Biometrie

Genügt im Zahlungsverkehr Ihr Fingerabdruck?

15.09.2021
Von 
Harold Li ist Vice President bei ExpressVPN und Teil des Senior Leadership Teams. Er arbeitet in den Bereichen Produkt Customer Experience, Business Development und Marketing. Als Datenschutz- und Sicherheitsexperte des Unternehmens arbeitet er auch eng mit Lobbyorganisationen wie der EFF, dem Center for Democracy & Technology, Fight for the Future, OpenMedia und dem Open Source Technology Improvement Fund zusammen. Li hat zuvor bei Uber gearbeitet und war als Berater für HP Enterprise, Qualcomm und Spotify tätig.
Scans zur Gesichtserkennung oder für den Daumenabdruck werden immer häufiger genutzt. Ob diese Art der Authentifizierung auch für den Zahlungsverkehr ausreicht?
  • Datenlecks, Hacks und anderen Gefahren
  • Der Gesetzgeber
  • Untraceable Biometrics
Ob per Fingerabdruck oder Gesichserkennung. Biometrische Authentifizierung wird vermehrt auch im Zahlungsverkehr angewandt.
Ob per Fingerabdruck oder Gesichserkennung. Biometrische Authentifizierung wird vermehrt auch im Zahlungsverkehr angewandt.
Foto: sitthiphong - shutterstock.com

Sowohl Apple Pay als auch Google Pay unterstützen biometrische Zahlungen, und auch die Bank BNP Paribas arbeitet daran ihren Kunden die Authentifizierung von Kartenzahlungen mit biometrischen Verfahren zu ermöglichen. Zukünftig sollen Kunden der französischen Großbank Zahlungen über höhere Beträge mithilfe ihres Fingerabdrucks anstatt mit der PIN-Eingabe freigeben können.

Lesetipp: BNP Paribas - CIO Simone Bock modernisiert die ID

Der globale Markt für biometrische Technologien wächst jährlich mit einer durchschnittlichen Rate von fast 20 Prozent und wird bis 2025 schätzungsweise auf 59,31 Mrd. USD ansteigen. Der Vorteil liegt auf der Hand: Das hektische Fummeln nach der Brieftasche oder das Zusammensuchen des losen Kleingelds in den Hosentaschen entfällt. Außerdem erschweren die Beständigkeit und Einzigartigkeit unserer Fingerabdrücke, Netzhäute und anderer biometrischer Merkmale - zumindest in der Theorie - betrügerische Transaktionen.

Doch je mehr Informationen Algorithmen über unsere Identität sammeln, desto mehr rücken Fragen zum Datenschutz in den Fokus.

Datenlecks, Hacks und andere Gefahren

Im Falle eines Cyberangriffs oder einer großen Datenpanne kann das Ändern des Passworts und anderer Anmeldedaten dazu beitragen, die Offenlegung vertraulicher Informationen zu begrenzen. Die Hacker hätten dann vielleicht dieses eine Mal Zugang zu den Konten gehabt, aber zukünftige Zugriffe lassen sich so verhindern.

Bei biometrischen Daten ist das jedoch nicht so einfach. Unsere Daumenabdrücke und Gesichter begleiten uns dauerhaft; wir können sie nicht einfach gegen eine neue Identität austauschen. Das Risiko eines Diebstahls oder Missbrauchs biometrischer Daten ist hoch - es ist nur eine Frage der Zeit, bis diesbezügliche Kriminalität mit der zunehmenden Nutzung steigt.

Alarmierende Beispiele in verschiedenen Ländern zeigen die Risiken auf: Aadhaar, Indiens zentrale Datenbank für biometrische Identifikatoren wie Fingerabdrücke, war in der Vergangenheit bereits von einer massiven Datenpanne betroffen. Ein ähnlicher Angriff hatte Nadra als Ziel, die zentrale Datenbank Pakistans, die ebenfalls biometrische Merkmale der Bürger erfasst. Datenbanken wie Aadhaar und Nadra enthalten jedoch keine Zahlungsinformationen, die speziell an biometrische Details gebunden sind - bis jetzt.

Während Datenschutzverletzungen jeglicher Art schwerwiegende Folgen für Einzelpersonen haben können, ist es weitaus verheerender, wenn biometrische Identifikationsmerkmale auch mit Zahlungsdaten verknüpft wurden. Wird die Handfläche mit einem biometrischen Gerät gescannt, validieren die Algorithmen im Wesentlichen die eindeutigen Identifizierungsmerkmale und gleichen sie mit den zuvor ausgefüllten Zahlungsdaten ab. Je größer diese Datenbanken werden, desto mehr geraten sie in den Fokus von Hackern und anderen Kriminellen, um daraus Profit zu schlagen.

Lesetipp: OSINT Tools - Wie viel wissen Hacker über Sie?

Notwendigkeit von Interventionen durch den Gesetzgeber

Im Februar 2020 hat die EU mit einem Whitepaper weitreichende Regelungen rund um Gesichtserkennung und künstliche Intelligenz angestoßen. Das Ziel war, einen einheitlichen Markt für Daten in ganz Europa zu schaffen. In Verbindung mit der Datenschutz-Grundverordnung (DSGVO) ist es denkbar, dass Europa von Unternehmen verlangen könnte, sich an einheitliche Standards und Prozesse zu halten, wenn sie an biometrischen Zahlungsmöglichkeiten arbeiten. Das sind keine guten Nachrichten für Unternehmen wie Amazon oder Facebook, die voraussichtlich versuchen werden, die gesetzlichen Rahmenbedingungen zu beeinflussen, um eine für sie vorteilhafte Regelung zu erreichen.

Biometrische Daten sind hochsensibel. Wenn man nun bedenkt, dass große Tech-Unternehmen nicht immer ihr Bestes geben, um die Privatsphäre der Nutzer zu schützen, sollte man ihnen wirklich intime Details über die eigene Identität anvertrauen? Derzeit hat niemand außerhalb dieser Firmen eine klare Vorstellung von den Sicherheits- und Datenschutzprotokollen, die in deren Datenbankmanagement eingebettet sind. Aber wenn es eine Regelung gäbe, die klar und standardisiert festschreibt, wie Unternehmen das biometrische Zahlungsmanagement angehen müssen, könnte dies einen großen Beitrag zum Schutz vor Missbrauch leisten.

Lesetipp: Digitale Identität wird für Banken zum Geschäftsmodell

Schutz durch Technologie

"Untraceable biometrics" können eine weitere Lösung sein. Dabei handelt es sich um Technologien, die eine sichere Verarbeitung biometrischer Informationen versprechen, ohne die Daten tatsächlich mit einer Person in Verbindung zu bringen. Dafür werden biometrische Daten, die eine Person übermittelt, in eine unabhängige Datenkette oder einen Schlüssel umgewandelt. So entsteht durch die biometrischen Daten ein Decoder zur eindeutigen Identitätserkennung.

Solche Technologien sind bereits in der Anwendung: NEXUS beispielsweise basiert auf einem biometrischen System, das beim Grenzübertritt zwischen Kanada und den Vereinigten Staaten zum Einsatz kommt. Allerdings sind diese Ansätze für Unternehmen aufgrund der komplexen Algorithmen und der benötigten Hardware meist unerschwinglich. Ohne eine entsprechende Gesetzgebung, die ihre Verwendung vorschreibt, ist davon auszugehen, dass kein großes Unternehmen einen Anreiz hat, "untraceable biometrics" zu implementieren.

Der Gesetzgeber muss also seinen Teil dazu beitragen, wie es die EU bereits in Ihrem Whitepaper zu künstlicher Intelligenz und biometrischen Technologien angestoßen hat. Doch es bedarf nicht nur einer lokalen, sondern auch einer bundesweiten oder gar globalen Anstrengung, um die Sicherheit biometrischer Zahlungen zu gewährleisten.

Als Verbraucher müssen wir erkennen, dass jede neue komfortable Technologie unweigerlich einen Kompromiss in Bezug auf die Privatsphäre darstellt. Biometrische Zahlungen sind verlockend, aber solange wir keine Gewissheit über deren Sicherheit haben, sollte diese Technologie nicht genutzt werden. Zudem sind Systeme, die eine sichere Verarbeitung biometrischer Informationen versprechen, aufgrund der komplexen Algorithmen und der benötigten Hardware für viele Unternehmen derzeit meist unerschwinglich. Und wem seine Anonymität und die Anonymität seiner Kunden wichtig ist, der setzt für den Bezahlvorgang ohnehin am besten auf Bargeld.