Evaluation und Weiterentwicklung von Zertifizierungsverfahren für biometrische Systeme
Eine exemplarische Betrachtung von Zertifizierungsverfahren mit dem Schwerpunkt IT-Sicherheit
Matthias Dorfner
Biometrische Verfahren und Systeme ermöglichen eine für den Anwender komfortable und zudem personengebundene Variante der Identitätsprüfung. Gleichwohl unterliegen sie einer Vielzahl an Barrieren und Hemmnissen, welche durch geeignete Zertifizierungsverfahren erkannt und behoben werden können. Eine kritische Analyse biometrischer Verfahren und Systeme offenbart unter Berücksichtigung regulatorischer Erfordernisse sowie der am Biometrie-Markt beteiligten Stakeholder die zunehmende Notwendigkeit einer für diesen Bereich geeigneten Zertifizierung. Nebst einer Darstellung anwendbarer Bewertungskriterien für die Sicherheitsevaluation biometrischer Verfahren und Systeme werden existierende und relevante Zertifizierungsverfahren sowie deren normative Grundanforderungen kategorisiert vorgestellt. Ebenso findet eine Überprüfung und Beurteilung dieser in Bezug auf die Eignung für biometrische Verfahren und Systeme statt. Ein auf Basis der in dieser Studie erzielten Erkenntnissen entwickelter Anforderungskatalog analysiert und bewertet am Markt verfügbare Zertifizierungsverfahren in Form eines strukturierten Evaluationsschemas. Eine Fallstudie zeigt anhand einer Zertifizierung nach den Common Criteria auf, welche Prüfmechanismen und grundsätzlichen Vorgehensweisen bei der Anwendung verwendet werden, um die Sicherheit biometrischer Systeme zu analysieren und zu würdigen. Die durchgeführte Fallstudie validiert zudem die in der theoretisch fundierten Evaluation erzielten Ergebnisse und liefert praxisrelevante Defizite und Faktoren, die den Erfolg einer Zertifizierung bedingen. Die Schlussbetrachtung greift vorhandene Schwächen und Lücken der untersuchten Zertifizierungsverfahren sowie der verwendeten technischen Grundlagen auf und gibt Hinweise für deren Weiterentwicklung. Das Werk ist eine wissenschaftliche am derzeitigen Stand der Forschung und Technik orientierte Untersuchung. Sie erhebt den Anspruch eines für die Praxis zweckmäßigen Leitfadens und richtet sich an IT-Verantwortliche, welche die Leistungsfähigkeit am Markt angebotener Zertifizierungsverfahren als strategische Entscheidungshilfe für deren Auswahl und Anwendbarkeit auf biometrische Systeme mit einbeziehen wollen.