Biometrie bietet den Komfort einer einfachen Authentifikation. Dieser zeichnet sich dadurch aus, dass biometrische Charakteristika nicht vergessen oder ohne Weiteres verloren werden können, wie dies beispielsweise bei PINs oder Passwörtern der Fall ist. Aus den genannten Gründen wird Biometrie als Authentifikationsfaktor immer häufiger angewendet. Ein prominentes Beispiel hierfür ist das Smartphone, welches viele technische Merkmale, wie Konnektivität zu internen und externen Netzwerken, Speicherung von sensiblen Daten und vielfältiger Sensorik vereint. Biometrie ist meist eine Möglichkeit zur Verifikation oder Authentifikation gegenüber offline und online Diensten auf einem entsprechenden Gerät. Zu nennen sind hier aktuell die biometrischen Modalitäten Finger und Gesicht, die mit in Smartphones integrierter Hard- und Software verwendet werden. Durch die fortschreitende Digitalisierung verschwimmt zunehmend die zuvor strikte Trennung zwischen privater Hardware und hoheitlicher Anwendung. Um Identitätsmissbräuche zu erschweren und ein Vertrauensniveau in einer biometrischen Verifikation oder Authentifikation zu erzeugen, sind Definitionen für biometrische Performanzwerte, wie auch eine Präsentationsangriffsdetektion (engl. Presentation Attack Detection PAD) notwendig. Denn im Gegensatz zu Passwörtern und Authentisierungstoken ist die Anzahl an biometrischen Instanzen begrenzt und sie lassen sich, wenn einmal veröffentlicht, nicht beliebig häufig ändern oder löschen.

Die Technische Richtlinie "Technical Guideline for Biometric Authentication Components in Devices for Authentication” (BSI TR-03166) macht Vorgaben und gibt Empfehlungen bezüglich Biometrie als ein Authentifikationsfaktor neben Wissen und Besitz. Die entsprechenden Performanzanforderungen und die Forderung nach PAD-Funktionalitäten sind angelehnt an Anforderungen aus der eIDAS-Verordnung. Zukünftige Anwendungsszenarien können es erforderlich machen, dass eine biometrische Verifikation oder Authentifikation einem dem Anwendungsszenario angemessenen Vertrauensniveau entspricht. Das erforderliche Vertrauensniveau in die Authentifikation wird durch den Service oder Dienst selbst bestimmt. Exemplarisch sind im Anhang der Technischen Richtlinie Verwendungsszenarien am Beispiel eines Smartphones skizziert.

Aktuell befinden sich weitere Teile der BSI TR-03166 in der Erstellung. Alle Dokumente sind ausschließlich in englischer Sprache verfügbar.

Es handelt sich um einen Entwurf (Draft) der Technischen Richtlinie als Vorschlag zur weiteren Diskussion. Die Inhalte können sich in der weiteren Bearbeitung noch ändern.

Die öffentliche Kommentierungsphase zur Technischen Richtlinie läuft bis zum 31. August 2021.

Kommentare und Fragen zur Technischen Richtlinie können an bez@bsi.bund.de übermittelt werden.

Download

BSI TR-03166 Technical Guideline for Biometric Authentication Components in Devices for Authentication