DsiN-Blog

Der IT-Sicher­heitsblog für den Mit­tel­stand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abon­nieren:

Bio­metrie: Zutritt und Zugriff nur von berech­tigten Per­sonen

Zur ein­deu­tigen Iden­ti­fi­zierung von Per­sonen werden in einigen Unter­nehmen oder Insti­tu­tionen bereits bio­me­trische Authen­ti­fi­zie­rungs­ver­fahren (Zuordnung phy­sio­lo­gi­scher Merkmale) ange­wandt. Damit ver­folgt man das Ziel, die genaue Iden­tität einer Person zu ermitteln oder die vor­ge­gebene Iden­tität zu veri­fi­zieren.


Mit der Über­prüfung der Iden­tität einer Person auf Basis einer bio­me­tri­schen Datenbank wird sicher­ge­stellt, dass nur die Person Ein­tritt in geschützte Räume oder Zugriff auf bri­sante Daten erhält, die auch tat­sächlich in der Datenbank regis­triert ist.

Um sicher­zu­stellen, dass nur berech­tigte Per­sonen Ein­tritt erhalten, gibt es nun auch in öffent­lichen Ein­rich­tungen (z.B. Frei­bäder, Schulen etc.) bio­me­trische Ver­fahren wie die Fin­ger­print­me­thode.

Mitt­ler­weile gibt es eine große Auswahl an bio­me­tri­schen Kon­troll­sys­temen: ange­fangen von der Gesichts- und Iri­ser­kennung über den Fin­ger­print bis hin zum Venenscan.

Vor- und Nach­teile von bio­lo­gi­schen Merk­malen

Der Vorteil ist, dass die bio­lo­gi­schen Merkmale selten ver­loren gehen und nicht an andere Per­sonen wei­ter­ge­geben werden können (z.B. Fin­ger­print oder Gesichts­er­kennung).
Aber es gibt auch Nach­teile:

  • Die Kosten für die Anschaffung und Ein­richtung von bio­me­tri­schen Sys­temen sind im Ver­hältnis sehr hoch
  • Es gibt auch hygie­nische Vor­be­halte durch das Berühren von techn. Geräten (z.B. Fin­ger­print)
  • Event. gibt es auch Erken­nungs­schwie­rig­keiten bei zwi­schen­zeit­lichen Ver­än­de­rungen der bio­lo­gi­schen Merkmale (Verletzungen/Narben bei Fin­ger­print)

Ein­führung bio­me­tri­scher Systeme in Unter­nehmen

Wenn Sie bio­me­trische Systeme in Ihrem Unter­nehmen ein­führen wollen, dann sollten Sie bereits in der Pla­nungs­phase Ihre Betriebs­partner
(Betriebsrat/Personalrat) mit ein­binden. Es geht hier nicht nur aus­schließlich um die Sicherheit im Unter­nehmen, sondern eben auch um die Ein­bindung
der Mit­ar­beiter und Mit­ar­bei­te­rinnen in dieses Sicher­heits­system. Man muss sich den Fragen stellen, was mit den gespei­cherten bio­me­tri­schen Daten pas­siert,
was ist bei Verlust der Daten, was pas­siert bei Aus­scheiden eines Mit­ar­beiters mit den Daten? Wo werden die Daten zentral gespei­chert? Wer hat Zugriff?
Und, und und….organisatorische Fragen, die vor der Ein­führung von bio­me­tri­schen Ver­fahren im Unter­nehmen geklärt werden müssen.

Tech­nisch und orga­ni­sa­to­rische Rah­men­be­din­gungen
 
Wenn eine Ver­bindung zwi­schen bio­me­tri­schen und anderen Iden­ti­täts­daten besteht, dann muss dieser Kanal sicher geschützt werden.

Es muss sicher­ge­stellt sein, dass bei der Über­tragung, der Prüfung und Spei­cherung der bio­me­tri­schen Daten kein Abhören, unbe­fugte Offen­legung oder eine Mani­pu­lation statt­finden kann.

  • Keine alleinige Nutzung der bio­me­tri­schen Daten oder nur Pass­wort­einsatz zur Authen­ti­sierung ist pro­ble­ma­tisch. Sicherer ist die Kopplung von Bio­metrie mit sperr- und ver­än­der­baren Daten (Besitz und Wissen). Bei der allei­nigen Ver­wendung von Pass­wörtern, Kom­bi­na­tionen von Zah­len­codes, PINs oder TANs lassen User oft die not­wendige Sorg­falts­pflicht ver­missen. Sie ver­wenden das­selbe Passwort für den Zugang zu diversen IT-Sys­­temen.
  • Es sind die Richt­linien des deut­schen Bun­des­da­ten­schutz­ge­setzes (BDSG) ein­zu­halten, da bei bio­me­tri­schen Ver­fahren die spe­zi­fi­schen, kör­per­lichen Cha­rak­te­ristika von Per­sonen gespei­chert werden.
  • Innerhalb des Unter­nehmens muss jederzeit nach­voll­ziehbar und trans­parent sein, wer welche per­so­nen­be­zo­genen Daten wo erfasst, ver­ar­beitet, spei­chert oder nutzt.
  • Jeder betroffene Mit­ar­beiter muss selbst bestimmen können, welche Daten von ihm wo verwendet/ preis­ge­geben werden dürfen.

Ein­satz­ge­biete der Bio­metrie:

Im Bereich der IT-Sicherheit (Zugang und Zugriff auf hoch­sen­sible Daten)
Zutritt nur von berech­tigten Per­sonen in öffent­liche Gebäude (z.B. Freibad, Biblio­theken, Hoch­schulen etc.)
Bezahlung mit Fin­ger­print im Ein­zel­handel
Im Gesund­heits­wesen (z.B. Prüfung des Gesund­heits­zu­standes)

Von der bio­me­tri­schen Erkennung ver­spricht man sich vor allem mehr Sicherheit beim Schutz vor Datenklau oder bei Trans­ak­tionen, wie etwa im Online-Banking — und das alles gepaart mit einer hohen Usa­bility. Ins­be­sondere auf­grund des stei­genden Ein­satzes von Internet und Unter­neh­mens­daten auf mobilen End­ge­räten reicht der Einsatz der her­kömm­lichen Iden­ti­fi­ka­ti­ons­ver­fahren nicht immer aus.

Bild:  © Salih.Ucar / pixelio.de

2 Kommentare zu Biometrie: Zutritt und Zugriff nur von berechtigten Personen

  • BRUM sagt:

    Bio­metrie = Komfort
    Auch im Pri­vat­be­reich ist bio­metrie super. Ich hab einen Fin­ger­scanner und das ist schon klasse, wenn man nicht mehr daran denken muss einen Schlüssel mit­zu­nehmen. Auch die Kinder kommen jederzeit rein.

    • Joachim Vogel sagt:

      Bio­metrie im Pri­vat­be­reich
      Hallo BRUM,
      vielen Dank für die sehr anschau­liche Ergänzung zu meinem blog-Beitrag. Der Vorteil auch im Pri­vat­be­reich wird durch ihr Bei­spiel sehr gut deutlich. mfg JV

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Joachim Vogel, DATEV eG

Dipl. Betriebswirt (FH)

Studium der Betriebs­wirt­schaft im Schwer­punkt Mar­keting
Erfah­rungen in der Pro­gram­mier­sprache RPGII

Aufbau einer EDV-Ver­triebs-Abteilung in einem großen Ver­si­che­rungs­konzern (Ver­ant­wortlich für die techn. Infra­struktur in den Filialdirektionen/Disposition und Instal­lation der EDV)

Seit 1989 bei DATEV eG in Nürnberg tätig. Pro­jekt­leitung “esecure bei Behörden und Insti­tu­tionen”; techn. Know-how im TK-Management (Cloud-Lösungen; Beratung und Instal­lation von Tele­kom­mu­ni­ka­tions-Lösungen in Steu­er­kanz­leien; Koordinator/Ansprechpartner bei techn. Tele­kom­mu­ni­ka­ti­ons­an­fragen); Zer­ti­fi­zierung nach ITIL

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mit­tel­stand.