20. Januar 2021

Biometrische Identifikation im Zahlungsverkehr

Nie wieder das Passwort vergessen, weil man das „Passwort“ immer bei sich trägt? Was vor einigen Jahren noch Science Fiction aus dem neuesten James-Bond-Streifen war, ist heute Standard in jedem Smartphone – biometrische Identifikationsmethoden wie Fingerabdruck, Gesichtserkennung, Stimm-Identifikation oder auch das Tipp-Verhalten sind in unseren ständigen Wegbegleitern eingebaut und ermöglichen uns nicht nur, das Handy ohne PIN oder Passwort zu entsperren. Auch der Zugang zum E-Mail-Konto, Onlinebanking oder auch die Zahlungsauslösung kann über Biometrie stattfinden. Aber wie sicher ist das?

Egal ob der Fingerabdruck, Irisbeschaffenheit oder Stimmfärbung – bis heute wurden noch keine zwei Menschen gefunden, deren biometrische Charakteristika übereinstimmen. Man kann also mit ziemlicher Sicherheit sagen, dass diese biometrischen Daten einzigartig sind. Außerdem können sie nicht wie eine PIN „erraten“ werden.

Andererseits müssen irgendwo Vergleichswerte abgelegt werden, damit die biometrische Erkennung funktioniert. Bspw. der Fingerabdruck auf dem Smartphone: Hier muss man vor der Erstbenutzung zuerst seinen Abdruck scannen, damit er bei späterer Nutzung wieder abgerufen werden kann und mit dem aufliegenden Finger verglichen wird. Wo genau liegt dieser Scan? Auf dem Gerät oder auf einem Server?

In der Theorie können natürlich auch biometrische Daten gestohlen werden, allerdings gelten sie als sicherer als andere Identifikationsmethoden. Insbesondere dann, wenn sie auf einem Server gespeichert werden.

Wenn es ums Geld und schützenswerte Daten geht, muss Sicherheit vor Komfort stehen. Deshalb ist die Zwei-Faktoren-Autorisierung (2FA) besonders bei Online-Bezahlverfahren nicht nur enorm wichtig, sondern mittlerweile bis auf wenige Ausnahmen durch die Payment Service Directive (PSD II) einhaltungspflichtig für Betreiber.