Direkt zum Inhalt

'Big Brother is scanning you'

Körperliche Merkmale sind so privat wie medizinische Daten, aber der Schutz „biometrischer“ Information ist unzureichend geregelt. Die Verknüpfung mit anderen Datenwelten könnte den gläsernen Menschen zur Folge haben.


Bereits in naher Zukunft wird ein Computer seinen Benutzer nicht mehr am Paßwort, an der Chipkarte oder der Geheimzahl (PIN) identifizieren, sondern an körperlichen Merkmalen: am Gesicht, am Fingerabdruck, an der Stimme oder am Iris-Muster der Augen. Biometrie ist das Schlagwort – also Techniken zur automatischen Erfassung und Computer-Analyse von unverwechselbaren Merkmalen des menschlichen Körpers.

Die entsprechenden Sensoren – wie Kameras, Chips, Mikrophone und Lasertaster – sowie die zugehörige Software sind in der Entwicklung schon weit vorangeschritten (Spektrum der Wissenschaft, April 1992, Seite 18). Zum Geldabheben oder bargeldlosen Shopping, für das Einkaufen am heimischen PC und Fernseher (E-Commerce), beim Arztbesuch und beim Betreten seiner Firma wird man sich schon bald ausweisen, indem man die Hand auf ein Sensorfeld legt und laut seinen Namen sagt oder sich von einer Kamera in die Augen schauen läßt. Flächendeckende alltägliche Biometrie wird eine unvermeidliche Begleiterscheinung der Informationsgesellschaft sein.

Dafür gibt es gute Gründe. Nachdem das herkömmliche Geheimzahl-System der Scheck- und Kreditkarten international kompromittiert ist (vermutlich wurden die Zentral-Codes geknackt, mit denen man von jeder Karte den PIN direkt auslesen kann), möchte eine Bank ihrem Kunden notfalls wieder beweisen können, daß er selbst die Karte benutzt hat. Das deutsche Gesetz zur digitalen Signatur (SigG), das als dritter Teil des Informations- und Kommunikationsdienste-Gesetzes (IuKDG) am 22. Juli 1997 in Kraft trat, regelt die Infrastruktur für die digitale Abgabe rechtsverbindlicher Erklärungen wie Kauf, Zeugnis und Testament. Aber das letzte Glied der dazu notwendigen Vertrauenskette ist nicht etwa die sogenannte SmartCard mit Signier-Schlüssel, wie es deren Hersteller in ihren Prospekten suggerieren, sondern eine verläßliche automatische Bestätigung und Registrierung, daß der Signierende der ist, der er zu sein vorgibt. Dies kann nach dem heutigen Stand des Wissens nur durch Biometrie erfolgen.

In der Vorbereitung des Gesetzes ist es der Lobby der SmartCard-Anbieter gelungen, das zu verschleiern: Der Begriff Biometrie kommt in der verabschiedeten Fassung des Gesetzes nicht mehr vor und in den Ausführungsverordnungen (SigV) der Regulierungsbehörde für Telekommunikation und Post (RegTP) nur am Rande.

Anders als am Geldautomaten oder bei der automatischen Zugangskontrolle zu abgeschotteten Betriebsteilen kann der Betroffene auch biometrisch erfaßt werden, ohne es zu merken – und das nicht nur zum Beispiel vom Wiegemechanismus eines Aufzugs. Es gibt optische und akustische Sensoren, die über mehrere hundert Meter hinweg arbeiten. Sensoriken aller Art legen sich in Netzen über unsere öffentlichen und privaten Räume und fangen stündlich Unmengen von Daten-Krill ein.

Die Motive für die Installation jedes einzelnen Sensors sind durchweg ehrenhaft und unanfechtbar. An jeder Autobahnbrücke hängen Geschwindigkeitssensoren: Man möchte Staus erkennen und Umwege empfehlen. Die Deutsche Bahn AG installiert Tausende von Kameras in ihren Bahnhöfen, quergeschaltet zum Bundesgrenzschutz: Die Kunden sollen sich sicherer fühlen. An die Kameras und elektromagnetischen Schleusen in Kaufhäusern haben wir uns schon so gewöhnt, daß wir sie vergessen haben. Eine umfassende Sensorisierung der Haustechnik wird propagiert ("Kühlschränke ans Internet") – im Dienste größeren Komforts und geringerer Betriebskosten (Spektrum der Wissenschaft, Juni 1996, Seite 44). Bald reichen die Computerkapazitäten aus, die Insassen vorbeifahrender Autos zu erkennen oder eine große Menge von Menschen in Echtzeit zu identifizieren und auf einer Großdemonstration, im Fußballstadion oder im Gewühl eines Bahnhofs zu verfolgen; die permanente automatisierte Schleierfahndung ist dann möglich.

Problematisch wird die Biometrie und die Allgegenwart der Sensoren auch durch ihre kommerzielle Daten-Verknüpfung mit dem Internet. Die findet statt, denn Kenntnis über Kunden ist ein Wettbewerbsvorteil. Die Kundenforschung nutzt alle Mittel und Medien. In unzähligen Gewinnspielen, anpaßbaren Benutzerprofilen, individualisierbaren Services, Fragebögen und Zugriffsprotokollen von Suchmaschinen und Internet-Portalen werden zur Zeit scheinbar planlos jeweils für sich harmlose Informationen über einzelne Internetbenutzer erfaßt. Die Verknüpfung mit biometrischen Daten ermöglicht es, mehrere Benutzer eines Zugangs zu unterscheiden und einen mit mehreren Zugängen (zum Beispiel beruflich, öffentlich-anonym, pseudonym und privat) auch noch über Jahrzehnte hinweg als ein und dieselbe Person wiederzuerkennen.

Der gläserne Kunde ist – gewollt oder ungewollt – Nebeneffekt der Forschungen eines intensiv geförderten Fachgebiets der Informatik, des "Data Mining". Dessen erste Produkte erleben wir derzeit in Form der Internet-Suchmaschinen, die man ja nicht nur auf Sammlungen personenbezogener Daten anwenden kann, sondern die bei ihrem Gebrauch auch neue personenbezogene Daten erfassen (wer hat wann, in welchem Zusammenhang, nach welchen Begriffen gefragt und dann auf welche der Suchergebnisse zugegriffen?). Je mehr einzelne Datenquellen zusammengeführt werden, desto verlockender sind die Möglichkeiten der Ent-Intimisierung und der Manipulation von Kunden. Bald wird man über seine Set-Top-Box (ein Fernseh-Zusatzgerät für Teleshopping und Pay-TV) oder seinen Internet-Zugang nicht mehr den gleichen Informationsmix empfangen können wie der Nachbar – man wird absichtlich selektiv informiert, ohne daß man das merkt.

Biometrische Verfahren erfassen nicht nur die Identität einer Person, sondern nebenbei oder auch gezielt Informationen über ihren körperlichen und geistigen Zustand. So fallen beim Stimmabdruck auch Informationen über Raucherhusten, Alkoholmißbrauch und Streß an. Der Ganzkörperscanner im Kleiderladen erfaßt Übergewichtigkeit und Haltungsschäden. Aus einem Gesicht ist auf Alter und Gemütszustand zu schließen. Die Mikromotorik von Pupille, Lid, Mund und Gesichtsmuskeln gibt Auskunft, ob der Betreffende unsicher ist, unter Streß steht oder lügt. Der Schreibstil mit der Hand (Aufdruck und Dynamik) oder auf der PC-Tastatur (Rhythmus) läßt auch auf Charaktermerkmale rückschließen.

Noch nicht realistisch, aber grundsätzlich denkbar ist der Gentest in zehn Sekunden ("Spucken Sie bitte auf dieses Feld"). Kontinuierliches Messen von Blutdruck, Herzschlag und Streßindikatoren während bestimmter Arbeiten kann Unfälle verhindern und ist damit wohlbegründet, erzeugt aber auch Informationen über nachlassende Belastbarkeit. Im Berufssport gehört umfassende Biometrie zum Alltag und wird zunehmend vielleicht auch relevant für die Aktienkurse von Sportveranstaltern. Im Autoverkehr könnte man automatisierte biometrische Massenkontrollen für Fahrtauglichkeit, Seh- und Hörfähigkeit, Reaktionszeit oder Drogengebrauch einführen. Und mit jeder biometrischen Neuerung wird die Diskussion über den Gebrauch von Lügendetektoren bei Gericht wiederkehren, bis diese einmal zum selbstverständlichen Bestandteil von Beweiserhebungsverfahren geworden sind.

Es besteht der Verdacht, daß Körpermerkmale mehr, als man bisher weiß, über ihre Besitzer aussagen. Was wäre, wenn man in naher Zukunft eine Korrelation zwischen Fingerabdruckmerkmalen und der Neigung zu sozialschädlichem Verhalten entdeckte? Oder zwischen Iris-Strukturmerkmalen und Erbkrankheiten oder Lebenserwartung? Und Banken wie Versicherungen hätten im Zusammenhang mit der Ausgabe neuer EC- und Patientenkarten diese biometrischen Daten ihrer Kunden bereits eingesammelt.

Brisanz gewinnt die globale Zusammenführung persönlicher Daten auch dadurch, daß die erfassenden Computer oft schlampig, unzureichend und fehlerhaft programmiert sind. Wenn ich in einer Kölner Einkaufspassage mit vollen Einkaufstüten über eine Bodenplatte laufe, die mein Gewicht registriert, könnte bereits eine Sekunde später ein Computer in Manila eine Reklame-Mail über das neueste Schlankheitsprodukt an mich abschicken. Oder der Computer meiner Versicherung überdenkt unsinnigerweise den Risikofaktor meiner Police.

Von solchen dummen Fehlern abgesehen: Biometrische Programme arbeiten immer auch mit statistischen Modellen, einerlei ob die verwendeten Verfahren Musterklassifikation, Fuzzy Logic, Neuronale Netze, Adaptive Regelung oder Künstliche Intelligenz heißen. Ihre Entscheidungen sind also stets nur mehr oder weniger annähernd richtig, werden aber von den Systemaufstellern unüberprüft geglaubt. Der mögliche informationelle Schaden für die Betroffenen kann von kleinen Unbequemlichkeiten bis zur Beschädigung der beruflichen Laufbahn oder der Zerstörung des Privatlebens reichen.

Wissenschaftler und Hersteller machen fast nie ausreichende Angaben über die Güte ihrer Verfahren. Die Positiv-Erkennungsrate in Prozent sagt allein nicht genug aus. Wie groß war die eingesetzte Personengruppe (Stichprobe)? Wieviele Versuche fanden statt (statistische Aussagen werden erst bei sehr großen Zahlen verläßlich)? War es Erkennung mit einem, zwei oder gar drei Versuchen? Wie oft hat das System keine Entscheidung getroffen und wie oft eine falsche? Man sollte kein Verfahren einsetzen, bei dem solche und weitere Angaben nicht öffentlich und in überprüfbarer Form vorliegen.

Biometrische Daten sind medizinische Daten. Sie müssen deshalb auch denselben Schutz genießen, das heißt, einem automatisierten Äquivalent der medizinischen Schweigepflicht und Vertraulichkeit unterliegen. Eine Verwendung und Verknüpfung zu einem von der erfaßten Person nicht vorab erlaubten Zweck muß organisatorisch und technisch ausgeschlossen werden. Technisch ist das kein Problem; die bereits im Aufbau befindliche Infrastruktur der staatlich qualitätsgarantierten, aber ansonsten unabhängigen informationellen TrustCenter ist dafür geeignet. Allerdings wäre dies mit operativen Unbequemlichkeiten und erheblichen zusätzlichen Kosten für die Biometrie-Betreiber verbunden. Und nicht alle der jetzt angebotenen Produkte ließen sich auf einen gesellschaftlich akzeptablen Datenschutz-Standard hochrüsten.

Die Anerkennung der Existenz und Bedeutung biometrischer Daten außerhalb der Medizin wurde im neuen IuKDG unterlassen und sollte dringend nachgetragen werden. Solange aber eine befriedigende Regelung fehlt, wären alle Biometrie-Betroffenen gut beraten, grundsätzlich jede Akzeptanz und Kooperation zu verweigern und alle Verfahren bereits im Ansatz zu boykottieren. Einem Automaten, dessen Betreiber und Betriebsweise nicht offenliegt, biometrische Daten zu geben ("Schauen Sie mal kurz hier rein", "Legen Sie mal hier die Hand drauf") ist sehr leichtsinnig. Viele biometrische Daten sind von lebenslanger Gültigkeit. Wir wissen nur wenig darüber, welche intimen Informationen sich künftig noch daraus ableiten lassen werden, und ihre Verknüpfung mit anderen Daten über uns ist global möglich. Der Körper ist zur Personenkennziffer geworden.


Aus: Spektrum der Wissenschaft 3 / 1999, Seite 106
© Spektrum der Wissenschaft Verlagsgesellschaft mbH

Kennen Sie schon …

Spektrum - Die Woche – Schutz vor Quantenhackern

In dieser Ausgabe von »Spektrum – Die Woche« geht es um einen Wettlauf gegen die Zeit: Programmierer entwickeln Post-Quanten-Algorithmen, um Computer vor den Hackern der Zukunft zu schützen. Ebenso spannend: der Blick zurück in die Geschichte des erfolgreichsten Piraten aller Zeiten: »Black Bart«.

Spektrum - Die Woche – Der heilige Gral der Informatik

Unknackbare Computerprogramme – davon träumen Informatiker. Nun sind sie diesem Ziel einen Schritt näher gekommen. Wie, erfahren Sie in dieser Ausgabe, in der wir auch berichten, wann Ihr Bluthochdruck zu hoch ist und was sich dagegen tun lässt.

Spektrum Kompakt – Kryptografie - Sicher kommunizieren

Sichere Passwörter, sichere Messenger, sichere Datenübertragung - in Zeiten digitaler Kommunikation spielt der Schutz der übermittelten Inhalte eine große Rolle. Wie gelingt er?

Schreiben Sie uns!

Beitrag schreiben

Wir freuen uns über Ihre Beiträge zu unseren Artikeln und wünschen Ihnen viel Spaß beim Gedankenaustausch auf unseren Seiten! Bitte beachten Sie dabei unsere Kommentarrichtlinien.

Tragen Sie bitte nur Relevantes zum Thema des jeweiligen Artikels vor, und wahren Sie einen respektvollen Umgangston. Die Redaktion behält sich vor, Zuschriften nicht zu veröffentlichen und Ihre Kommentare redaktionell zu bearbeiten. Die Zuschriften können daher leider nicht immer sofort veröffentlicht werden. Bitte geben Sie einen Namen an und Ihren Zuschriften stets eine aussagekräftige Überschrift, damit bei Onlinediskussionen andere Teilnehmende sich leichter auf Ihre Beiträge beziehen können. Ausgewählte Zuschriften können ohne separate Rücksprache auch in unseren gedruckten und digitalen Magazinen veröffentlicht werden. Vielen Dank!