28
Mai

Biometrie im Bad Orber Freibad: Provinzposse oder zukunftsweisendes Verfahren?

categories Aktuelles    

Im Laufe dieser Woche erfuhr ich via Buschfunk von der Nachricht, dass das Zuganssystem des Freischwimmbades im altehrwürdigen Kurort Bad Orb mit einem Fingerabdruck-Verfahren ausgestattet wurde.

Nicht nur der Buschfunk funktioniert, natürlich wurde das System überparteilich behandelt und erhielt mediale Aufmerksamkeit (Hessischer Rundfunk, Frankfurter Rundschau, Frankfurter Neue Presse, auch Sat1 meldete sich).

Die Stadt will vorrangig vermeiden, dass die personengebundenen Dauerkarten missbraucht werden und durch den Zaun an andere Schwimmbadbesucher durchgereicht werden. Außerdem sollen Personalkosten an Kassen reduziert werden. Eigentlich eine gute Idee, oder?

Der Einsatz des Fingerabdrucks jedoch weckte den Datenschutz-Drachen. Politiker, Juristen, Datenschützer melden sich zu Wort und kritisieren das Verfahren.

Die Diskussion amüsiert mich ein wenig, denn sie verläuft öffentlich derzeit sehr oberflächlich. Bei all dem Gerede vermisse ich eine klare Beschreibung, wie es technisch denn nun genau funktioniert. Ein Indiz fand ich in einem Artikel, darin hieß es, dass die Daten schließlich nicht zentral gespeichert, sondern nur auf dem Chip vorliegen würden. Das sagt nicht viel.

Wie wäre es garantiert nicht sauber?
Auf dem Chip sind (womöglich im Klartext) die Merkmale vom Fingerabdruck des Trägers gespeichert. Bei der Prüfung am Fingerabdruck-Scanner fragt dieser die gescannten Merkmale bei einen Server an, auf welchem die Merkmale auch gespeichert sind.

So bitte nicht. Wenn die Technik so funktioniert, schlage ich mich sofort auf die Seite der Datenschützer. Provinzposse.

Wie wäre es sauber?
Auf dem Chip ist ein Hashwert für die Merkmale des Trägers gespeichert. Bei der Prüfung am Fingerabdruck-Scanner bildet das Gerät ebenso einen Hashwert der Merkmale und vergleicht das Ergebnis mit dem Chip. Die Merkmale selbst werden gar nicht gespeichert, sondern nur zur Ermittlung des Hashwerts verwendet.

Falls dies hinter dem Verfahren steht, gut gemacht! So gehts, so ist es in Ordnung.

Ein Hashwert kann natürlich geknackt werden, damit hätte man das System gehackt, aber dennoch nicht die dem Hash zugrunde liegenden Daten des Fingerabdrucks. Was hätte der Angreifer davon? Er hätte Zugang ins Freibad! Dafür lohnen sich hochkomplexe Hashwert-Attacken…

Zuletzt im Hackerclub:
Hacker-Azubi zum Chef:
„Nun versuchen wir uns an Biometrie. Was hacken wir jetzt? Den Personalausweis? Bankensysteme? Zugriffe zu High-Security-Gebäuden? Atomkraftwerke? Rüstungskonzerne?“

Chef:
„Nein…viel besser… wir hacken das Bad Orber Freibad!“

Wem das zuviel Sarkasmus ist… sorry! 😉

Ich würde mich freuen, wenn das Verfahren etwas genauer beschrieben wird. Dann könnte man sich ein gesundes Bild davon machen, ob es sich hierbei um eine Provinzposse oder um ein zukunftsweisendes Verfahren handelt.