolle schnell und relativ einfach. Dabei darf jedoch nicht vergessen werden, dass aus Datenschutzsicht hohe Anforderungen an das Verfahren der Wahl zu stellen sind.

Neben den oben skizzierten datenschutzrechtlichen Vorgaben für Biometrielösungen sind auch die Datenschutzrichtlinien für Cloud Computing zu beachten. Dazu gehört es laut Bundesdatenschutzgesetz (BDSG) zum Beispiel, dass sich ein Anwenderunternehmen von den Sicherheitsmaßnahmen wie der Datenverschlüsselung überzeugen muss, bevor es ein solches Biometrieverfahren aus der Cloud einführt.

Ziel muss es sein, eine sichere und flexible Lösung für die Mehr-Faktor-Authentifizierung zu finden, wenn ein entsprechender Schutzbedarf bei der Zugangskontrolle besteht. Die möglichen Datenrisiken durch Biometrie in Kombination mit Cloud Computing sind unbedingt zu berücksichtigen. Ein Identitätsdiebstahl durch den Missbrauch biometrische Daten, der zum Beispiel durch eine fehlende Cloud-Verschlüsselung möglich werden könnte, muss verhindert werden. (sh/hal)