Zutrittskontrolle 27. September 2021

Biometrische Verfahren vereinen Komfort mit Sicherheit

In Unternehmen kann sich der Einsatz von biometrischen Zutrittsverfahren gleich doppelt auszahlen, einmal in Sachen Sicherheit und einmal in Sachen Komfort.

Häufig geht es beim Einsatz von Biometrie um höhere Sicherheitsanforderungen und die sichere Authentifizierung vieler Personen an einem Zutrittspunkt, aber auch der Komfort spielt immer öfter eine wichtige Rolle.

Der Einsatz von biometrischen Verfahren für die Zutrittskontrolle und Zeiterfassung in Unternehmen kann bei sachgemäßer Projektierung Sicherheit und Komfort in Einklang bringen. Das Thema Biometrie findet sich aber immer wieder in der Presse, wird in der Öffentlichkeit kontrovers diskutiert und teilweise auch vor Gerichten verhandelt. Dabei ist Biometrie längst in der Praxis angekommen und fast jeder von uns benutzt sie täglich, etwa um sich Zugang zu den Apps auf dem Smartphone zu verschaffen.

Bei Unternehmen und Institutionen geht es beim Einsatz der Biometrie aber um wesentlich höhere Sicherheitsanforderungen und die sichere Authentifizierung vieler Personen an einem Zutrittspunkt. Die Einsatzgebiete reichen vom hochfrequentierten Eingang mit geringeren Sicherheitsanforderungen über das einfache und schnelle Boarding am Flughafen bis hin zum komplexen Hochsicherheitsbereich eines IT-Rechenzentrums.

Sicher und rechtlich einwandfreier Einsatz von biometrischen Verfahren

Der Einsatz der Biometrie ist bequem für die Nutzer, aber wie ist der Prozess sicher und rechtlich einwandfrei zu gestalten? Die Zutrittskontrolle setzt eine Authentifizierung der Person voraus. Eine Authentifizierung soll ausschließen, dass sich unberechtigte Personen Zutritt, Zugang oder Zugriff verschaffen. Es gibt grundsätzlich drei Authentifizierungsverfahren:

besitzbasierende Verfahren, zum Beispiel mit Ausweisen, Chips, Smartphones
wissensbasierte Verfahren, etwa mit PINs und Passwörter
seinsbasierte Verfahren, also biometrische Verfahren, wie beispielsweise Fingerabdruck, Stimme, Handvenen

Die biometrischen Verfahren sind immer personenbezogen und unterliegen deshalb besonderen Schutzvorkehrungen und Datenschutzbestimmungen, die zu beachten sind.

Biometrie in der Praxis: kompliziert und sicher oder einfach und unsicher?

Öfters wird gefragt: Was ist die beste Methode? Das lässt sich nicht pauschal beantworten. Jedes Authentifizierungsverfahren hat Vor- und Nachteile. Die Anforderungen an Sicherheit, Handhabung und Preis sind ausschlaggebend für die Auswahl eines geeigneten biometrischen Verfahrens.

Längst etabliert in der betrieblichen Praxis hat sich das Fingerprint-Verfahren, das auch dormakaba bei seinen Terminals für Zeiterfassung und Zutrittskontrolle anbietet. Obwohl tausendfach im Einsatz muss das Verfahren und die Möglichkeiten individuell erklärt werden. Nur dann gewinnen alle Beteiligten vom Nutzer über die Datenschutzverantwortlichen bis hin zum Betreiber Sicherheit und Vertrauen.

Besonders wichtig dabei ist, wie das Verfahren funktioniert und wie und was gespeichert wird. Beim Einlernvorgang werden die persönlichen Merkmale der Fingerkuppe (Minutien) vektorisiert. Diese vektorisierten Daten werden über einen Algorithmus in eine beliebig lange Zahlenreihe (abhängig von der Anzahl gefundener Verzweigungen) gewandelt. Diesem Wert wird eine ID (Ausweisnummer) zugeordnet und als Referenztemplate gespeichert. Zu keinem Zeitpunkt wird ein digitales Bild der Fingerkuppe Zeitpunkt gespeichert.

Biometrisches Fingerprintverfahren nutzt Minutien

Die verwendete Technologie basiert auf dem Nachweis der Minutien, welche es ermöglichen, ein Individuum nur auf eine Weise (einmalig) zu identifizieren. Ein Template ist eine Menge von Punkten und nicht ein Bild des Fingerabdrucks. Somit gibt es keine Möglichkeit, den Fingerabdruck des Nutzers im Falle eines Diebstahls oder kriminellem Skimming vom Speicher wiederherzustellen. Es ist nicht möglich, das Bild des Fingerabdrucks von typischen Punkten wieder zu erstellen.

Grundsätzlich unterscheidet man zwischen der Möglichkeit der reinen Identifikation, bei der das Template im Terminal gespeichert ist und der Verifikation, bei der sich das Template auf einem Ausweis befindet. Wichtig ist der Grundsatz der Freiwilligkeit. Will ein Nutzer keine Biometrie verwenden, kann die Person sich alternativ über RFID oder PIN verifizieren. Eine Multifaktorauthentifizierung kombiniert verschiedene Verfahren, etwa Biometrie und RFID oder Biometrie und PIN und ist besonders sicher.

Ein weiteres, bekanntes Verfahren ist die Gesichtserkennung. Sie wird in Zukunft einen Boom erleben. Denn die Gesichtskennung lässt sich nicht nur für die Zutrittskontrolle in Unternehmen einsetzen, sondern auch z.B. an Flughäfen beim Einchecken der Passagiere. Das Gesicht als Bordkarte nutzt beispielsweise schon die Lufthansa am Flughafen Frankfurt und an weiteren Airports an Boarding Gates Argus air mit Biometrielesern von dormakaba.

Tipps für die praktische Umsetzung von Biometrieprojekten

Wenn Unternehmen Biometrie einführen möchten, sollten sie zunächst wichtige Fragen klären und vor allem den Betriebsrat von Anfang an mit einbeziehen.

Alle Beteiligten informieren, welche und wie personenbezogene Daten verarbeitet werden.
Den Mitarbeitenden den Einlern- und Buchungsvorgang erklären. Was wird wo, durch wen und wie erfasst?
Security first – alles muss verschlüsselt und darf nicht rekonstruierbar sein.
Darauf hinweisen, dass kein digitales Abbild des biometrischen Merkmals gespeichert wird.
Planungsunterlagen für Mitarbeiter und Datenschutzbeauftragte vom Auftragnehmer einfordern.
Betriebsrat/Personalrat einbinden: Die Verarbeitung ist rechtmäßig, wenn die betroffene Person eingewilligt hat, eine Kollektivvereinbarung besteht oder die Verarbeitung für Zwecke des Beschäftigungsverhältnisses erforderlich ist (vgl. Art. 9 DSGVO, § 26 BDSG).
Falls ein Personal-/Betriebsrat vorhanden ist, sollte die Verarbeitung biometrischer Daten auch über eine Betriebsvereinbarung gerechtfertigt werden.
Es gilt die Freiwilligkeit (widerrufbar). Alternativ verwendet man statt des biometrischen Merkmals eine Authentifizierung über einen Ausweis oder die Eingabe einer Ausweisnummer (optional mit zusätzlicher PIN gesichert).
Die Verarbeitung von Daten während eines Beschäftigungsverhältnisses ist dann zulässig, wenn festgelegte, eindeutige und legitime Zwecke verfolgt werden. Zweck ist die Gewährleistung von Zeiterfassung oder Zutrittskontrollen als Teil der Durchführung des Beschäftigungsverhältnisses. Damit ist die Erforderlichkeit gegeben.
Die Beeinträchtigung des Persönlichkeitsrechts des Beschäftigten durch Biometrie muss in einem angemessenen Verhältnis zum angestrebten Zweck der Datenverwendung stehen, damit soll Missbrauch ausgeschlossen werden.

Autor des Beitrags, Wolfgang Blender, Produkt Manager Markt Workforce Management, Dormakaba Deutschland GmbH.

Zutrittskontrolle

Folgen Sie uns

Passend zu diesem Artikel

Handvenenscanner sind als Authentifizierungslösung in Rechenzentren gut geeignet.

Zutrittskontrolle

Sichere Authentifizierung in Rechenzentren

Rechenzentren sind das Herzstück der Informationsinfrastruktur und müssen daher besonders mit entsprechender Sichere Authentifizierung gesichert sein.

Der S-Line-Fingerprint von Ekey kann passgenau in eine Vielzahl von Sprechanlagen integriert werden.

Zutrittskontrolle

Fingerprints passgenau in Sprechanlagen integrieren

Ekey Biometric Systems stellt in seinem neuen Katalog Erweiterungen seiner Fingerprints vor, darunter neue Schalterrahmen und Sprechanlagenmodule.

Brandschutz

Flugdrohnen für vollautomatisierte Einsätze

Ein innovatives All-In-One Drohnensystem speziell für den Einsatz im Industrie-Umfeld unterstützt in Sachen Werkschutz, Brandschutz und Inspektionen.