[datensicherheit.de, 07.08.2025] Der Deutsche Anwaltverein e.V. (DAV) hat in seiner Stellungnahme vom 6. August 2025 die Überwachungspläne des Bundesinnenministeriums (BMI) kritisiert: Im Rahmen eines neuen „Sicherheitspakets“ beabsichtigt Bundesinnenminister Dobrindt demnach Software für biometrische Gesichtserkennung und das umstrittene Datenanalyseprogramm „Gotham“ von Palantir für die Polizei verfügbar machen. Der DAV warnt eindringlich davor, Bürger unter Generalverdacht zu stellen.

DAV-Kritik: Überwachungskameras erfassen nicht nur gesuchte Personen

„Biometrische Gesichtserkennung ist ein schwerer Eingriff in das Recht auf Informationelle Selbstbestimmung“, betont die Vorsitzende des DAV-Ausschusses „Recht der Inneren Sicherheit“, Rechtsanwältin Lea Voigt. Die Kameras würden eben nicht nur gesuchte Personen erfassen, sondern alle, die den Aufnahmebereich betreten.

• „Wir haben schon in der Vergangenheit vor solchen Maßnahmen gewarnt. Mit ihnen wird die Möglichkeit, sich anonym im Öffentlichen Raum zu bewegen, in Frage gestellt – und zwar für alle Bürgerinnen und Bürger“, so Voigt.

Gesichtserkennung werde bereits in einigen Bundesländern wie Sachsen verwendet. Mangels Statistiken zum Erfolg der Technik sei der tatsächliche Nutzen jedoch kaum zu beurteilen.

„Gotham“ – DAV sieht erhebliche grundrechtliche Problematik

Bedenken artikuliert Voigt auch beim geplanten Einsatz der Analysesoftware „Gotham“ des Anbieters Palantir: „Mit den Daten, die Palantir erfasst, könnten ‚auf Knopfdruck‘ Persönlichkeitsprofile von Bürgerinnen und Bürger erstellt werden.“

• Dies berge erhebliche grundrechtliche Problematiken. „Noch dazu ist die Funktionsweise der Algorithmen völlig intransparent“, moniert Voigt. Es sei kaum nachvollziehbar, auf welchen Wegen die gigantischen Datenmengen miteinander verknüpft würden.

„Immer neue Überwachungsmaßnahmen unter dem Label der ‚Sicherheit‘ zu bewerben, macht sie nicht zu sinnvollen und verhältnismäßigen Instrumenten im Rechtsstaat“, betont Voigt. Sie gibt abschließend zu bedenken, dass viele Maßnahmen sich kaum rückgängig machen ließen. Es bedürfe daher einer sorgfältigen Abwägung, „bevor Befugnisse immer weiter ausgeweitet werden“.

Weitere Informationen zum Thema:

DeutscherAnwaltVerein
Anwalt der Anwälte / Interes­sen­ver­treter der deutschen Anwalt­schaft

Deutscher AnwaltVerlag, Mark A. Zöller & Robert Esser & Lea Voigt & Oliver H. Gerson & Tanja Niedernhuber (Hrsg.), 2023
Sicherheitsgesetzgebung und Überwachungsgesamtrechnung

datensicherheit.de, 24.07.2025
Pläne zur Massenüberwachung in der Kritik: eco-Stellungnahme zum geleakten BMI-Entwurf / Der eco warnt vor Rückbau rechtsstaatlicher Kontrolle und fordert eine grundrechtskonforme, transparente Neuausrichtung der digitalen Sicherheitspolitik

datensicherheit.de, 17.07.2025
Videoüberwachung und Sicherheit: heyData untersuchte Kamerabeobachtung im Öffentlichen Raum / Eine neue heyData-Studie stellt dar, wie weltweit 21 Städte mit dem Thema Videoüberwachung umgehen – und welche Folgen dies für Gesellschaft und Freiheit hat

datensicherheit.de, 03.05.2025
Überwachungsgesamtrechnung: DAV fordert angemessene Reaktion auf Ergebnisse / Swen Walentowski als stellvertretender DAV-Hauptgeschäftsführer nimmt Stellung

datensicherheit.de, 12.04.2025
Koalitionsvertrag: Digitalcourage warnt vor untoten Überwachungsallüren / Vehemente Kritik an der Priorisierung „Datennutzung vor Datenschutz“

[datensicherheit.de, 09.02.2025] Die Evangelische Akademie Bad Boll bietet nach eigenen Angaben im Vorfeld der Bundestagswahl 2025 eine Online-Reihe zu ausgewählten Themen an: „Wir führen sachkundige Diskussionen mit Fachleuten zu wahlentscheidenden Fragestellungen aus den Bereichen Migration, Digitalität und Wirtschaft und laden Sie zum Gespräch ein.“ Das Thema KI-Gesichtserkennung steht nun auf dem Programm – die Evangelische Akademie Bad Boll lädt zu einer Online-Diskussionsveranstaltung am 13. Februar 2025 ein, um sich im Rahmen einer Pro- und Contra-Diskussion eine eigene Meinung zu bilden:

KI-Software „PimEyes“ kann im Internet von allen genutzt werden – nur nicht von Behörden in der EU

„Was deutsche Strafverfolgungsbehörden 30 Jahre lang nicht geschafft haben, das ist einem kanadischen Journalisten angeblich in 30 Minuten gelungen: Er hat die Ex-RAF-Terroristin Daniela Klette im Internet aufgespürt – mit Hilfe der KI-Gesichtserkennungs-Software ,PimEyes’.“

Diese KI-Software könne im Internet von allen genutzt werden – nur nicht von Behörden innerhalb der Europäischen Union, denn „PimEyes“ gehöre zu einem Unternehmen in Dubai und stehe aufgrund seiner „undurchsichtigen Geschäftspraktiken und seines problematischen Umgangs mit dem Datenschutz“ regelmäßig in der Kritik.

KI-Gesichtserkennungs-Software: Beitrag zur öffentlichen Sicherheit vs. Angriff auf die Privatsphäre

Noch-Bundesinnenministerin Nancy Faeser möchte deutsche Strafverfolgungsbehörden demnach mit ähnlichen Kompetenzen ausstatten. Alexander Poitz, stellvertretender Bundesvorsitzender der Gewerkschaft der Polizei, befürworte dieses Vorhaben als Beitrag zur öffentlichen Sicherheit. Kilian Vieth-Ditlmann, stellvertretender Leiter des „Policy- & Advocacy-Teams“ von AlgorithmWatch, hingegen sehe in der Einführung einer KI-Gesichtserkennungs-Software einen Angriff auf die Privatsphäre.

Am 13. Februar 2025 stellen sich die beiden Kontrahenten im Rahmen einer Online-Veranstaltung der Diskussion pro und contra Einsatz von KI-Gesichtserkennungs-Software: Allen Interessierten biete sich die Möglichkeit, im Rahmen dieser Online-Veranstaltung mit Stellungnahmen von Poitz und Vieth-Ditlmann eine eigene Meinung zu bilden.

Gesichtserkennung mittels KI in der Pro- und Contra-Diskussion

„Biometrische Gesichtserkennung: Öffentliche Sicherheit contra Privatsphäre“
Donnerstag, 13.02.2025, 18.00 bis -19.30 Uhr, online
Teilnahme kostenlos, Online-Anmeldung erforderlich (s.u.)

Agenda (ohne Gewähr):

18.00 Uhr Begrüßung und Einführung
– Pfarrer Peter Steinle

18.10 Uhr Pro-Statement: „Gesichtserkennung als Beitrag zur öffentlichen Sicherheit“
– Alexander Poitz

18.25 Uhr Contra-Statement: „Gesichtserkennung als Angriff auf die Privatsphäre“
– Kilian Vieth-Ditlmann

18.40 Uhr Diskussion

19.20 Abschluss
– Pfarrer Peter Steinle

Weitere Informationen zum Thema und Anmeldung:

evangelische akademie bad boll
13.02.2025, 18:00 – 19:30 Uhr, Online-Veranstaltung, Online / Diskussionsreihe zur Bundestagswahl / Biometrische Gesichtserkennung: Sicherheit contra Privatsphäre

evangelische akademie bad boll
Anmeldung / Diskussionsreihe zur Bundestagswahl / Biometrische Gesichtserkennung: Sicherheit contra Privatsphäre 13.02.2025, Onlineveranstaltung – Tagungsnummer: 530625

datensicherheit.de, 11.05.2024
Biometrische Überwachung: DAV kritisiert geplante Gesichtserkennung / DAV-Kommentar zum intransparenten Einsatz von Observationstechnik

datensicherheit.de, 28.05.2020
Polizei Hamburg: Datenbank zum Gesichtsabgleich gelöscht / Anlässlich der Ermittlungen zu „G20“-Ausschreitungen mit Hilfe von Gesichtserkennung erstellte biometrische Datenbank war heftig umstritten

datensicherheit.de, 14.08.2019
FaceApp: Spitch warnt vor Gesichtserkennung / Authentifizierung anhand der eigenen Stimme deutlich sicherer

datensicherheit.de, 15.12.2017
Pilotprojekt Gesichtserkennung am Bahnhof Südkreuz: Kritik vom Deutschen Anwaltverein / Das massenhafte Scannen von unbescholtenen Personen greift massiv in Grundrechte ein

[datensicherheit.de, 04.05.2022] „Auch der diesjährige ,Welt-Passwort-Tag‘ soll uns einmal mehr daran erinnern, dass es sich bei Passwörtern und PINs um veraltete Authentifizierungsmethoden handelt“, kommentiert Simon Marchand, „Chief Fraud Prevention Officer“ bei Nuance Communications, denn schon lange könnten diese nicht mehr mit den modernen Sicherheitsanforderungen mithalten.

Foto: Nuance

Simon Marchand: Verlieren Kryptogeld-Besitzer ihr Passwort, haben sie keinen Zugriff mehr auf ihr Wallet!

Passwort-Markt im Darknet

Cyber-Kriminelle machten im sogenannten Darknet mit gestohlenen Passwörtern Profit oder nutzten diese für betrügerische Aktivitäten. „Verlieren Kryptogeld-Besitzer ihr Passwort, haben sie keinen Zugriff mehr auf ihr Wallet“, warnt Marchand. Die Folge seien erhebliche finanzielle Verluste, wie der Fall des Programmierers Stefan Thomas im vergangenen Jahr, 2021, beweise.

Im Anbetracht der aktuellen Bedrohungslandschaft sollten effektive Strategien zur Betrugsprävention nicht mehr nur optional, sondern obligatorisch sein. „Denn im Rahmen einer aktuellen Untersuchung gab jede fünfte befragte Person an, innerhalb von zwölf Monaten Opfer von Betrug gewesen zu sein“, berichtet Marchand.

Biometrische Authentifizierung statt Passwort oder PIN

Daher sei es höchste Zeit, die traditionellen Authentifizierungsmethoden durch robustere und sicherere Alternativen abzulösen, um Kunden zu schützen. Biometrische Authentifizierungsmethoden zum Beispiel basierten auf einzigartigen Charakteristika wie Fingerabdruck, Gesichts- oder Stimmerkennung.

Endnutzer müssten sich nicht mehr an all ihre PINs, Passwörter und andere wissensbasierte, betrugsanfällige Login-Daten erinnern. Marchand: „Gleichzeitig sorgen sie für Sicherheit und folglich auch für innere Ruhe.“

Passwort-Betrug verärgert Kunden

„Wenn es um Betrug geht, ist Prävention besser, als sich im Nachhinein mit den Konsequenzen herumzuschlagen“, empfiehlt Marchand. Verbrauchern sei es heute wichtiger denn je, „dass ihre persönlichen Daten sicher sind – egal, mit wem sie sie teilen“. Infolgedessen zögen sie jedes Unternehmen zur Rechenschaft, „das nicht genug dafür tut, um ihre Informationen zu schützen“.

Daher müssten Unternehmen Cyber-Kriminellen immer einen Schritt voraus sein. Marchand anschließend: „Dazu gehört in Bezug auf die effektivsten Sicherheitslösungen, wie biometrische Sicherheitsmechanismen, immer auf dem aktuellsten Stand zu bleiben.“

Weitere Informationen zum Thema:

datensicherheit.de, 04.05.2022
Welt-Passwort-Tag 2022: Unternehmenssicherheit umfasst auch soziales Umfeld / Joseph Carson rät in Fragen der Passwort-Sicherheit zur Einbeziehung der Lieferanten, Auftragnehmer, Partner und Kunden

datensicherheit.de, 03.05.2022
Welt-Passwort-Tag am 5. Mai 2022: Viele Nutzer finden Passwörter lästig und umständlich zu verwalten / Karim Toubba rät, die eigenen Passwort-Gewohnheiten zu hinterfragen

datensicherheit.de, 03.05.2022
Passwörter gehören noch immer zu den wichtigsten Datensicherheitsmaßnahmen / Werner Thalmeier kommentiert Bedeutung der Passwörter und gibt Tipps zum „World Password Day 2022“

[datensicherheit.de, 20.10.2021] BioCatch hat die Einführung des Webservices „Age Analysis“ bekanntgegeben: Mit dieser neuen Technologie lasse sich der Schutz vor Finanzbetrug bei der Kontoeröffnung erheblich verbessern. Sie biete vor allem Senioren Sicherheit, da sie besonders häufig ins Visier Cyber-Krimineller gerieten. „Age Analysis“ ist demnach bereits bei mehreren globalen Finanzinstituten im Einsatz. Neben der IT-Sicherheit stehe für Kunden auch ein positives Nutzererlebnis im Fokus der Lösung, welche Finanzunternehmen und deren Kunden davor schützen solle, „Opfer von Identitäts- und anderen Betrug zu werden, der bei einer Kontoeröffnung auftreten kann“.

Age Analysis zur Betrugs-Prävention für Senioren und Banken

„Age Analysis“ sei z.B. bereits bei einem großen globalen Kreditkarten-Unternehmen im Einsatz. Dort habe die Analyse des Kundenalters zunehmend an Relevanz gewonnen, um Betrugsversuche bei Kontoeröffnungen abzuwehren. „Vorangegangen war eine Erhebung, dass 40 Prozent der bestätigten betrügerischen Kreditkartenanträge von Personen mit einer Altersangabe von über 60 Jahren eingingen.“
Weiterhin habe die Untersuchung ergeben, dass viele Anträge von Kunden über 60 Jahren zur manuellen Überprüfung weitergeleitet worden seien. Dieser Schritt habe den Antragszeitraum verlängert und sich erheblich auf die Kundenzufriedenheit ausgewirkt. Das habe zu überdurchschnittlich vielen Stornierungen bei Anträgen geführt, „bei denen das angegebene Alter über 60 Jahre lag“. Im Vergleich zu anderen Altersgruppen deute dies auf ein unterdurchschnittliches digitales Kundenerlebnis hin.

Age Analysis bietet Finanzinstituten Verifizierungsschutz

„Bei der Entwicklung von ,Age Analysis‘ haben wir uns auf den Schutz und die Benutzererfahrung unserer Kunden konzentriert“, erläurtert Gadi Mazor, „CEO“ von BioCatch. Um die fortschrittlichsten biometrischen Verifizierungslösungen zu entwickeln, werde bei BioCatch eng mit den Kunden zusammengearbeitet. „Damit treten wir den sich ständig veränderten Herausforderungen bei der Betrugsbekämpfung entgegen“, betont Mazor. „Age Analysis“ biete Finanzinstituten den benötigten Verifizierungsschutz, um Betrug bei der Antragsstellung von Kreditkarten entgegenzuwirken.
Während Betrug und Cyber-Kriminalität aufgrund der „Pandemie“ ein Rekordniveau erreicht hätten, habe die Nutzung digitaler Kanäle stark zugenommen. Daher seien Unternehmen zunehmend gefordert, mit Technologie eine reibungslose „Customer Journey“ zu schaffen. Mehr als 50 Finanzinstitute weltweit nutzten bereits die Verhaltensbiometrie von BioCatch, um ihre Kunden vor Betrug und Identitätsdiebstahl zu schützen.

Age Analysis erkennt Unterschiede im Verhalten von autorisierten Nutzern und Kriminellen

Dank der eingesetzten BioCatch-Risikomodelle ließen sich die Unterschiede im physischen und kognitiven Verhalten von tatsächlich autorisierten Nutzern und Kriminellen unterscheiden. Dazu erstelle die BioCatch-Plattform Nutzerprofile – beispielsweise typische Mausbewegungen, Tipprhythmus, Wischmuster oder die übliche Ausrichtung des Endgerätes – und identifiziere mithilfe von Maschinellem Lernen (ML) betrügerische Absichten.
Durch „Age Analysis“ würden die Interaktionen zwischen Nutzer und Gerät mit den statistisch erfassten Verhaltensmustern von Nutzern abgeglichen und überprüft, „ob diese mit dem Verhalten einer bestimmten Altersgruppe übereinstimmen“. Bei Anomalien löse die Plattform einen Alarm aus.

Weitere Informationen zum Thema:

BioCatch
Major Card Issuers Partner with BioCatch to Protect Senior Citizens from Fraud and Save $3.5M

[datensicherheit.de, 15.06.2021] Vor Kurzem habe TikTok seine Datenschutzrichtlinien in den USA angepasst und erlaube sich damit selbst das Sammeln biometrischer Daten der Nutzer. Zwar sei nicht klar, „in welchem Umfang TikTok davon tatsächlich Gebrauch machen wird“, jedoch könnten mit biometrischen Daten – im Gegensatz zu allgemeinen Daten – Nutzer eindeutig identifiziert werden. TikTok habe erklärt, „dass dort, wo es das Gesetz verlange, vor dem Einsatz der Technik vorab die Erlaubnis der Nutzer eingeholt werden soll“. Die Wahl, welche den Nutzern am Ende bleibe, sei jedoch begrenzt – entweder Akzeptieren oder den Dienst nicht mehr weiter nutzen. In seiner aktuellen Stellungnahme geht Shane McNamee, „Chief Privacy Officer“ bei Avast, auf diese Situation ein und erklärt nach eigenen Angaben unter Bezugnahme auf die Datenschutzgrundverordnung (DSGVO), „warum diese Änderung in Deutschland nicht so einfach möglich wäre“.

TikTok-Vorgehen in den USA angesichts der DSGVO kaum auf Deutschland zu übertragen

„Durch die Änderung seiner US-Datenschutzrichtlinien hat TikTok in Zukunft die Möglichkeit, biometrische Daten seiner US-Nutzer zu sammeln. Es ist jedoch eher unwahrscheinlich, dass dieses Vorgehen auch nach deutschem Recht erlaubt wäre“, so McNamee und erläutert: „Denn ,biometrische Daten zum Zweck der eindeutigen Identifizierung’ fallen unter eine besondere Kategorie personenbezogener Daten, die gemäß Artikel 9 der Datenschutzgrundverordnung (DSGVO) eine höhere Schutzpriorität haben.“
Die Verarbeitung dieser Daten sei verboten – es sei denn, es werde eine der in Artikel 9 genannten Voraussetzungen erfüllt. „Im Fall von TikTok wäre das am wahrscheinlichsten die ,ausdrückliche Zustimmung’ der Nutzer.“ Zudem müsste TikTok Transparenz über den genauen Zweck der Datenerhebung und -verwendung schaffen. Dazu zähle beispielsweise, „mit wem die Daten geteilt werden dürfen oder wie lange sie gespeichert werden“.

In der EU: TikTok müsste vorab Datenschutz-Folgenabschätzung durchführen

Darüber hinaus müsste TikTok womöglich eine Datenschutz-Folgenabschätzung (DPIA) durchführen, bevor eine biometrische Verarbeitung in der EU möglich wäre. McNamee führt aus: „So schreibt etwa Artikel 35 DSGVO vor, dass in Fällen, in denen die Verarbeitung von Daten – insbesondere unter Verwendung neuer Technologien – wahrscheinlich zu einem ,hohen Risiko für die Rechte und Freiheiten natürlicher Personen’ führt, vorab eine Bewertung der Auswirkungen der geplanten Verarbeitungsvorgänge auf den Schutz der personenbezogenen Daten durchzuführen ist.“
Dieser DSGVO-Artikel weise außerdem darauf hin, dass eine Datenschutz-Folgenabschätzung insbesondere dann durchgeführt werden müsse, wenn es sich um eine „Verarbeitung besonderer Datenkategorien in großem Umfang“ handelt. Im sogenanntén Erwägungsgrund 91 werde die Verarbeitung biometrischer Daten zudem ausdrücklich als ein Vorgang genannt, der wahrscheinlich eine Datenschutz-Folgenabschätzung erfordere. McNamees Fazit: „Im Allgemeinen könnte TikTok Schwierigkeiten haben, die in Artikel 5 DSGVO festgelegten Grundprinzipien der Zweckbindung, dass Daten nur für festgelegte, eindeutige und rechtmäßige Zwecke erhoben werden dürfen, zu erfüllen.“ Gleiches gelte für das Prinzip der Datenminimierung, „dass Daten dem Zweck angemessen sind und auf das notwendige Maß beschränkt werden“.

Weitere Informationen zum Thema:

datensicherheit.de, 26.01.2021
TikTok: Erneut Schwachstelle entdeckt

intersoft consulting
Art. 9 DSGVO Verarbeitung besonderer Kategorien personenbezogener Daten

intersoft consulting
Art. 35 DSGVO Datenschutz-Folgenabschätzung

intersoft consulting
Erwägungsgrund 91 / Erforderlichkeit einer Datenschutz-Folgenabschätzung

[datensicherheit.de, 27.05.2021] Nevis Security meldet, dass wegen gravierender Sicherheitsmängel der Digitale Impfausweis für die Schweiz vorerst gescheitert sei – „unter anderem weil es für jeden möglich war, sich als Mediziner auszugeben und Einblick in sensible Gesundheitsdaten Fremder zu erhalten“. Nun plane Deutschland laut Bundesgesundheitsministerium die Einführung eines digitalen Impfnachweises als freiwilliges und ergänzendes Angebot zum bekannten gelben Impfpass aus Papier. Vor dem Hintergrund, dass die „COVID-19-Pandemie“ bereits gezeigt habe, dass in Deutschland in Sachen Digitalisierung Nachholbedarf bestehe, „stellt sich nun die Frage, ob hierzulande ein ähnliches Debakel wie bei den Schweizer Nachbarn droht“. Nevis Security erläutert in einer Stellungnahme Grundlegendes zum geplanten digitalen Impfnachweis und wie Sicherheitsmängeln bei den genutzten Anmeldeverfahren bedienerfreundlich vorgebeugt werden könnte.

Digitaler Impfnachweis basiert auf QR-Code

Im Wesentlichen werde der digitale Impfnachweis aus einem QR-Code bestehen, „der die Informationen über die Impfdaten sowie eine digitale Signatur enthält“. Gespeichert werden sollten die Zertifikate nicht zentral auf einem Server, sondern auf dem Smartphone des Geimpften. „Wer kein Smartphone besitzt, erhält zusätzlich zum Eintrag im Impfpass aus Papier einen Ausdruck dieses QR-Codes, um ihn bei Bedarf vorzuzeigen.“
Um sich beispielsweise in Restaurants als „geimpft“ auszuweisen, werde dieser QR-Code präsentiert. Dort scannten ihn die Mitarbeiter mit einer eigens entwickelten Prüf-App und könnten dann sehen, ob ein Impfschutz, etwa gegen „COVID-19“, besteht. Spezielle Funktionen des digitalen Impfnachweises erinnerten die Nutzer zudem daran, wann sie Impfungen auffrischen müssten.

Digitaler Impfnachweis hat mehrere potenzielle Sicherheitslücken

Neben den Vorteilen besitze der digitale Impfnachweis allerdings mehrere Sicherheitslücken. Es gebe zum Beispiel keinen standardisierten Prüfprozess, um die Daten aus dem Papier-Impfpass in die Erfassungssysteme für den digitalen Impfnachweis zu übermitteln. „Da die Übertragung in Impfzentren, Arztpraxen, Krankenhäusern oder Apotheken stattfindet, stellen deren IT-Systeme eine weitere potenzielle Schwachstelle dar.“
Aus der jüngeren Vergangenheit seien zahlreiche Angriffe von Online-Kriminellen auf Gesundheitsdienstleister bekannt, welche offenbart hätten, wie mangelhaft geschützt deren IT teilweise sei. „So erbeuteten Cyber-Kriminelle in Finnland 2020 vertrauliche Informationen aus Psychotherapie-Sitzungen und nutzten sie für Erpressungszwecke.“ Aufgrund eines Ransomware-Angriffs habe auch der öffentliche Gesundheitsdienst in Irland in diesem Jahr bereits seine gesamten Computersysteme abschalten müssen.

Passwortfreie Verfahren für digitalen Impfnachweis empfohlen

„Damit auch bei den digitalen Impfnachweisen höchste Sicherheitsstandards erfüllt werden, ist eine essenzielle Voraussetzung, dass alle Beteiligten sich mit äußerst sicheren Anmeldeverfahren in die genutzten Systeme einloggen können.“ Bekannt sei dafür die Zwei-Faktor-Authentifizierung. Dennoch wüssten viele Dienstleister nicht, dass nicht alle Verfahren zur Zwei-Faktor-Authentifizierung gleich seien. „Wer darauf setzt, sollte nicht vergessen, dass Anwender neben Sicherheit Komfort schätzen. Zwei-Faktor-Authentifizierungs-Lösungen, die den Zugriff auf externe Hardware-Geräte wie Code-Generatoren oder Token erfordern, können daher unpraktisch sein.“
Auch wenn es zunächst jeglicher Vernunft zu widersprechen scheine: „Gesundheitsdienstleister, die Sicherheit mit größtmöglicher Anwenderfreundlichkeit verbinden wollen, sollten ganz auf Passwörter verzichten.“ Schließlich seien nur lange und komplexe, aus unterschiedlichen Zeichen bestehende Passwörter sicher. Diese seien aber für die Anwender wiederum so schwer zu merken, dass sie häufig für mehrere Dienste verwendet würden. Damit steige das Risiko, dass sich Cyber-Kriminelle Zugang zu Firmenportalen und -Apps verschafften.

Akzeptanz für Sicherheitsanwendungen beim digitalen Impfnachweis erfolgsentscheidend

Ideale Methoden zur Nutzerverifizierung, die Passwörter überflüssig machten, seien die biometrische Gesichtserkennung oder Fingerabdruck-Scans. Moderne Mobilgeräte könnten solche biometrischen Daten erfassen und ließen sich unkompliziert in Zwei- oder Multi-Faktor-Authentifizierungsverfahren einbinden.
„Indem solche Lösungen Technologien verwenden, die viele Menschen bereits kennen – und gerne nutzen, bieten sie nicht nur eine höchst sichere, sondern auch eine sehr komfortable Nutzererfahrung. Das steigert zusätzlich die Akzeptanz für solche Sicherheitsanwendungen“, betont Stephan Schweizer, „CEO“ bei Nevis.

Weitere Informationen zum Thema:

Nevis.net
Presse & News

datensicherheit.de, 26.05.2021
Datenschutz in Corona-Zeiten: Digitale Impfpässe müssen DSGVO-konform sein / Mit Digitalen Impfpässen möchte die Europäische Kommission ein Stück Normalität zurückbringen

datensicherheit.de, 18.05.2021
HSE-Ransomware-Attacke: Hacker-Gruppe Conti mutmaßlicher Täter / Ende der 19. KW 2021 wurde die irische Gesundheitsbehörde HSE Opfer eines Angriffs mit Ransomware – durch die Hacker-Gruppe Conti, meldet Palo Alto Networks

aerzteblatt.de, 27.10.2020
Ausland / Vertrauliche Psychotherapiedaten in Finnland gehackt

[datensicherheit.de, 17.02.2021] Dr. Patrick Breyer, Bürgerrechtler und Europaabgeordneter, ruft zur Unterstützung der europaweiten Bürgerinitiative „Reclaim Your Face“ auf. Diese startet demnach am 17. Februar 2021 und setzt sich für ein „Verbot von biometrischer Massenüberwachung an öffentlichen Plätzen innerhalb der Europäischen Union“ ein. Aktuelles Ziel der von über 35 Organisationen unterstützten Initiative sei es, in einem halben Jahr eine Million Unterschriften zu sammeln, um die Europäische Kommission offiziell zur Vorlage eines gesetzlichen Verbots biometrischer Massenüberwachung zu bewegen.

Abbildung: Reclaim Your Face campaign

Bürgerinitiative „Reclaim Your Face“: Start am 17. Februar 2021

Bürgerinitiative möchte europaweite Ächtung einfordern

Die Identifizierung und Nachverfolgung von Bürgern anhand biometrischer Erkennungsmerkmale hebe Massenüberwachung im Öffentlichen Raum auf ein neues Niveau, „dessen dystopische Ausmaße wir heute nur erahnen können“, warnt Dr. Breyer und führt aus: „Überwachungstechnologien, die auf der Auswertung unserer individuellen Körpermerkmale, wie Gesichtszügen oder Bewegungsmustern, basieren, verwandeln uns in laufende Barcodes, die jederzeit und überall ausgelesen werden können.“
Auch erzeuge die automatisierte Erkennung und Meldung auffälligen Verhaltens einen ständigen Überwachungs- und Anpassungsdruck, der mit unseren Grundrechten nicht vereinbar sei. Mit „Reclaim Your Face“ hätten Bürger nun die Möglichkeit, „die untätige EU-Kommission unter Druck zu setzen und eine europaweite Ächtung einzufordern“. Damit dies gelingt, werden laut Dr. Breyer sehr viele Unterstützer benötigt.

Bürgerinitiative warnt vor unzuverlässiger Technik

Einige Mitgliedstaaten der EU experimentierten bereits mit dem Einsatz biometrischer Überwachungstechnologien, wie etwa der Anwendung von Gesichtserkennungssoftware auf öffentlichen Plätzen. Durch Nutzung von sogenannter Künstlicher Intelligenz (KI) sei es den Behörden so möglich, Personen eindeutig zu identifizieren und ihren Aufenthaltsort genau nachzuverfolgen.
Die erfassten Körpermerkmale würden gleichzeitig mit Einträgen in weltweiten Datenbanken verglichen, um so etwa nach bekannten Straftätern zu suchen. Ein Versuch der Bundespolizei am Berliner Bahnhof Südkreuz habe gezeigt, dass wegen der unzuverlässigen Technik 99 von 100 der als „Treffer“ gemeldeten Personen unschuldig gewesen seien und zu Unrecht einer Straftat verdächtigt würden.

Bürgerinitiative befürchtet zudem Diskriminierungsgefahr

Menschenrechtsorganisationen warnten vor dem Einsatz biometrischer Überwachungstechnologien außerdem aufgrund der Diskriminierungsgefahr, die von ihnen ausgehe. Denn die Algorithmen der Gesichtserkennungstechnologien wiesen besonders hohe Fehlerquoten bei der Erkennung nicht-weißer Personen auf. In den USA habe es bereits erste Festnahmen unschuldiger Bürger auf Basis des Einsatzes biometrischer Überwachungstechnologien gegeben. Zahlreiche US-Staaten hätten daher Gesetze zum Verbot von Gesichtserkennungstechnologien verabschiedet.
In der Europäischen Union gebe es bisher keinen gesetzlichen Rahmen zur Regulierung solcher Überwachungsmethoden. Die EU-Kommission habe jedoch angekündigt, im April 2021 ein Gesetzespaket zum Umgang mit sogenannter Künstlicher Intelligenz vorzulegen. „Die Europäische Union muss dringend die Gefahren erkennen, die der Einsatz biometrischer Massenüberwachung mit sich bringt. Mit den geplanten Gesetzen zum Einsatz von Künstlicher Intelligenz hat die Kommission die Chance, den zahlreichen Warnungen der Zivilgesellschaft und Menschenrechtsorganisationen Gehör zu verleihen, und den Einsatz dieser extrem fehleranfälligen Technologien zu verbieten“, so Dr. Breyers Appell.

Bürgerinitiative: Europäische Kommission soll Gesetzesvorschlag zum Verbot Biometrischer Massenüberwachung vorlegen

Die Europäische Bürgeriniaitive „Reclaim Your Face“ fordere die Europäische Kommission auf, einen Gesetzesvorschlag zum Verbot Biometrischer Massenüberwachungstechnologien vorzulegen. Die Unterschriftensammlung laufe ab dem 17. Februar 2021 für ein Jahr und sei auf der „Reclaim Your Face“-Website erreichbar.
Dr. Breyers Fraktion im Europaparlament (Grüne/EFA) werbe unter anderem mit einer Veranstaltungsreihe und Studienaufträgen für die politische Umsetzung eines solchen Verbots.

Weitere Informationen zum Thema:

RECLAM YOUR FACE
Sign the petition for a new law now

The New York Times, Kashmir Hill, 29.12.2020
Another Arrest, and Jail Time, Due to a Bad Facial Recognition Match

Süddeutsche Zeitung, 12. Juni 2020
Rassismus und Algorithmen: Warum Tech-Konzerne der Gesichtserkennung abschwören

Süddeutsche Zeitung, Christian Endt und Vanessa Wormer, 01.03.2019
Das Problem mit den Falsch-Positiven / Zunehmend setzen Sicherheitsbehörden Software ein, um Verdächtige zu erkennen…

datensicherheit.de, 15.12.2017
Pilotprojekt Gesichtserkennung am Bahnhof Südkreuz: Kritik vom Deutschen Anwaltverein / Das massenhafte Scannen von unbescholtenen Personen greift massiv in Grundrechte ein

[datensicherheit.de, 18.08.2020] Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) hat nach eigenen Angaben das in den USA ansässige Unternehmen Clearview AI mittels eines formalen Bescheids angewiesen, „ihm Auskunft zu einer Reihe von Fragen zur dortigen Verarbeitung personenbezogener Daten zu geben“. Clearview AI bietet demnach eine Gesichtserkennungs-App an, „die es Kunden ermöglicht, nach Hochladen eines Fotos einer Person sämtliche öffentlich verfügbaren Fotos, auf denen diese Person zu erkennen ist – z.B. aus Profilen in Sozialen Netzwerken und von sonstigen Internetseiten –, zu ermitteln, zusammenzustellen und auszuwerten“. Dazu habe das Unternehmen offenbar mehrere Milliarden von Fotos von Nutzern weltweit aus dem Internet kopiert und diese Daten zu einem gigantischen, leicht durchsuchbaren Archiv von Gesichtern ausgebaut. Die Rechtmäßigkeit dieser Verarbeitung sei in Bezug auf europäische Betroffene angesichts der fehlenden Einwilligung in die Verarbeitung gerade biometrischer Daten überaus zweifelhaft. Das Unternehmen sei verpflichtet, der Aufsichtsbehörde bis Mitte September 2020 umfassend und aussagekräftig Auskunft zu geben – für den Fall der Nichtbereitstellung der geforderten Informationen sei ein Zwangsgeld angedroht worden.

HmbBfDI

Prof. Dr. Johannes Caspar: Clearview verpflichtet, bis Mitte September 2020 umfassend und aussagekräftig Auskunft zu geben!

Beschwerde gegen Clearview beim HmbBfDI im Februar 2020 eingereicht

Ausgehend von einer Beschwerde gegen Clearview, die beim HmbBfDI im Februar 2020 eingereicht worden sei, habe dieser mit dem Unternehmen bereits mehrfach Kontakt aufgenommen – „Fragen zum Geschäftsmodell und zu den Umständen, die der Beschwerde zugrunde liegen, hat Clearview bislang lediglich ausweichend beantwortet“.
Dabei sei die rechtliche Position vertreten worden, die Datenschutzgrundverordnung (DSGVO) sei für die Verarbeitung durch Clearview insgesamt nicht anwendbar, so dass auch keine Pflicht zur Antwort in der Sache bestehe – „dieser Auffassung tritt der HmbBfDI entgegen“.

Nicht nur Betroffene, sondern auch EU-Kunden von Clearview im Blick

Der räumliche Anwendungsbereich der DSGVO sei über Art. 3 (2) b eröffnet, da die spätere Verhaltensbeobachtung nicht nur die Betroffenen, sondern auch die Kunden von Clearview betreffe. Gerade auch die App-Nutzer, die letztlich im Rahmen ihres Beschäftigungsverhältnisses für Clearview-Kunden, etwa Sicherheitsbehörden oder private Unternehmen, tätig sind, würden durch Cookie-Setzung zu unterschiedlichen Zwecken beobachtet, so z.B. zur Überprüfung ihrer Benutzeraktivitäten oder zur Verbesserung der Benutzererfahrung.
Beschäftigte, die sich dabei in der Europäischen Union befinden, genießen laut HmbBfDI „ebenfalls den Schutz der DSGVO und sind somit Betroffene nach Maßgabe dieser Vorschrift“.

Zwangsgeld gegen Clearview angedroht

Das Unternehmen sei nun verpflichtet, der Aufsichtsbehörde bis Mitte September 2020 umfassend und aussagekräftig Auskunft zu geben. Für den Fall der Nichtbereitstellung der geforderten Informationen sei ein Zwangsgeld in Höhe von je 10.000 Euro für jeden Einzelfall der insgesamt siebzehn Fragekomplexe angedroht worden.
„Geschäftsmodelle, die darin bestehen, massenhaft und anlasslos Bilder im Netz zu sammeln und die Gesichter von Personen durch biometrische Analyse identifizierbar zu machen, gefährden die Privatsphäre im globalen Maßstab“, warnt der HmbBfDI, Prof. Dr. Johannes Caspar. Zum Schutz Betroffener unter der EU-Grundrechtecharta müssten sie anhand der DSGVO kontrolliert, reguliert und nötigenfalls gestoppt werden.

Prof. Caspar geht davon aus, dass Clearview die Fragen beantworten oder Rechtsmittel einlegen wird

In Europa dürfe es keinen Raum für „düstere digitale Dystopien“ geben, in denen der Einsatz von Gesichtserkennungssoftware und biometrische Datenbanken staatlichen, aber auch privaten Stellen eine neue, kaum mehr kontrollierbare Form der Herrschaft über Menschen verschaffte. Die Datenschutzaufsichtsbehörden hätten den Auftrag, hierüber zu wachen. Das gelte auch gegenüber Unternehmen, „die entsprechende Geschäftszwecke von außerhalb der EU verfolgen und damit die Privatsphäre und die informationelle Selbstbestimmung von Menschen in der EU in Frage stellen“.
Professor Caspar betont abschließend: „Um eine datenschutzrechtliche Kontrolle zu ermöglichen, gehe ich davon aus, dass Clearview die dem Unternehmen gestellten Fragen beantworten oder zumindest gegen den Heranziehungsbescheid Rechtsmittel einlegen wird, um so eine rechtliche Entscheidung zu ermöglichen.“

Weitere Informationen zum Thema:

datensicherheit.de, 28.05.2020
Polizei Hamburg: Datenbank zum Gesichtsabgleich gelöscht / Anlässlich der Ermittlungen zu „G20“-Ausschreitungen mit Hilfe von Gesichtserkennung erstellte biometrische Datenbank war heftig umstritten

[datensicherheit.de, 05.12.2019] Der technologische Fortschritt, der Wandel zur Cloud-Infrastruktur und die Modernisierung veralteter Prozesse unterwerfen Unternehmen einem stetigen Wandel, der sie laut McAfee zwingt, Sicherheitsprozesse und Tools gegen Hacker aufzurüsten. In den aktuell vorgestellten „Cyber-Security-Trends 2020“ geht McAfee dabei vor allem auf die Trends „Deepfakes“ gegen Gesichtserkennung, mehrstufige Ransomware-Angriffe, Wandel von DevOps zu DevSecOps in containerisierten Workloads und APIs als „weak link“ zu Cloud-nativen Bedrohungen ein.

Auch 2020 Handlungsbedarf aufgrund der Bedrohungen durch Cyber-Kriminelle

Rolf Haas, „Senior Enterprise Technology Specialist“ bei McAfee: Dieser Wandel werde auch durch die Entwicklungen der Bedrohungslandschaft entscheidend mitgestaltet, „der Unternehmen zwingt, Sicherheitsprozesse und Tools im Wettrüsten mit Hackern immer auf dem neuesten Stand zu halten und in die Geschäftsabläufe zu integrieren“.
Auch 2020 würden die Bedrohungen durch Cyber-Kriminelle die Infrastrukturen maßgeblich mitgestalten. Dabei würden besonders die folgenden Trends das kommende Jahr mitbestimmen:

Deepfakes täuschen Gesichtserkennung

Biometrische Authentifizierungsmethoden seien nicht nur sicherer, sondern auch nutzerfreundlicher als die Kombination aus Nutzername und Passwort. Dabei werde die Einzigartigkeit der körpereigenen Merkmale genutzt, um Personen zu identifizieren und deren Zugriffsberechtigung zu prüfen. Mittlerweile ließen sich deshalb Smartphones und andere Geräte per Gesichtserkennung entsperren oder im Flughafen die Passkontrolle anhand von Gesichtsscannern durchführen.
Durch den technologischen Fortschritt werde es allerdings inzwischen immer einfacher, menschliche Gesichter nachzustellen. Sogenannte Deepfakes stellten für Unternehmen eine neuartige Bedrohung dar und würden für Cyber-Kriminelle zunehmend zu einem veritablen Mittel, um sich Zugriff auf sensible Informationen zu verschaffen.

Ransomware-Angriffe in mehreren Stufen

Haas: „Ransomware ist und bleibt ein effektives Mittel für Cyber-Kriminelle. Allerdings hat sich bereits in den vergangenen Jahren angedeutet, dass Angriffe nicht mehr wahllos anhand breit versandter Dateien stattfinden, sondern gezielt durchgeführt werden. Der Austausch über erfolgreiche Kampagnen führt zu einer weiteren Entwicklung: Hacker tauschen sich zunehmend über erfolgreiche Kampagnen sowie Schwachstellen aus und etablieren somit mehrstufige Angriffe.“
So ließen sich erfolgreiche Cyber-Angriffe ausnutzen, um mehrmals Lösegeld zu erpressen. In der ersten Stufe des Angriffs legten Hacker dabei wie bisher auch ein Unternehmen lahm und verlangten ein Lösegeld, um die verschlüsselten Daten wieder freizugeben. Gleichzeitig exfiltrierten sie sensible Informationen, die sie entweder an andere Cyber-Kriminelle weitergäben oder zu einem späteren Zeitpunkt für einen erneuten Angriff verwendeten. Unternehmen müssten sich daher verstärkt darauf einstellen, nach einem Ransomware-Angriff ein zweites Mal Opfer einer Erpressung zu werden.

Wandel von DevOps zu DevSecOps

Containerbasierte Cloud-Deployments erfreuten sich zunehmender Beliebtheit, „da sie Unternehmen erlauben, Legacy-Anwendungen zu modernisieren und neue Cloud-native Anwendungen bereitzustellen, die sich leicht skalieren lassen.“ Die Analysten von Gartner gehen laut Haas davon aus, dass 2022 mehr als 75 Prozent aller weltweiten Unternehmen Container-Anwendungen in Einsatz haben würden – ein deutlicher Anstieg im Vergleich zu den weniger als 30 Prozent von heute.
Die Bereitstellung dieser Anwendungen in der Cloud erfolge durch Automatisierungs-Tools in der Cloud und zwinge Sicherheitsteams dazu, die Risikobewertung früher im Deployment-Zyklus durchzuführen und Sicherheit in den DevOps-Prozess zu integrieren, was letztendlich dazu führen werde, dass DevSecOps-Praktiken sich perspektivisch gegenüber DevOps durchsetzen werde.

API – „weak link“ zu Cloud-nativen Bedrohungen

„Application Programming Interfaces“ (API) seien ein „wesentlicher Faktor im Ökosystem heutiger Anwendungen, darunter in Cloud-Umgebungen, im ,Internet of Things‘ und Web-basierten Kommunikationskanälen.“
Gleichzeitig seien sie häufig noch nicht Bestandteil der Sicherheitsstrategie und dementsprechend nicht durch die eingesetzten Tools und Prozesse geschützt, obwohl sie ein einfach auszunutzendes Einfallstor darstellten. Haas warnt: „Dadurch stellen sie eine Schwachstelle dar, da Zugriffe nicht durch angemessene Authentifizierung und Autorisierung und Zugriffsbeschränkungen geschützt werden.“

Anstieg von API-basierten Angriffen und andererseits Umdenken in Unternehmen erwartet

Dementsprechend wird nach Einschätzung von Haas das kommende Jahr 2020 einerseits zu einem Anstieg von API-basierten Angriffen und andererseits zu einem Umdenken in Unternehmen führen:
„Ganzheitlichere Sicherheitsstrategien, die einen größeren Überblick über die SaaS-, PaaS- und IaaS-Umgebungen voraussetzen, werden zunehmend zu regelbasierter Autorisierung und Technologien zur Überwachung des Nutzerverhaltens führen.“

Weitere Informationen zum Thema:

datensicherheit.de, 04.12.2019
Vermehrt Angriffe auf biometrische Daten / Ein Drittel der biometrische Daten verarbeitenden Computer attackiert

datensicherheit.de, 02.10.2018
Unternehmensschutz: DevOps in IT-Sicherheitsmaßnahmen einbeziehen / Mittlerweile hat sich DevOps für viele Unternehmen zu einem Wettbewerbsvorteil entwickelt / Security für viele IT-Verantwortlichen eine Herausforderung

[datensicherheit.de, 19.08.2019] Laut einer Meldung von Nuance Communications haben in der vergangenen Woche Sicherheitsforscher aus Israel eine riesige Datenbank mit rund einer Million Fingerabdrücken und anderen biometrischen Daten aufgespürt, die quasi ungeschützt und unverschlüsselt im Web abgerufen werden konnten. Die Daten stammen demnach vom System „Biostar 2“ der koreanischen Sicherheitsfirma Suprema, die nach eigenen Angaben Marktführer in Europa bei biometrischen Zutrittskontrollsystemen sein soll.

Geeignete Maßnahmen zum Schutz der Kunden und Mitarbeiter

Während Gesichts- und Fingerabdruckbiometrien eine zusätzliche Sicherheitsschicht darstellten, sollten Unternehmen immer auf die Sprachbiometrie achten, um vollständige Sicherheit zu gewährleisten. Dabei sollten sie sorgfältig untersuchen, mit wem sie zusammenarbeiten wollen, um diese Art von Technologie einzusetzen, und sicherstellen, dass geeignete Maßnahmen zum Schutz ihrer eigenen Kunden oder Mitarbeiter getroffen werden – eben um sicherzustellen, dass Daten nicht verwendet werden können, um Zugang zu Kundenkonten zu erhalten und betrügerische Transaktionen durchzuführen.
„Betrug hat viele Gesichter. Ob am Telefon, im Internet oder an der Ladentheke. Mit dem technologischen Fortschritt werden die Methoden der Betrüger immer ausgefeilter – glücklicherweise jedoch auch die Lösungen zur Betrugsprävention“, sagt Heiner Kruessmann, „Director Sales Enterprise DACH“ bei Nuance Communications und gibt Unternehmen sechs Tipps:

1. Sprachbiometrie für Identitätsnachweise

Der traditionelle Identitätsnachweis, zum Beispiel durch PINs oder Passwörter verliere zunehmend an Bedeutung. Das habe zum einen damit zu tun, „dass laut Gartner durchschnittlich 15 bis 30 Prozent der Nutzer die Daten immer wieder vergessen und die Methode somit in der Praxis schlecht abschneidet und zum anderen damit, dass 60 Prozent der Cyber-Kriminellen in der Lage sind, diese Art von Sicherheitsabfrage zu hacken“.
Je weiter die technologischen Möglichkeiten fortschritten, desto mehr Alternativen gebe es zur antwortbasierten Authentifizierung. In Zukunft werde unter anderem das Thema Sprachbiometrie eine wichtige Rolle bei Identitätsnachweisen spielen. Die Anzahl der aktiv verwendeten Sprachabdrucke wachse seit Jahren exponentiell. „Unternehmen, die sich Gedanken darüber machen, einen sprachbasierten Ansatz zur Kundenauthentifizierung einzuführen, können auf Lösungen wie die ,Security Suite‘ von Nuance zurückgreifen“, so Kruessmann.

2. Risikobewertung durchführen und die beste Lösung evaluieren

Die möglichen und sinnvollen Maßnahmen zur Betrugsprävention unterschieden sich je nach Unternehmen und Branche zum Teil deutlich. Beispielsweise könnte es sich für ein neu gegründetes Kreditkartenunternehmen als sinnvoll erweisen, zugunsten einer reibungslosen „Customer Experience“ auf aufwändige Verifizierungsmaßnahmen zu verzichten.
Kruessmann: „Ein traditionelles Finanzinstitut, das ein breites Spektrum aus Leistungen anbietet, zeichnet sich hingegen durch eine weitaus geringere Risikotoleranz aus.“ Es gelte also, eine Risikobewertung durchzuführen und die beste Lösung im Spannungsfeld zwischen Kundenkomfort und Sicherheit zu evaluieren.

3. Betrugsanfälligkeit analysieren

„Bevor Unternehmen konkrete Maßnahmen zur Betrugsprävention ergreifen können, müssen sie sich ein klares Bild von ihrer individuellen Bedrohungslage machen“, erläutert Kruessmann. Dazu gehöre eine Analyse der Kosten, „die im Zusammenhang mit Betrugsfällen entstehen sowie deren Anzahl“.
Auch hierbei spiele der Tätigkeitsbereich eines Unternehmens wieder eine wichtige Rolle. Eine Bank habe in finanzieller Hinsicht bei Betrugsfällen deutlich mehr zu befürchten als beispielsweise ein Telekommunikationsanbieter. „Eine Gemeinsamkeit besteht jedoch darin, dass die Verluste durch Betrug in vielen Fällen unterschätzt werden“, warnt Kruessmann. Mithilfe entsprechender Softwarelösungen bestehe die Möglichkeit, das volle Ausmaß der Verluste zu erfassen.

4. Offline- oder Echtzeit-Betrugserkennung auswählen

„Unternehmen, die sich darüber im Klaren sind, mit welcher Art von Betrugsversuch sie besonders oft konfrontiert sind, können entscheiden, welche Maßnahmen sinnvoll sind.“ Dabei könne es sich um die Authentifizierung mit Sprachbiometrie handeln, aber auch um Offline- oder Echtzeit-Betrugserkennung.
Offline-Lösungen erforderten vergleichsweise wenig Integrations- und Entwicklungsaufwand, „sind im Hinblick auf bestimmte Betrugsmethoden jedoch nicht so leistungsfähig wie Echtzeit-Lösungen“. Je nach individuellem Risikoprofil könnten auch beide Arten der Betrugserkennung zum Einsatz gebracht werden.

5. „Blacklist“-Management

„Die ersten Schritte bestehen darin, die Bedrohungslage zu analysieren und sich dann für eine Offline- und/oder Echtzeit-Lösung zu entscheiden.“ Dann gehe es um das Thema „Blacklist“-Management. Die meisten Unternehmen führten eine Vielzahl von Listen, wie „Blacklists“, „Watchlists“ und „Whitelists“. „Blacklists“ enthielten Personen, „die bereits als Betrüger in Erscheinung getreten sind“. „Watchlists“ dagegen Einträge zu gefährdeten Kunden oder verdächtigen Personen. „Whitelists“ schließlich umfassten Kunden, die zwar Betrugsmeldungen auslösten, jedoch nachweislich vertrauenswürdig seien.
„,Blacklist‘-Management ist sozusagen der Dreh- und Angelpunkt, wenn es um Betrugserkennung geht“, unterstreicht Kruessmann. Auch in diesem Zusammenhang könne Spracherkennung zu einer Optimierung der Betrugsprävention beitragen, da es so möglich werde, Betrüger anhand ihrer Stimme zu identifizieren. Dabei gelte es jedoch, Verwechslungen mit unbescholtenen Kunden zu vermeiden. Da Stimmen und vor allem regionale Akzente sich oft stark ähnelten, sollten die entsprechenden Kunden der jeweiligen Liste hinzugefügt werden.

6. Schutz fortlaufend anpassen

„Eine starke Sicherheitslösung bietei umfassende Betrugsprävention über digitale, telefonische und Selbstbedienungskanäle.“ Dazu gehöre auch die sprachbiometrische Authentifizierung zur Betrugsbekämpfung. Dennoch wäre es unrealistisch, zu behaupten, es gäbe hundertprozentige Sicherheit gegen Betrug. Um das Risiko jedoch so weit wie möglich zu minimieren, sollte immer ein mehrschichtiger Ansatz zur Authentifizierung in Stellung gebracht werden. Neue Technologien wie KI seien zudem sehr leistungsfähig, wenn es um das Erkennen von Betrugsmustern geht.
Dennoch gibt Kruessmann zu bedenken: „Je weiter sich die Biometrie für Authentifizierungszwecke verbreitet, desto stärker konzentrieren Betrüger sich darauf, biometrische Sicherheitsverfahren zu umgehen.“ Allerdings ermöglichten die neuesten Lösungen über die bloße Stimmbiometrie hinaus auch die Erfassung einer Verhaltensbiometrie und von Kontextfaktoren wie zum Beispiel Informationen zum Telefonmodell des Anrufers, so dass es für Betrüger sehr schwierig werde, die Identität eines legitimen Kunden nachzuahmen.

Weitere Informationen zum Thema:

datensicherheit.de, 25.07.2019
5 Dollar: Google zahlt für biometrische Daten

datensicherheit.de, 25.08.2016
Biometrische Daten nur zum Entsperren eines privaten Schlüssels verwenden