Die Autoren der Studie sehen Unternehmen derzeit in einem Dilemma: Immer mehr Passwörter und Benutzerkennungen mögen die IT-Sicherheit erhöhen, stoßen aber bei der Belegschaft auf Missmut. Deshalb setzen viele Firmen auf Single Sign-ons. Die können sich die Mitarbeiter leichter merken, gleichzeitig sinkt aber die Sicherheit. Denn wenn nur ein einziges Sign-on verwendet wird, kann ein erfolgreicher Angreifer nicht nur an ein System gelangen, sondern an alle, für die der betroffene Benutzer berechtigt war.
Als Lösung bietet sich an, Single Sign-ons biometrisch per Fingerabdruck oder besitzbezogen per Smart Card beziehungsweise Token zu authentifizieren.
Wie die Autoren der Studie berichten, lassen manche US-amerikanische Händler Kunden bereits per Fingerabdruck bezahlen, ob mit oder ohne Kreditkarte.
Microsoft rät vom Online-Banking per Fingerabdruck ab
In der Praxis allerdings zeigen sich die Schwierigkeiten der Biometrie. So können Fingerabdrücke schlecht ausgeprägt sein oder Mitarbeiter die Verwendung verweigern. Bei 0,5 bis vier Prozent der Nutzer kann deren Fingerabdruck denn auch nicht verwendet werden. Außerdem gibt es handfeste Probleme, wenn nur ein einziger Finger gespeichert ist und eben der verletzt ist und daher ein Verband angelegt werden muss.
Außerdem kommt es vor, dass nichtberechtigte Benutzer fälschlicherweise als korrekt identifiziert werden. In Zahlen ausgedrückt liegt die Falschakzeptanzrate "in günstigen Fällen" bei 1: 100.000. Und in zwei Prozent der beobachteten Fälle werden die berechtigten User zurückgewiesen, meist allerdings nur beim ersten Versuch. So rät Microsoft zum Beispiel vom Online-Banking mittels digitalisiertem Fingerabdruck ab, weil die sensiblen Daten nicht ausreichend geschützt seien.
Dennoch: Der Trend zu biometrischen Verfahren gilt als nicht mehr umkehrbar. Unternehmen, die sich auf diese Weise schützen wollen, müssen derzeit nach den Worten der Analysten mit "prinzipiell hohen" Beschaffungs- und Einrichtungskosten kalkulieren. Dabei liegen allerdings die Ausgaben für die biometrischen Komponenten selbst meist nur bei fünf bis zehn Prozent. Weit höher schlagen die Kosten für neu anzuschaffende Technik, etwa für Leitungen mit Verschlüsselung, und den personellen Aufwand zu Buche. Mäuse mit Fingerabdruck-Scanner sind nach Angaben der Analysten einzeln für 40 Euro zu haben. Die Differenz für ein Notebook mit beziehungsweise ohne einen solchen Scanner liegt zwischen 20 und 100 Euro.
Vorteil: Den Finger lässt man nicht zuhause liegen
Wer sich für die Verfahren entscheidet, muss die Themen Sicherheit und Risiko angemessen kommunizieren. In der Praxis haben manche Mitarbeiter Probleme mit der Hygiene. Denn weil Sensoren bei feuchten Fingern weniger Fehler machen, leckt mancher Angestellte seinen Finger beim Eintritt in die Firma ab.
Die Autoren der Studie nennen jedoch auch einen ganz praktischen Vorteil: Im Gegensatz zur Smart Card kann der Finger schlicht nicht vergessen werden.
Die Normierung von biometrischen Systemen steckt nach Darstellung der Analysten noch in den Kinderschuhen, dürfte aber mit der angekündigten Einführung des E-Passes in Fahrt kommen. Ab März 2007 sollen deutsche Reisepässe zusätzlich zum digitalen Foto, das auf einem Chip gespeichert ist, zwei Fingerabdrücke enthalten.
Wie ACG berichtet, ist der Markt für biometrische Systeme sowohl im Hinblick auf die Stabilität der Hersteller wie auch aus technologischer Sicht in Bewegung. Ein Vergleich des biometrischen und des Smart-Card-Verfahrens sei derzeit schlicht nicht möglich.
Die Studie "Biometrie und Smart Card" von der ACG Automation Consulting Group basiert auf Gesprächen mit Experten und Herstellerinformationen.