Hot Topics
Security Bloggers Network 
SBN

Richtlinienkonforme Authentifizierung durch Verhaltensbiometrie

by Ingo Deutschmann on July 19, 2021

Neue Studie von Alan Goode zeigt, wie der Einsatz verhaltensbiometrischer Technologien im Einklang mit strengen Datenschutzgesetzen wie der DSGVO erfolgen kann

Nach einem Jahr des digitalen Wandels auf gesellschaftlicher Ebene ist die Nachfrage nach einer besseren Online-Nutzererfahrung – ob bei der Arbeit, beim Studium oder im Alltag – so groß wie nie zuvor. Leider haben Betrüger und Cyberkriminelle erkannt, dass Entwicklungen in der Sicherheit nicht so schnell voranschreiten, wie es die rasanten Fortschritte in der Technologie erforderlich machen. Der Einsatz statischer biometrischer Technologien wie die Gesichtserkennung, können zwar aus guten Gründen erfolgen, z.B. um den Zugriff auf unsere Konten auf mobilen Geräten zu beschleunigen oder die Strafverfolgung zu unterstützen – allerdings können sie auch für illegale Betrügereien wie Deep Fake-Videos missbraucht werden.

Eine attraktive und sichere Alternative bietet die Verhaltensbiometrie von BehavioSec. Verhaltensbiometrische Technologie kann sowohl ergänzend zu bestehenden Authentifizierungs-Lösungen als auch als eigenständiger Ansatz für bessere Sicherheit und Benutzerfreundlichkeit eingesetzt werden.  Sie hilft Unternehmen, ihre Compliance-Anforderungen zu erfüllen und stellt gleichzeitig sicher, dass die Technologie selbst die Privatsphäre schützt. Wie genau die Einhaltung von Compliance im Rahmen von DSGVO und anderen Vorschriften mit Verhaltensbiometrie funktioniert, stellt nun ein neuer Report der Anwaltskanzlei Osborne Clarke dar.

 

Ergebnisse des Berichts von Alan Goode

Der kürzlich veröffentlichte Bericht des Biometrie-Experten Alan Goode zeigt, wie der erfolgreiche Einsatz von Verhaltensbiometrie aussehen kann. In der Studie untersucht der leitende Analyst die Auswirkungen globaler Gesetze zum Schutz der Privatsphäre und des Datenschutzes auf die erfolgreiche und gesetzeskonforme Einführung biometrischer Technologien zur Authentifizierung. Auf der Grundlage des Inputs globaler Bankkunden, umfangreicher Recherchen und rechtlicher Stellungnahmen der Anwälte von Osborne Clarke skizziert der Bericht, wie Unternehmen verhaltensbiometrische Daten nutzen und dabei einige der weltweit strengsten Gesetze zum Schutz der Privatsphäre und des Datenschutzes einhalten können, darunter Branchenvorschriften für den Zahlungsverkehr bei Banken und Unternehmen im Finanzwesen wie PSD2 SCA, und vor allem die EU-Datenschutz-Grundverordnung (DSGVO).

 

DSGVO

Grundsätzlich gilt laut DSGVO, dass bei ausdrücklicher Einwilligung durch den Nutzer die Erhebung und Verarbeitung von biometrischen Daten rechtlich gestattet ist. Während Verhaltensbiometrie als Unterkategorie der Biometrie also im Allgemeinen zwar eine ausdrückliche Einwilligung (auch bezeichnet als „Informed Consent“) vor der Erhebung oder Verarbeitung personenbezogener Daten erfordert, gibt es potenzielle Ausnahmen von diesen Anforderungen. Gemäß Artikel 9 Absatz 1 der DSGVO kann die Verarbeitung auch ohne den Informed Consent als rechtmäßig angesehen werden, wenn die Verarbeitung aus mindestens einem der folgenden zwei Gründe erfolgt:

  • Zur Verhinderung des unberechtigten Zugriffs oder der unberechtigten Nutzung von Diensten, zum Beispiel:
    • Zugang zu Online-Bankkonten
    • Veranlassen und Abwickeln von Zahlungen
  • Aus Gründen eines erheblichen öffentlichen Interesses, zum Beispiel:
    • Sicherheit des elektronischen Zahlungsverkehrs
    • Schutz der Benutzer

Die erwähnten Ausnahmen werden in der Praxis bereits bei großen Banken und anderen Organisationen in ganz Europa genutzt. Worauf außerdem hingewiesen wird ist, dass die Organisation (z. B. die Bank) zu jedem Zeitpunkt rechtlich gesehen der „Controller” der personenbezogenen Daten ist. Der Anbieter der verhaltensbiometrischen Lösung stellt lediglich einen Service zur Verfügung.

 

PSD2 SCA

Hinsichtlich der Verhinderung von unberechtigtem Zugriff und Missbrauch von Diensten weisen die deutschen Aufsichtsbehörden darauf hin, dass die Verarbeitung biometrischer Daten zum Zwecke der Prävention gerechtfertigt ist, wenn besondere Umstände die Notwendigkeit einer solchen Verarbeitung belegen. Im Rahmen von Zahlungsdiensten setzt sowohl der europäische als auch der deutsche Gesetzgeber solche besonderen Umstände gesetzlich voraus. Die Gesetzgeber erkennen ausdrücklich an, dass Zahlungsdienste besonders gefährdet sind, kompromittiert zu werden, und daher besondere Schutzmaßnahmen erforderlich sind. Daher sind Zahlungsdienstleister wie Banken verpflichtet, eine starke Kundenauthentifizierung zu implementieren, die auch biometrische Elemente beinhalten kann.

PSD2 SCA ist auch einer der ersten Technologiestandards, der explizit auf Biometrie als entscheidenden Authentifizierungsfaktor verweist. Viele europäische Regulierungen zum Finanz- und Zahlungsverkehr richten ihr Augenmerk darauf, wie verhaltensbiometrische Daten auf bestehende Authentifizierungslösungen „aufgesetzt” werden können.

 

Fazit

In der neuen, durch mobile Endgeräte geprägten Welt werden höhere Sicherheitsanforderungen denn je an Unternehmen gestellt. Wie der Bericht von Alan Goode und Osborne Clarke zeigt, machen es moderne, auf Verhaltensbiometrie basierte Lösungen möglich, dass eine richtlinienkonforme und kontinuierlich abgesicherte Nutzung von Diensten erfolgt – und das im Einklang mit strengen Datenschutzgesetzen wie der DSGVO und PSD2 SCA. Generell ist allerdings zu empfehlen, dass Organisationen sich Rechtsbeistand für die korrekte Umsetzung der Gesetzesauslegung innerhalb ihrer Region und für ihre speziellen Anwendungsfälle einholen, da die regulatorische Landschaft komplex ist und die geltenden Gesetze sich je nach Region unterscheiden können.

Um mehr darüber zu erfahren, wie verhaltensbiometrische Technologie unter Einhaltung diverser Datenschutzrichtlinien eingesetzt werden kann, werfen Sie einen Blick auf den vollständigen Bericht von Alan Goode unter folgendem Link: https://bit.ly/3ajE8uz

The post Richtlinienkonforme Authentifizierung durch Verhaltensbiometrie appeared first on BehavioSec.

*** This is a Security Bloggers Network syndicated blog from BehavioSec authored by Ingo Deutschmann. Read the original post at: https://www.behaviosec.com/richtlinienkonforme-authentifizierung-durch-verhaltensbiometrie/

Ingo Deutschmann

Secure Guardrails