Gehackter Fingerabdruck – IBM erforscht Abhilfe

IBM  will die biometrisch generierten Daten so modifizieren, dass sie bei einem Hack nicht dazu führen, dass der jeweilige Datenbesitzer seine Kennung niemals wieder verwenden kann.

IBM nimmt sich einer ganz grundlegenden Frage an, die mit dem Einsatz von Biometrie verbunden ist: Wie ersetzt man einen gehackten, digitalen Fingerabdruck? Der IT-Konzern will die biometrisch generierten Daten so modifizieren, dass sie bei einem Hack nicht dazu führen, dass der jeweilige Datenbesitzer – also der Mensch zum Fingerabdruck oder dem Iris-Scan – seine Kennung niemals wieder verwenden kann.

Die gar nicht so unrealistischen Szenarien in der Fachwelt beschreiben, dass die Datenbanken, in denen biometrische Daten lagern, gehackt und die gespeicherten Fakten gestohlen, verändert oder missbraucht werden können. Daher will der Konzern beispielsweise bei einem Fingerabdruck nur die wirklich unverwechselbaren Daten speichern. Das ist dann beispielsweise nicht, wie bislang, ein digitalisiertes Bild des Iris-Scans, sondern es sind nur die Angaben über die Farbe und Details der Musterung. Ein so bearbeiteter, gespeicherter Fingerabdruck enthält dann nur unverwechselbare Daten über die Verzweigungen, nicht das komplette Bild.

IBM-Forscher Nani Ratha beschreibt das Problem ganz drastisch: “Biometrie ist viel privater als eine Nummer, die einer Person zugeordnet wird –  ich kann schließlich mein Gesicht nicht einfach löschen, wenn die Daten gehackt worden sind.” Deshalb forscht der Konzern an einer technischen Schicht, die die echten Daten virtuell von den gespeicherten Daten trennt und diese beiden Datensätze untrennbar, aber dennoch nicht hackbar zuordnet. Die Software, die dies kann, soll dafür irreversibel gemacht werden. Das heißt, dass ein Hacker den Original-Abdruck nicht per Reverse Engineering wieder herstellen kann. Darunter versteht man ein Verfahren, bei dem durch Ausprobieren der einzelnen Schritte und durch Extrahieren der Bauelemente, die zum Endergebnis geführt haben, der Ursprung – beispielsweise einer Software – freigelegt wird.