Biometrische Log-ins mit der Blockchain sichern

Biometrie in der Blockchain

Als wichtigster Hoffnungsträger der fälschungssicheren Authentifizierung gilt mittlerweile die Blockchain-Technologie, kurz DLT für Distributed Ledger Technology. Diese Technik nutzt fortgeschrittene Kryptografie und eine verteilte Datenbank, um eine lückenlose Nachverfolgung von Ereignissen, autarken Vertragsvollzug durch Software und eine Vielzahl anderer praktischer Anwendungen in diversen Bereichen der Wirtschaft zu ermöglichen.
Vor allem Datenintegrität und Verschlüsselung sind für viele Unternehmen eine Herausforderung
Quelle: Techsonsult, n = 510 mittelständische Unternehmen und öffentliche Verwaltungen
Die verteilte Architektur der Blockchain hat zahlreiche Vorteile, nicht zuletzt im Hinblick auf die Gewährleistung der Datenintegrität. Der Ansatz führt zur Entstehung einer hohen Anzahl gleichwertiger Replikas des DLT-Protokolls, während verteilte, autarke Software die Gültigkeit der Sicherheits­kopien anhand kryptografischer Prüfsummen kontinuierlich überprüft. Vor allem der Verzicht auf eine zentrale Vermittlungsstelle zugunsten eines Peer-to-Peer-Netzwerks verhindert, dass es an einem gemeinsamen Punkt zu einem Sicherheitsproblem kommt.
Ein häufig propagiertes vermeintliches Patentrezept für eine blockchainbasierte Authentifizierung folgt einem einfachen Gedankengang: jeden Mitarbeiter biome­trisch erfassen und an die Blockchain anketten – Problem gelöst. Doch ganz so einfach ist es nicht, denn bei diesem Ansatz stossen zwei gravierende Probleme aufeinander: Ein Sicherheitsvorfall hat bei gespeicherten biometrischen Authentifizierungsmerkmalen schwere datenschutzrechtliche Konsequenzen, etwa durch den Zugriff auf den Personalausweis. Die Unveränderlichkeit der Datenblöcke in einer Blockchain erschwert zudem die Geheimhaltung schutzwürdiger Informationen. Angesichts steigender Rechenleistung ist in Zukunft nicht gewährleistet, dass aktuelle Verschlüsselungs-Algorithmen nicht geknackt werden.

Sensible Informationen stehen auf dem Spiel

Cybersicherheits-Experten wie Gunnar Porada, Geschäftsführer der IT-Sicherheitsberatung innoSec, warnen vor dem zu sorglosen Einsatz biometrischer Authentifizierung. Sollten Daten der Körper- oder Verhaltensbiometrie in falsche Hände geraten, könnten sich Cyberkriminelle die Identität des Betroffenen erschleichen, erläutert Porada. Selbst Dermalog, ein Unternehmen der Bundesdruckerei und unter anderem Hersteller der Fingerabdruckscanner für Behörden, musste das Missbrauchspotenzial dieser Daten einräumen.
Beim Verlust von biometrischen Daten bestehen für den Betroffenen keinerlei Möglichkeiten der Schadensbegrenzung. Denn anders als ein Zertifikat, ein Schlüssel oder ein Token-Generator lassen sich körpereigene Merkmale nicht einfach austauschen. Das Risiko – vor allem für die Privatsphäre der Mitarbeiter, aber auch für jeden Arbeitgeber, der diese Daten künftig nutzen wollte – ist gravierend.
Die Unveränderlichkeit der Blockchain stellt ein weiteres Problem dar. Denn bereits beglaubigte Datenblöcke können nur gelesen, aber nicht manipuliert werden. So steht und fällt die Geheimhaltung der Daten, die innerhalb einer Blockchain «gesichert» sind, letztlich mit der Widerstands­fähigkeit der eingesetzten Verschlüsselung – und diese nimmt mit der Zeit aufgrund der steigenden Rechenleistung prinzipiell immer ab. So verwandelt sich die Blockchain im Endeffekt zu einem Gefahrenpunkt: Der Bruch der Verschlüsselung an einem beliebigen Netzwerkknoten führt zur Enthüllung sensibler Authentifizierungsdaten, womöglich samt Biometrik. Die verteilte Architektur der Blockchain kann also zwar die Integrität der Daten gewährleisten, nicht jedoch deren Geheimhaltung.
In einem typischen Anwendungsszenario der Blockchain dient diese Technologie ja auch nicht der Geheimhaltung von Informationen, sondern der Konsensbildung: Viele voneinander unabhängige Netzwerkteilnehmer stimmen über die Gültigkeit zuvor abgeschlossener Transaktionen ab oder bezeugen sich gegenseitig relevante Ereignisse. Dennoch erhoffen sich Sicherheitsexperten von der Blockchain unbestreitbare Vorteile. Die verteilte Datenspeicherung soll selbstheilende, praktisch unzerstörbare Ereignisprotokolle ermöglichen und dank automatischer Audits und fortgeschrittener Forensik viele Arten von Cybersicherheits-Attacken im Keim ersticken.



Das könnte Sie auch interessieren