Seit Mitte März betreten je 1000 Mitarbeiter der Lufthansa und der Fraport AG ihren Frankfurter Arbeitsplatz über eine Personenvereinzelungsanlage. "BIOP II" ist angelaufen, ein groß angelegter Versuch, bei dem biometrische Verfahren auf ihre Alltagstauglichkeit hin verglichen werden. Drei Merkmale werden von den Testkandidaten gespeichert: Gesichtserkennung, Iris-Muster und Fingerabdrucke dienen zu deren Verfikation. Diese Verfahren sind die Favoriten in der internationalen Diskussion um massentaugliche Nutzung der Biometrie. Sie wurden vom Bundesamt für Sicherheit in der Informationstechnik (BSI) ausgewählt.
Ein weiterer Test läuft bereits unter den Passagieren, die in Frankfurt bei der Lufthansa einchecken. Die "Automatisierte Grenzkontrolle" (ABG) für Mitglieder des Vielfliegerprogramms Miles & More beschleunigt mit der Iris-Kontrolle den Grenzübergang - wer automatisch durch eine Personenvereinzelungsanlage mit biometrischer Kontrolle geschickt wird, ist in spätestens 15 Sekunden über der Grenze. Die Teilnahme an der ABG ist freiwillig: Das System ist in erster Linie ein Test, wie Biometrie überhaupt akzeptiert wird. Von 15 000 angeschriebenen Vielfliegern haben sich seit dem Start der ABG 1800 für das Programm entschieden.
Beide Testreihen sind ein Indiz dafür, dass die Biometrie auf dem Weg ist, im großen Maßstab eingesetzt zu werden. Steht die Biometrie bei der Grenzkontrolle vor dem Durchbruch, wird sie auch für Firmen interessant, die von den Erfahrungen profitieren können.
Biometrie ist der Oberbegriff für Methoden, mit denen sich Menschen über ihre biologischen Merkmale von Computern identifizieren lassen. Die Identifikationstechnik steht in der Tradition von Alphonse Bertillon, der 1883 damit begann, Regeln für die Vermessung von Straftätern zu entwickeln. Heute hantiert man nicht mehr mit komplizierten Messapparaten, sondern lässt den Computer die Arbeit tun: Im Verein mit Fingerabdruck-Scannern, Iris-, Thermo- oder Venenkameras, mit spezialisierter Software zur Gesichts- oder Gangerkennung liefern sie recht zuverlässige Resultate.
Zögerlicher Einsatz am Arbeitsplatz
Bisher wurde Biometrie in Unternehmen zögerlich eingesetzt, vor allem am Arbeitsplatz. Laptops mit integriertem Scanner für den Fingerabdruck sind die meist verbreiteten Geräte, gefolgt von Fingerabdruck-Scannern in der Maus oder Tastatur für die Absicherung des Desktops. Mit den Tablet-PCs könnte sich das ändern, weil sie eine Unterschrift biometrisch prüfen können, doch noch sind die Tablet-PCs selbst Nischenprodukte.
Entsprechende Lösungen zur Zugangskontrolle oder gar zum Kundenmanagement stecken indes noch in den Kinderschuhen. Schlechte Nachrichten aus verschiedenen Projekten sorgten im Zusammenhang mit dem Big-Brother-Image der Biometrie dafür, dass sich Unternehmen scheuen, Biometrie dort einzusetzen, wo sie sinnvoll ist. So ist die Biometrie eher für negative Schlagzeilen gut: Auf Flughäfen versagt die Gesichtserkennung, und auf Großbaustellen scheitern die Fahnder mit Fingerabdrucksystemen, die Schwarzarbeiter überführen sollen. Bei einer genaueren Analyse sind solche Fälle schnell erklärt: "Es gibt keine falsche, sondern nur den falschen Einsatz von Biometrie", sagt Manfred Bromba, der Firmen beim Einsatz von biometrischen Lösungen berät.
Bromba hat die Negativmeldungen genauer analysiert. In den meisten Fällen sind die Fehler offensichtlich, etwa beim SmartGate-System in Australien, mit dem das fliegende Personal der Fluggesellschaft Quantas kontrolliert wird. Nach einem Zwölf-Stunden-Flug sehen die Flugbegleiter schlicht schlechter aus als zu dem Zeitpunkt, als die Vergleichsbilder beim "Enrolment" gemacht wurden. Maurer, Tischler und andere Handwerker auf einer Baustelle müssen zupacken: Ihre Fingerabdrücke sind häufig unleserlich. Wer in solch einem Umfeld Fingerabdrucksysteme zur Identitätsprüfung einsetzt, hat den entscheidenden Fehler schon beim Projekt-Design gemacht.
Doch gibt es auch positive Beispiele, bei denen der Einsatz der Biometrie so selbstverständlich geworden ist, dass er fast nicht mehr wahrgenommen wird. Mechatronische Systeme schützen etwa die Computerzentrale einer Firma, wenn die Netzwerkadministratoren einen Finger auf die Türklinke legen müssen, um eingelassen zu werden. Oder sie tragen Fingerabdruckleser im Format einer Streichholzschachtel mit sich, in denen ein Transponder nach Identifizierung ein Signal an das Schließsystem sendet, die Tür zu öffnen. In großen Firmen oder solchen mit hohem Sicherheitsbedarf wird über Personenvereinzelungsanlagen nachgedacht. Was in der deutschen Sprache so schrecklich klingt, ist eine Konsequenz der Technik. Erst muss sichergestellt sein, dass nur ein einziger Mitarbeiter in der Anlage ist, dann kann die Biometrie mit der Vermessung beginnen.
Die ersten in Deutschland installierten Anlagen zeigen, dass die biometrische Kontrolle angenommen wird. Seit dem Jahre 2000 ist eine automatische Personenschleuse im Forschungszentrum Geesthacht in Betrieb. In dieser Großforschungseinrichtung wird ein Atomreaktor betrieben. Etwa 250 bis 300 Personen betreten werktags das Firmengelände und geben zunächst ihren Ausweis in ein Lesegerät, damit sich die Schleuse öffnet, in der der Fingerabdruck geprüft wird. Der Vorgang dauert nur eine Sekunde, dann ist die Person auf dem Gelände - oder der Wachschutz alarmiert. Auf der Tagung des Verbandes für Sicherheitstechnik (VfS) "Biometrische Verfahren im praktischen Einsatz" berichtete der Geesthachter IT-Leiter Henning Martens von der allgemeinen Akzeptanz der Anlage. Bei 84 Prozent der Mitarbeiter funktionierte das System, doch 16 Prozent hatten Schwierigkeiten mit der Prüfung ihres Fingerabdrucks. Martens: "Diese Personen bedürfen einer besonderen Betreuung, da einige dieses Handicap als Makel gegenüber Kollegen ohne Probleme beim Fingerabdruckvergleich empfinden."
Von Befürchtungen der Mitarbeiter ist nichts zu spüren, stattdessen hat der Alltag eingesetzt, wenn die Anlage arbeitet und der Mitarbeiter schimpft. So erzählte Martens von den Zurückweisungen zutrittsberechtigter Mitarbeiter: "Personen, die mit einer Aktentasche in der Hand und einem Laptop unter dem Arm den Leser betätigen und dabei vielleicht noch einen Blumenstrauß oder Kuchen für den Kollegen festhalten, werden häufig wegen nicht übereinstimmendem Fingerabdruck zurückgewiesen."
Merck: 500 000 Zutritte in zwei Wochen
In größerem Maßstab setzt der Darmstädter Pharmakonzern Merck auf eine biometrische Zugangskontrolle. Nach den ersten drei Wochen und einer halben Million Zutritte hat man beste Erfahrungen gemacht, aber auch die Erwartungen beim Einsatz der Gesichterkennung auf realistische Größen eingestellt. In einer Umgebung, in der 8000 Mitarbeiter täglich erkannt und durchgeschleust werden müssen, sind nach Aussagen des Biometrie-Verantwortlichen bei Merck Wolfgang Reuss zusätzliche sensorische Maßnahmen wie Waagen oder Trittkontaktmatten notwenig, um die Verifikation zu verbessern: "Die Praxis zeigt, dass der Einsatz von Biometrie von den Mitarbeitern nach einer relativ kurzen Gewöhnungsphase akzeptiert und gelebt wird." Damit sich erst gar kein Überwachungsgefühl einstellt, betont Reuss: "Eine Inflation biometrischer Systeme sollte vermieden werden, da mit Einsatz dieser zusätzlichen Sicherheit Eingriffe in die Arbeitsabläufe, unvermeidbar sind."
Während der Einsatz der Biometrie keine Probleme bereitet und die Technik zur Erkennung der biometrischen Messpunkte am Menschen (siehe oben) ausgereift ist, treiben die Verantwortlichen andere Fragen um: Wie abhängig macht sich ein Betrieb vom Lieferanten, wenn er dessen Lösung einsetzt? Und: Warum gibt es in der Biometrie keine Standards, die die Abhängigkeiten reduzieren? Ob Fingerabdruck, Gesichtserkennung, Iris-Scan oder Venen-Analyse: Alle Verfahren beruhen darauf, dass nicht volle Bilder abgespeichert werden, sondern die "Minutiae" oder Templates - charakteristische Eckpunkte, die von einem Algorithmus errechnet werden.
Berichte vom Einsatz biometrischer Lösungen, bei denen Hersteller oder Softwarelieferanten vom Markt verschwinden, sind nach Auskunft von Biometrie-Berater Bromba nicht übertrieben. In solchen Fällen gibt es zwar Ersatz für Hardware, doch sind die gespeicherten Informationen wertlos, und die zeitraubende Erfassung aller Mitarbeiter muss wiederholt werden. Oft wird nach dem Prinzip "Security durch Obscurity" verfahren: niemand außerhalb der Firma kennt das eingesetzte Verfahren. In den Augen der CIOs und Sicherheitsbeauftragten ist dies katastrophal: "Wenn die Mitarbeiter zum zweiten oder gar dritten Mal gebeten werden, Fingerabdrücke zu geben oder in eine Kamera zu schauen, geht der Ärger richtig los", sagt Steven Muir, Biometrie-Berater bei Booz Allen Hamilton.
Standards fehlen selbst bei der weltweit am weitesten verbreiteten Technik, die Fingerabdrucke zu prüfen. Es gibt zwar einheitliche Datenbanken für einen Vergleichstest (http://bias.csr.unibo.it/fvc2004), doch rechnen alle Systeme aus diesen Vollbild-Datenbanken ihre eigenen Minutiae heraus. Deshalb ruht jetzt die Hoffnung auf der EU, die Biometrie in ihren Reisepässen einführen will. Zusammen mit den USA und der International Civil Aviation Organisation hat man sich auf Fingerabdruck und Gesichtserkennung als wichtigste Methoden für alle Mitgliedstaaten verständigt. Da jeder EU-Staat sich für eine eigene Lösung entscheiden können soll, müssen die Templates genormt sein. Mit dieser Normung wird die Biometrie an Gewicht gewinnen, darin sind sich die Beteiligten sicher. Das wird für viele Betriebe der Beginn für den Einsatz von Biometrie sein.