Online-Banking hat sich in Österreich durchgesetzt. Laut einer Umfrage erledigen 77 Prozent der Befragten zwischen 16 und 74 Jahren ihre Bankgeschäfte online. Biometrische Verfahren machen Online-Banking nutzerfreundlicher und sicherer. Doch wie funktionieren sie – und was passiert mit unseren biometrischen Daten? Wir haben die Antworten.
Biometrie als Wissenschaft beschäftigt sich mit der Messung und Analyse biologischer Merkmale von Lebewesen. Im Kontext von Technologie bedeutet Biometrie, dass einzigartige Merkmale einer Person erfasst und zur Identifikation oder Authentifizierung verwendet werden. Es werden zwei Kategorien biometrischer Merkmale unterschieden: einerseits körperliche Merkmale wie Fingerabdruck, Gesichtsform, Iris- oder Netzhautmuster und andererseits verhaltensbasierte Merkmale wie die Stimme, der Gang, Mausbewegungen und Tippgeschwindigkeit bei der Arbeit am Rechner.
Alle diese Merkmale werden mithilfe von Sensoren erfasst, beispielsweise Kameras für die Gesichtserkennung oder Scanner für Fingerabdrücke. Die erfassten Daten werden in ein digitales Format umgewandelt und auf Schlüsselinformationen, wie Knotenpunkte im Gesicht, reduziert. Diese Informationen werden in Form eines mathematischen Modells (Template) gespeichert. Bei einer Authentifizierung vergleichen Algorithmen die aktuellen Daten mit dem gespeicherten Template und berechnen die Übereinstimmungswahrscheinlichkeit. Nur wenn ein vordefinierter Schwellenwert erreicht wird, wird die Identität bestätigt.
Hast du schon ein Wüstenrot LIFE Girokonto? Der Kontowechsel ist natürlich gratis und mit unserem Kontowechselservice ganz rasch und unkompliziert erledigt. Eröffne dein Konto schnell, einfach online. Oder über deine:n Privatkundenberater:in.
Online-Banking machst du mobil mit der Wüstenrot App. Der Login läuft unkompliziert über die Fingerabdruck- oder Gesichtserkennung deines Smartphones. Die Wüstenrot App ist eine für alles – für Giro- und Sparkonten, Bank- und Kreditkarte. Hier hast du aber auch deine Bausparverträge und Versicherungen im Blick. Mit der App kannst du Schäden melden oder auf Wunsch rasch einen Termin für eine persönliche Beratung vereinbaren.
Fingerabdrücke werden schon seit der Antike zum Signieren und Besiegeln von Verträgen und zur Authentifizierung verwendet. Seit dem 19. Jahrhundert werden sie zur Verbrechensbekämpfung eingesetzt. Die Fingerabdruckerkennung zur Authentifizierung ist weit verbreitet, da viele Smartphones mit Fingerabdrucksensoren ausgestattet sind.
Für die Gesichtserkennung werden Kameras zur Identifikation eingesetzt, zum Beispiel am Smartphone oder bei Passkontrollen am Flughafen.
Stimmerkennung: Jede Stimme hat charakteristische physiologische Merkmale wie Tonhöhe, Frequenzverteilung, Klangfarbe, aber auch Verhaltensmerkmale wie Sprechtempo, Betonung, Akzent. Diese Methode wird zum Beispiel in Call-Centern eingesetzt.
Iris- und Retina-Scans: Die Muster auf der Iris und das Netzwerk von Blutgefäßen auf der Netzhaut des Auges sind einzigartig und verändern sich nach der Geburt nur noch minimal. Darum bietet diese Variante einen hohen Sicherheitsfaktor. Retina- und Iris-Scanner verwenden Infrarotlicht, um die Muster zu erkennen. Auch Iris-Scanner werden neben Fingerabdruck- und Gesichtserkennung in Smartphones zur Authentifizierung eingesetzt.
Venen-Scans: Diese Methode macht sich die einzigartigen Venenmuster in der Hand zunutze. Die Handvenenerkennung wird beispielsweise für den Zugang zu Gebäuden oder Safes und in einigen Ländern bei Geldautomaten eingesetzt.
Die Verhaltensbiometrie analysiert Schreibverhalten, Tippgeschwindigkeit oder Bewegungsmuster. Sie wird oft im Hintergrund verwendet, um zusätzlichen Schutz zu bieten.
Ob Einkaufen oder Banking – die meisten Menschen erledigen heute ihre geschäftlichen Angelegenheiten weitgehend online. Vor allem bei Online-Banking-Apps und -Portalen muss dabei sichergestellt werden, dass sich nur berechtigte Personen einloggen können.
Die seit dem Jahr 2018 geltende EU-Richtlinie PSD2 verpflichtet Zahlungsdienstleister zu einer starken Kundenauthentifizierung (Strong Customer Authentication, SCA). Diese muss auf mindestens zwei von drei folgenden Kategorien basieren:
Wissen: Etwas, das ich weiß, zum Beispiel Passwort oder PIN
Besitz: Etwas, das ich besitze, zum Beispiel Smartphone, Karte, Token
Inhärenz: Etwas, das ich bin, zum Beispiel Fingerabdruck, Gesichtserkennung
Die Herausforderung dabei: Der Zugang muss unkompliziert und gleichzeitig sicher sein.
Die manuelle Eingabe eines Benutzernamens und eines Passworts ist dagegen lästig und wenig sicher. Hacker nutzen viele Methoden, um an Zugangsdaten heranzukommen. Wer einfache Passwörter verwendet, macht es den Angreifern leicht. Wer hingegen komplexe Zahlen- und Buchstabenkombinationen einsetzt, speichert diese riskanterweise oft in Dateien auf Rechnern und Handys oder notiert sie auf Zetteln. Auch die häufig verwendeten Passwort-Manager im Browser können Schwachstellen aufweisen.
Oft wird als zusätzlicher Authentifizierungs-Faktor ein Einmalpasswort oder Code per SMS-Nachricht verschickt. Dieses Verfahren bringt aber keinen Vorteil. Es ist umständlich, da zwischen verschiedenen Anwendungen gewechselt werden muss. Und es besteht die Gefahr, dass diese Nachrichten abgefangen bzw. ausgespäht werden.
Die biometrische Authentifizierung beim Onlinebanking bietet entscheidende Vorteile. Anders als Passwörter, sind sie einzigartig und an eine Person gebunden. Selbst Hacker können einen Fingerabdruck oder ein Gesichtsprofil nicht so einfach kopieren.
Für die Authentifizierung über biometrische Merkmale werden verschlüsselte Passkeys erzeugt, die nur auf dem Gerät der Nutzer:innen gespeichert werden und nicht übertragen werden können.
Diese an ein Gerät gebundenen Passkeys gewährleisten eine besonders sichere Authentifizierung, weil sie zwei Kategorien miteinander kombinieren: etwas, das ich besitze und etwas, das ich bin. Also den Besitz eines Geräts mit einem biometrischen Merkmal. Die Methode ist nicht nur besonders sicher, sondern auch besonders komfortabel: Beide Faktoren werden in einem Rutsch, innerhalb eines Vorganges, abgefragt und bestätigt. Nutzer:innen müssen keine Zugangsdaten eingeben, sich keine Passwörter merken, verwalten und regelmäßig wechseln. Sie tun nichts weiter, als ihr biometrisches Merkmal vorzuzeigen.
Auch zur Bestätigung von Transaktionen wie beispielsweise Überweisungen wird die biometrische Authentifizierung anstelle der Eingabe von TAN-Codes eingesetzt.
Ganz ohne Benutzernamen und Passwort geht es jedoch nicht. Zugangsdaten müssen bei der Einrichtung eines Kontos weiterhin festgelegt werden. Im Zuge der biometrischen Authentifizierung werden die Daten vom Gerät automatisch eingesetzt. Das Eintippen der Anmeldedaten fällt damit weg – es sei denn die Gesichtserkennung funktioniert nicht, zum Beispiel im Dunkeln.
Banken entwickeln in der Regel keine eigenen biometrischen Systeme zur Authentifizierung. Sie nutzen die biometrischen Funktionen von Telefonen und anderen Geräten und greifen auf deren sichere Infrastruktur zurück. Das ist auch beim Einloggen in der Wüstenrot App der Fall.
Für die Authentifizierung über biometrische Merkmale werden verschlüsselte Templates oder Passkeys erzeugt, die nur auf dem Gerät der Nutzer:innen, in einem sicheren Bereich des Hauptprozessors oder auf einem dedizierten Sicherheitschip gespeichert werden.
Wenn du eine biometrische Authentifizierung durchführst, wird dein biometrisches Merkmal lokal auf deinem Gerät mit einem verschlüsselten Template verglichen.
An die Bank oder den Anbieter wird nur das Ergebnis der Authentifizierung weitergegeben. Deine biometrischen Daten verlassen nicht dein Telefon.
Diese lokale Speicherung deiner biometrischen Daten und der lokale Abgleich haben Vorteile für dich und den Anbieter:
Die Nutzung vorhandener Gerätefunktionen macht die biometrische Authentifizierung nahtlos und einfach.
Biometrische Daten verlassen das Gerät nicht und können nicht von Angreifern auf zentralen Servern gestohlen werden. Nutzer:innen behalten die Kontrolle über ihre biometrischen Daten.
Banken und andere Anbieter nutzen biometrische Funktionen, die auf Geräten, die ihre Kund:innen nutzen, vorhanden sind. Sie greifen auf deren sichere Infrastruktur zurück, anstatt eigene biometrische Systeme zu entwickeln zu müssen.
Durch die lokale Speicherung vermeiden Banken rechtliche und technische Herausforderungen, die mit der Verarbeitung und Speicherung biometrischer Daten einhergehen.
Die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union regelt den Schutz personenbezogener Daten und damit auch den Umgang mit biometrischen Daten. Diese Vorgaben der DSGVO müssen bei der Authentifizierung eingehalten werden:
Es muss sichergestellt sein, dass die biometrische Authentifizierung freiwillig genutzt wird. Daher darf sie nicht die einzige Option sein. Kund:innen müssen alternative Methoden wählen können.
Die biometrischen Daten dürfen ausschließlich für die Authentifizierung verwendet werden und nicht für andere Zwecke.
Biometrische Daten müssen verschlüsselt gespeichert werden. Und dürfen nicht direkt einer bestimmten Person zugeordnet werden können.
Die Speicherung biometrischer Daten sollte auf ein Minimum beschränkt und idealerweise nur lokal auf dem Gerät des Nutzers erfolgen.
Die in Österreich von Anbietern wie Wüstenrot genutzten Verfahren zur Authentifizierung werden den Datenschutz-Anforderungen in vollem Umfang gerecht.
Biometrische Authentifizierungsverfahren machen Online-Banking zum Beispiel mit der Wüstenrot App sicherer und komfortabler. Sie ersetzen die Eingabe von Zugangsdaten durch das Vorzeigen einzigartiger persönlicher Merkmale wie Fingerabdruck oder Gesicht. Die Verschlüsselung und die lokale Speicherung biometrischer Daten schützt diese vor Angriffen und entspricht den strengen Datenschutz-Anforderungen der DSGVO. Trotz der Vorteile müssen weiterhin alternative Authentifizierungsmethoden angeboten werden.
Können biometrische Authentifizierungssysteme getäuscht werden?
Biometrische Authentifizierungssysteme sind anfällig für gezielte Täuschungsversuche, insbesondere durch gefälschte Fingerabdrücke, Fotos oder Masken. Moderne Geräte wie Smartphones verwenden jedoch Technologien wie Lebenderkennung, 3D-Sensoren und Multispektralanalyse, um Täuschungen zu erkennen und zu verhindern. In Kombination mit Multifaktor-Authentifizierung bieten diese Technologien ein hohes Maß an Sicherheit.
Was kann ich tun, wenn ich keine biometrischen Merkmale preisgeben will?
Die DSGVO hat klare Regelungen zum Schutz persönlicher Daten festgelegt. Niemand darf zur biometrischen Authentifizierung gezwungen werden. Es müssen auch alternative Methoden angeboten werden. Aber auch bei der biometrischen Authentifizierung gibst du deine biometrischen Daten nicht preis. Sie werden verschlüsselt nur innerhalb deines Endgerätes gespeichert und abgeglichen.
