schwerpunkt- thema: biometrie...corporate governance – how the culture of an organisation affects...
TRANSCRIPT
Schwerpunkt-Thema:
Biometrie
Nr. 75 Juni 2005
Inhaltsverzeichnis
3
Impressum
Herausgeber:
ISACA Switzerland Chapter
c/o Monika Josi
Novartis Animal Health
Global Information Technology
WRO-1032.1.90
4002 Basel
Redaktion:
Max F. Bretscher
KPMG Fides Peat
Badenerstrasse 172
8026 Zürich
Satz und Gestaltung:
WissensTransfer
Francesca Lüscher Baglioni,
8235 Lohn, SH
Jeder Nachdruck, auch auszugsweise, sowie
Vervielfältigungen oder sonstige Verwertung
von Texten oder Abbildungen aus dem
NewsLetter nur mit schriftlicher Genehmi-
gung des Herausgebers unter voller Quellen-
angabe.
Preise:
Mitglieder gratis
Abonnement CHF 35.–/Jahr
Einzelnummer CHF 10.–
Inserate:
1 Seite CHF 400.–
1/2 Seite CHF 240.–
1/4 Seite CHF 160.–
Erscheint 5 Mal jährlich
Auflage: 1350 Exemplare
Nächste Ausgabe (Thema: Schnittstellen-
prüfung): September 2005, Redaktions-
schluss: 5. August 2005
Inhaltsverzeichnis
Editorial 4
Biometrie – Les systèmes biométriques: des mots de passe« anatomiques » 5
Biometrie – Biometrische Systeme: Der Körper als Passwort 11
Biometrie – Biometric ID Card Debates 16
Biometrie – Die Zukunft gehört der Biometrie 20
Biometrie Sind biometrische Systeme teuer, aber sicher? 21
Corporate Governance – How the culture of an organisationaffects Governance 24
Interviews 25
The ISACA Crossword Puzzle 26
In eigener Sache 27
Express Line 28
DACH-News 29
Veranstaltungen 33
Vereinsadressen 35
Editorial
4
An einem feuchten Sommertag, ineiner dunklen Bar, traf ich mich voreinigen Jahren mit anderen Referen-ten nach einer Sicherheitskonferenz.In der grösstenteils müde oder sogarerschöpft wirkenden Runde stach eineGestalt hervor – eine überdrehte Frau,welche voller Begeisterung über ihrneues Sofware- und Hardware-Pro-dukt zur biometrischen Erkennung desFingerabdrucks redete und kaum auf-hören konnte.
Da ich mich schon damals im Rahmenmeines CISA-Kurses und anderer Aus-bildungen immer wieder mit der bio-metrischen Authentisierung beschäf-tigt hatte, stellte ich der Vertreterin diezentrale Frage zum Thema: „Was ma-che ich, wenn mir mein Fingerabdruckgestohlen wird?“ Ich kann heute nichtmehr sagen, ob ich die Frage irgend-wann einmal im Unterricht von einemKursteilnehmer gestellt erhielt, oder obsie sich einfach so aus der ständigenWeiterentwicklung des Kursthemasherauskristallisiert hat – Tatsache aberist, dass ich bis heute noch keine ver-nünftige Antwort darauf erhaltenhabe.
Im Unterricht stelle ich die Frage immerwieder: die am häufigsten gehörteAntwort ist, „… dann nehme ich ein-fach den nächsten Finger!“ Zwar pro-voziert diese Antwort die erwartetenLacher. Vor allem, wenn man dannbildhaft beginnt, einen Finger nachdem anderen einzuklappen, sehennämlich alle, dass dieser Lösungsvor-schlag nicht wirklich zielführend ist.
Bei physischen und logischen Authen-tisierungsmerkmalen (credentials)kann ich bei einem Verlust, Diebstahl
oder unautorisiertem Kopieren raschreagieren: Das Schloss zum verlorenenSchlüssel lasse ich auswechseln oderden verlorenen Badge im Zutritts-kontrollsystem sperren – und kein Dieboder zufälliger Finder kann das mirabhanden gekommene physischeMerkmal missbrauchen. Analog mitden logischen Merkmalen: Sobald ichmerke, dass mir jemand beim Ein-tippen des Passwortes zugeschaut hat,kann ich dieses ändern; und für denFall, wo ich dies nicht bemerkt habe,hilft mir ja der (hoffentlich) regelmässi-ge Passwortwechsel weiter.
Was aber mache ich, wenn es einemAngreifer gelingt, z.B. wegen einesDesign- oder Implementationsfehlers(oder wegen der anderen Unzuläng-lichkeiten der meisten biometrischenSysteme) mein biometrisches Merkmalso zu stehlen (d.h. zu kopieren), dasser es an meiner Stelle gebrauchenkann? Bei den biometrischen Zutritts-kontrollsystemen der ersten Stundewurden solche Angriffsszenarien alsSchwächen früher Prototypen vernied-licht, welche bei der definitiven Ver-sion selbstverständlich behoben sind.Dann kam der vielzitierte Artikel in derZeitschrift CT, wo die Redaktion diemeisten der am Markt erhältlichenSysteme mit einfachsten Tricks über-listen konnte. Eine der witzigsten Re-aktionen mehrerer (!) Hersteller war,die Redaktion hätte mit unfairen Mit-teln ausserhalb der Designspezifika-tionen gekämpft (z.B. Klebestreifen,Pulver usw.) – als ob sich die Angreiferan das Benutzerhandbuch mit all die-sen überflüssigen Hinweisen wie „Bit-te nasse Katze nicht im Mikrowellen-ofen trocknen“ halten würden.
Editorial Ich empfehle allen Herstellern vonSicherheitsprodukten, sich mit „mei-nen“ CISA-Kursteilnehmern zu mes-sen – was diese nicht selber heraus-finden, holen sie über gezielte oderzufällige Recherche aus dem Internet.Vor wenigen Monaten erhielt ich einVideo des Chaos Computer Clubs, dasin weniger als zwei Minuten die abso-lut perfekt funktionierende Methodezeigt, wie ich mit Sekundenkleber,Digitalkamera, hautfreundlichem Leimund anderen frei erhältlichen Hilfsmit-teln innert Minuten eine perfekte Ko-pie des Fingerabdrucks einer beliebi-gen fremden Person herstellen unddiese Kopie dann mit Erfolg zur Über-listung der biometrischen Zutrittskon-trolle einsetzen kann. Realität undnicht eine Szene aus dem Kinofilm„Minority Report“!
Kommen wir zurück zu meiner Frage:Ich finde heraus, dass irgend jemandmeinen Fingerabdruck „gestohlen“und z.B. für die Einreise in ein anderesLand missbraucht hat. Wer glaubt,dass ich die Pass- oder Einwanderungs-behörden überzeugen kann, nicht ichsei an diesem Tag dort und dort ein-gereist und hätte dann diese oder jeneStraftat verübt, soll das bitte einmalselber ausprobieren – der Wahn man-cher Behörden im Zusammenhang mitbiometrischen Merkmalen, z.B. in Rei-sepässen, wird das sicherlich zu einemreizvollen Erlebnis werden lassen (übri-gens meine ich damit ausdrücklichauch die vielen „kleinen Brüder“ imeuropäischen Umfeld). Auch wennman mit forensischen Methoden ingewissen Fällen nachweisen kann,dass der gefundene Fingerabdruck miteiner Kopie „gestempelt“ wurde undnicht einem echten Fingerabdruck ent-spricht, wird so etwas für die von meh-reren Personen verwendeten Zutritts-kontroll-/Registriersysteme (z.B. Ein-wanderungsbehörde, Schliessfächer,usw.) systembedingt nicht möglichsein.
Biometrie
5
Na ja – von all dem lese ich in den ver-schiedenen mir bereits vorliegendenArtikeln zum Schwerpunkt-Thema indiesem NewsLetter gar nichts. Undleider auch nichts zur zweiten Frage,welche mich seit Jahren beschäftigt:„Wenn ich das physische oder logischeAuthentisierungsmerkmal nicht mehrstehlen oder kopieren kann, weil dieUnternehmen grundsätzlich nur nochbiometrische Merkmale einsetzen –führt das dann nicht automatisch zueiner dramatischen Erhöhung des Risi-kos bezüglich Geiselnahme (manschleppt das Opfer zum Geldausgabe-automat) oder Körperverletzung (manamputiert mehr oder weniger freund-lich den Körperteil, den man für denZugang benötigt)?
Mit nachdenklichen Grüssen
Peter R. Bitterli, CISA
P.S.Bitte die Artikel dennoch lesen – eslohnt sich!
Biometrie
Les systèmes biométriques: des motsde passe « anatomiques »
Les techniques traditionnellesd’authentification, comme les sys-tèmes à mot de passe ou Smartcard,partent du principe que l’usager estdétenteur d’un savoir confidentiel(vérification de l’identité par un savoir)ou qu’il est détenteur d’une « clé »personnelle matérialisée (vérificationde l’identité à l’aide d’un documentjustificatif).
La biométrie, elle, met à contributiondes caractéristiques physiologiques oucomportementales de l’usager à desfins d’authentification. C’est en ce sensqu’elle collecte non plus seulement desdonnés corrélatives à l’individu (mé-thode exogène) mais des données quilui sont inhérentes.
Les caractéristiques biométriques ontl’avantage de ne pas pouvoir êtresubtilisées et qu’elles ne peuvent êtrefalsifiées que très difficilement. Il estégalement à considérer que, dans lecas de systèmes à mot de passe ou àcarte à puce, on peut certes vérifier lavalidité de la carte ou de la clé, maison ne contrôle pas si le détenteur-utilisateur est bien le détenteurlégitime. Les moyens biométriquesconstituent une parade très efficace àce déficit.
Tant au point de vue coût qu’en ce quiconcerne leur efficacité, les méthodesbiométriques peuvent représenter unealternative à d’autres systèmes desécurisation, ou du moins en êtrecomplémentaires.
Les différences entre lavérification et l’identification
Dans le cas de l’identification, onconfronte des données biométriquesà un individu. Ceci implique unerecherche dans une banque dedonnées préalablement établie, etnous nous retrouvons donc ici dans laproblématique des enquêtes policières.On appelle également cette méthodela comparaison « one-to-many ».
Une vérification est par contre ladémarche au cours de laquelle on doitdémontrer à l’aide de moyens bio-métriques qu’une personne est biencelle qu’elle prétend être. C’est le casde figure des contrôles d’accès, appe-lés aussi comparaison one-to-one.
Mise en oeuvre de systèmesbiométriques
Les systèmes d’authentificationpersonnelle peuvent être utiliséspartout ou des individus ont à déclinerleur identité au moyen de systèmestechniques.
A SRG SSR idée suisse, ce sont:� les limitations d’accès et le contrôled’utilisateurs certifiés vis-à-vis d’infor-mations sensibles de l’entreprise(données salariales par exemple) oud’informations clients ou RH ;� la limitation d‘accès à des res-sources informatiques (utilisation del’Internet et de certaines applications)à un cercle de personnes donné ;� l’amélioration de la sécurité dessites au moyen de mesures trèssophistiquées de protection d’accès àdes bâtiments, entrepôts, salles
Biometrie
6
informatique, bureaux intégrés à desimmeubles publics, laboratoires ousystèmes sensibles ou encore auxéquipements névralgiques d’unités dediffusion ;
Quelles sont les caracté-ristiques exploitables enbiométrie ?
Les procédés d’identification profitentdu fait qu’il existe différentes carac-téristiques physiques et comporte-mentales qui sont tout à fait propres àun individu unique. A l’aide d’unsenseur, il est possible de déterminerces caractéristiques et d’établir sanséquivoque possible un lien envers cettepersonne.
L’anatomie humaine présente ungrand nombre de données pouvantêtre mesurées. Certaines se présententsous forme écrite dans notre passe-port. Mais s’il s’agit de procéder auto-matiquement à un balayage et à unecomparaison du résultat, les impératifsbiométriques vont entraîner certainescontraintes que l’on peut résumercomme suit.� Maintenabilité: la référence demesure doit faire preuve de pérennité;elle ne doit pas se modifier sur unintervalle de temps prolongé ;� Accessibilité: les caractéristiquesexploitables doivent pouvoir être nu-mérisables en un laps de temps bref ;
� Unicité: la caractéristique biométri-que envisagée doit comporter suffi-samment de traits pertinents pourassurer une différenciation vis-à-vis detout autre individu ;� Acceptation: les techniques de véri-fication de la caractéristique envisagéedoivent pouvoir être cautionnées parun large public. Il conviendra parexemple d’exclure toute techniqueinvasive, sollicitant certaines parties ducorps et pouvant être (subjectivement)considérée comme une atteinte àl’intégrité corporelle ;� Compactabilité: La collecte d’infor-mations doit pouvoir être réduite à unequantité de données raisonnable etfacilement maniable ;� Fiabilité: le procédé doit présenterune bonne fiabilité et reproductibilité ;� Confidentialité: il convient depouvoir protéger la sphère privée dechacun.
Dans ces conditions, la quantité descaractéristiques pouvant être saisies demanière automatique – et qui onttoutes déjà fait l’objet d’une expéri-mentation – se trouve être réduite à laportion congrue. Le synoptique ci-dessous donnera un aperçu desconclusions qui ont jusqu’ici été tiréesà leur sujet.
D’autres caractéristiques, comme parexemple le poids, la taille, la couleurdes yeux ou des cheveux ainsi qued’autres signes particuliers devront être
exclus car ne satisfaisant pas auxcritères d’unicité, de saisibilité ou demaintenabilité.
Enregistrement et vérification
Les conditions préalables à la vérifica-tion d’un individu comportent lanécessité d’avoir enregistré la per-sonne sous une référence XY dans lesystème de reconnaissance et que sonsignalement se soit matérialisé sousforme d’une entrée informatique com-portant les informations biométriques.
Toute vérification biométrique com-mence pour cette raison par un en-registrement (capture de la référence).Nous l’illustrerons à l’exemple del’empreinte digitale:� choix d’un code d’identificationindividuel,� présentation du doigt,� numérisation de la configurationde l’empreinte,� nouvelle présentation du doigt,test.
On vérifiera ensuite si la personnealléguant être la dénommée XYprésente les caractéristiques bio-métriques correspondantes. Sont à ceteffet requis:1. la saisie de l’identité avancée parla personne.
Caractéristique Capture Pérennité (maintenabilité)
Unicité Acceptation
Géométrie de la main optique (IR) bonne 1:1000 très bonne
Empreinte deux doigts optique (IR) bonne 1:1000 très bonne
Empreinte rétinienne optique (laser) très bonne 1: un million médiocre (invasive)
Reconnaissance de l'iris optique très bonne 1: 6 millions médiocre
Reconnaissance des veines de la main
optique bonne pas d’indication très bonne
Signature dynamique (pression exercée)
médiocre 1 : 10.000 très bonne
Caractéristiques vocales électroacoustique médiocre 1 : 10.000 bonne
Identification du visage optique ou par IR bonne pas d’indication bonne
Empreintes digitales optique, capacitif etc. très bonne 1 : un million bonne
Tableau 1: Caractéristiques biométriques
Biometrie
7
2. L’interrogation de la banque dedonnées comportant les indications surcette personne.3. La numérisation de ces donnéesbiométriques.4. La collation des données informa-tiques et de la saisie personnelle.5. L’affichage et le cas échéant ledépouillement des résultats.
Les caractéristiquesbiométriques et leurcapture
Les empreintes digitales
Aujourd’hui la capture des empreintesdigitales s’effectue par voie optique:le doigt est placé sur un prisme; aupoint de contact entre la peau et leprisme, la lumière fait l’objet d’unedispersion (et non d’une réflexion to-tale), et l’image qui en résulte va êtrereprise par une caméra CDD.
D’autres procédés de saisie ont étéessayés, comme les méthodes auxultrasons, les techniques capacitivesainsi que des méthodes combinéesassociant thermographie et pression.Le procédé aux ultrasons a été rejetépour des raisons de coûts. Le procédécombiné en est encore au stadeexpérimental tandis que la méthodecapacitive est d’ores et déjà utilisée.
Le traitement de l’image (« enrôle-ment ») et l’authentification peuvents’effectuer de deux maniéres diffé-rentes.
Dans le premier cas, on opère l’extrac-tion des minuties (terminaisons,bifurcations...) et on dépose les résul-tats dans une banque de données.
Pour la vérification, on reprend lesminuties de l’individu et effectue lacomparaison avec les données en-registrées (« minutiae matching »).
Fig. 2: Caractéristiques pertinentes d’une
empreinte digitale
Dans le deuxième cas, on n’entre dansla base de données que certainséléments de l’image binarisée. Demême, pour la vérification, on s’enréférera au champ sélectionné del’image binarisée pour vérifier laconcordance avec la portion d’em-preinte présentée (pattern matching).
On parvient dans les deux cas à unindice de similitude comparable, maisla durée de l’opération peut êtresupérieure dans le premier cas.
Rares sont les fournisseurs qui pro-posent une identification du doigtvivant, permettant d’exclure lesauthentifications d’une copie siliconeou, dans les cas extrêmes, les abusdans lesquels on aurait essayé de selégitimer au moyen du doigt d’unepersonne décédée.
Le visage
Il existe ici des procédés de recon-naissance visuelle et thermographique.Les traits caractéristiques d’un visagesont capturés au moyen d’une imagevidéo.
Fig. 3: Reconnaissance d’un visage.
Plusieurs de ces procédés n’ont fait leurapparition que tout récemment.Utilisant un principe proche de laphotographie, leur acceptation auprèsdes utilisateurs potentiels est parti-culièrement bonne. Combinés aux pro-cédés requérant une capture oculaire,ils constituent une méthode absolu-ment sans contact corporel.
Certaines réserves sans à émettre ence qui concerne la protection des don-nées informatiques. Ainsi, le procédépermet des investigations au seind’une banque de données ou vice
Fig. 1 : Démarche-type pour l’enregistrement d’une empreinte digitale.
Biometrie
8
versa pour la recherche d’un individuau sein d’un groupe. L’authentificationde la personne peut en outre se faireà l’insu de celle-ci, ce qui est impos-sible par exemple pour les procédésdigitaux ou palmaires. Citons à titred’exemples pour une telle mise enoeuvre, délicate en termes desdonnées, la surveillance des zonespiétonnes ainsi que celle assumée parla police à l’encontre des supportersdans les stades britanniques.
L’iris et la rétine
Ces deux organes oculaires comptentparmi les plus fiables et les plus stablesdans le temps; ils permettent mêmeune différenciation satisfaisante chezles jumeaux monozygotes.
L’image de la pupille sera capturée soitpar un laser « inoffensif » soit à l’aided’une caméra vidéo. Après avoir bina-risé la carte vasculaire et autres carac-
téristiques, on sauvegarde les donnéessous forme d’un code-barre.
Les obstacles inhérents aux techniquesd’authentification oculaire consistentd’une part en la réticence des indi-vidus, et d’une part dans les problèmesde la capture, vu les différentespositions que les yeux peuvent avoirpar rapport à l’appareil, ce qui impliqueune opération préalable de position-nement. On ne dispose pas encore,pour cette technologie, d’une expé-rience suffisante.
Comparaison des systèmesbiométriques et desméthodesconventionnelles
Avantages
� Contrairement aux techniques àcarte, à badge ou à clé, les carac-téristiques biométriques sont inalié-
nables et excluent toute possibilité decession à des tiers.� Globalement, la plupart des carac-téristiques entrant en ligne de comptesont suffisamment stables pour ladurée de vie de l’individu au cours delaquelle une authentification peuts’avérer nécessaire.� Les possibilités de duplication sontfaibles, malgré certaines fluctuationsd’un procédé à l’autre. Les falsifica-
tions requièrent en règle générale uninvestissement important.� Les frais d’exploitation de telssystèmes sont modérés puisqu’il n’estpas à prévoir de gestion et de renouvel-lement de documents d’authentifi-cation (cartes, clés).
Inconvénients
� L’investissement initial, notammentau niveau des équipements, est plusimportant que dans le cas de systèmesconventionnels.� L’intégrité de la personne peut,selon la caractéristique biométriquechoisie et son exploitation, être miseen cause. Ceci prévaut notammentlorsque la démarche biométrique n’estpas seulement utilisée à des fins devérification mais également pourl’identification de l’individu.� Certaines réserves sanitairesdoivent être considérées.
Le marché
De manière générale, on constate queles systèmes biométriques peuvent êtreutilisés pour de très nombreusesapplications. Ils présentent de netsavantages dans tous les cas où il estnécessaire d’identifier une personneavec la meilleure certitude possible. Lefait que ces systèmes ne soient pas plusutilisés est dû à plusieurs raisons:� cette technique est relativementrécente. Cela fait seulement unequinzaine d’années que les premiersappareils ont été commercialisés; ilsprésentaient au début un encombre-ment dissuasif, ils étaient lents et leurprix était prohibitif. La conversion desstructures existantes, souvent impor-tantes (voir par exemple les équipe-ments d’authentification aux guichetsautomatiques des banques) exigentd’énormes investissements, ce qui faitque les nouveaux systèmes nes’imposent que progressivement.
Fig. 4: Anatomie de l’oeil
Fig. 5: Scannérisation de l’iris
Biometrie
9
� Leur prix est encore élevé en com-paraison, par exemple, à celui d’unlecteur de carte magnétique, quoiqueles prix soient appelés à baisser.� On avance souvent le problème del’acceptation de la part du grandpublic, mais l’expérience montre quece problème a tendance à êtresurestimé.� D’autre part, les lacunes qui subsis-tent dans le domaine de la normalisa-tion amène la grosse clientèle poten-tielle de tels systèmes à temporiser,ceux-ci ne voulant pas être à la mercid’un seul et unique fournisseur.
Contrôles d’accès
De nombreux besoins peuvent êtreperçus dans ce domaine, qui dans lemonde occidental, sont cependantuniquement appelés à faire office decomplément à des systèmes existantset non à les supplanter.
Les systèmes biométriques connaissentune avancée significative, ces dernièresannées, pour la protection des casierspersonnels dans les coffres-forts desbanques, tant en Allemagne qu’enSuisse, et de plus en plus égalementen Autriche. Les systèmes mis enoeuvre se basent sur l’authentificationdigitale mais également sur lessystèmes de reconnaissance du visage.
On rencontre en outre des équipe-ments de contrôle d’accès biométri-ques dans les banques, les prisons, lescentrales nucléaires, les installationsmilitaires et de plus en plus égalementdans les industries et services.
A SRG SSR idée suisse, il seraitenvisageable de prévoir de tels sys-tèmes pour la protection complémen-taire des salles informatiques et desinstallations névralgiques de diffusion.
Protection des ordinateurs et desréseaux informatiques.
Le public averti sait bien que laprotection de données par mot depasse, le moyen le plus utilisé actuel-lement, est dès plus problématique.
Si aucune mesure de dissuasion n’estprise, la majorité des utilisateurs faitappel à des mots de passe d’unedangereuse banalité, comme desprénoms ou des dates de naissance.
Si l’on procède à une exclusiondélibérée, au niveau des logiciels, decombinaisons trop simples et si l’onimpose un renouvellement plusfréquent du mot de passe ou du codepersonnel, les utilisateurs auronttendance à noter ces informationsconfidentielles et à les garder en unlieu peu sûr (tiroir de bureau, voiremême souvent sur l’ordinateur même).Ceci est naturellement extrêmementdommageable à la sécurité.
Ces derniers temps, et du fait d’unebaisse significative des prix, de plus enplus de systèmes d’authentificationdigitale ont fait leur apparition dansle domaine de la protection desordinateurs. On perçoit donc dans cedomaine l’émergence d’un marchétrès important pour les systèmesbiométriques.
Trois domaines d’applicationretiennent surtout l’attention:1. La protection de l’accès auxordinateurs eux-mêmes. Dans ce casde figure, ce sont le démarrage del’ordinateur ou encore l’accès auxsystèmes d’exploitation installés(Windows NT par exemple), ou l’accèsà certains répertoires se trouvant surle disque dur qui seront bloqués.2. L’interdiction de l’accès à desbanques de données et de pro-grammes sauvegardés sur les serveurset requérant un code client. Laprotection de tels systèmes demande
en plus la protection des informationsvéhiculées par le réseau.3. Les signatures électroniques. Dansles cas où sont demandés des contrôlesélectroniques, par exemple pour destransactions pécuniaires par voie deréseau, les systèmes biométriquess’avèrent être particulièrement adap-tés. Ici également, l’objectif visé est laprotection de certaines opérationsdans cet environnement « à hautsrisques » que représente la Toile.
Dans l’état actuel des choses, l’utilisa-tion de systèmes biométriques ne peutêtre envisagée à SRG SSR idée suisseque pour les deux premiers champsd’application, et ce en tant que modu-les complémentaires aux systèmes enplace.
Acceptation
Préalablement à la mise en oeuvred’équipements biométriques, il faut sepencher sur le problème de l’accep-tation par les utilisateurs prévus. Il està penser que surviendront par exempledes réserves d’ordre sanitaire pour lessystèmes demandant un contactcorporel.
Mais il sera bon de rappeler que noustouchons quotidiennement unemultitude d’objets ayant été saisisavant nous par d’autres personnes (parexemple des poignées de porte), desorte qu’il ne devrait pas y avoir deréticences envers des appareillagessensoriels sollicitant la géométrie de lamain ou du doigt.
De manière générale, on peut cons-tater que l’utilisateur ne verra aucunproblème à ce genre de procédure –d’une fiabilité et d’une simplicité demanipulation convaincantes – pourautant qu’il ait été préalablementinformé correctement.
Biometrie
10
Garantie de laconfidentialitéd’informationspersonnelles
La conservation de donnés biométri-ques affecte les droits individuels dela personne et présente ainsi unecertaine pertinence en termes deprotection informatique du citoyen.Ceci prévaut notamment pour lessystèmes d’authentification de l’em-preinte digitale, naturellement asso-ciée à des activités relevant du secteurpolicier.
Les systèmes ne se référant pas auxempreintes digitales ne donneront pasa priori lieu aux mêmes réticences,quoique la question de la protectionde la confidentialité se pose ici avec lamême acuité.
De l’avis des spécialistes de la protec-tion informatique, la conservation decaractéristiques biométriques neprésente pas de problèmes tant qu’ils’agit d’une démarche délibérée de lapart de l’utilisateur et que l’organismeinstigateur joue la carte de la trans-parence.
Par ailleurs, tout acte d’authentifi-cation devrait être fonction de lavolonté déclarée de la personne con-cernée, toute initiative prise à son insuétant donc à proscrire. A cet égard,les systèmes ne remplissent pas tousles conditions requises de la mêmemanière. Les systèmes sans contactcorporels (capture de l’image de l’irisou du visage) donnent par exemplematière à controverse.
Particulièrement critiqués sont à cetégard les systèmes à empreinte digi-tale. Ces méthodes ne présentent pasde problèmes de protection tant quel’empreinte conservée ne permet pasde reconstituer la « signature » digita-le. Si cette condition est remplie, lesempreintes conservées ne sont pasutilisables à des fins policières et ne
peuvent donc pas être utilisées sans lacoopération de la personne concernée.
Les données biométriques ne présen-tent également aucun problèmelorsqu’elles sont conservées non pasdans une banque de données mais surune carte que l’utilisateur portera sursoit (carte de crédit par exemple).
La situation se présente différemmentpour les systèmes permettant deprocéder à une recherche dans unebanque de données (principe « on tomany »). Nous butons là aux limitesqu’un organisme privé n’a pas le droitde dépasser. Ces questions dépendentnéanmoins de la législation locale envigueur. Les Etats-Unis par exempleconcèdent à cet égard aux institutionsprivées beaucoup plus de latitude quece n’est le cas en Europe.
Perspectives commerciales
Si l’on en croit les études effectuéespar le Gartner Group et la Internatio-nal Biometric Industry Association(IBIA), on peut s’attendre à uneavancée très rapide des systèmesbiométriques.En devenant d’une utilisation plusaccessible et meilleure marché, et avecla réduction de leur encombrement,ces technologies ne supplanterontcertes pas totalement les systèmes seréférant à une propriété matérielle ouà un savoir (mots de passe, badge etc.),mais ils les remplaceront ou lescompléteront partiellement dans denombreux cas.
De la même manière que nous noussommes habitués aux cartes magné-tiques, aux cartes à puce et aux motsde passe, nous nous habituerons à lavérification biométrique. Le confortd’utilisation et la fiabilité des systèmesviendront sans nul doute à bout duscepticisme et apporteront la démon-stration qu’il s’agit bien là de procé-
dures d’identification somme toutebien naturelles.
Techniquement, la saisie de donnéesbiométriques recèle certains problè-mes, ce qui veut dire qu’il conviendrade prévoir une dotation technique nonnégligeable si l’on veut garantir unefiabilité satisfaisante. Mais, dans lecontexte d’une baisse généralisée duprix des composants électroniques etde la miniaturisation, ceci ne représen-tera pas une entrave insurmontable àl’extension de cette technologie. Lenombre des perspectives d’utilisationira bien au contraire croissant.
Markus Gander, SRG SSR idée suisse,Berne
Biometrie
11
Traditionelle Authentifikationstech-niken, wie Passwort- oder Smartcard-Verfahren, beruhen darauf, dass derTeilnehmer über ein bestimmtes, nurihm bekanntes Wissen verfügt (Verifi-kation der Identität durch Wissen) odereinen persönlichen Berechtigungs-schlüssel besitzt (Verifikation der Iden-tität durch Besitz).
Im Gegensatz dazu benutzt die Bio-metrie physiologische oder verhaltens-typische Charakteristiken des Teilneh-mers zur Authentifikation. Es werdensomit personengebundene und nichtnur personenbezogene Merkmale er-fasst.
Biometrische Merkmale haben denVorteil, dass sie nicht gestohlen undnur schwer kopiert werden können.Außerdem kann bei Passwort- oderChipkartensystemen zwar überprüftwerden, ob die Karte oder der Schlüs-sel gültig ist, es wird jedoch nicht über-prüft, ob der aktuelle Benutzer auchder rechtmäßige Besitzer dieses Legi-timationsmittels ist. Mit biometrischenMethoden kann dieses Sicherheits-manko behoben werden.
Biometrische Verfahren können be-züglich Kosten und Leistungsfähigkeiteine Alternative zu anderen Siche-rungsmechanismen darstellen oderdiese ergänzen.
Unterscheidung Verifikation –Identifikation
Bei der Identifikation lautet die Frage-stellung: Hier sind biometrische Merk-male, wer ist das?
Biometrie
Biometrische Systeme: Der Körper alsPasswort
Dies bedingt eine Suche in einer zuvorangelegten Datenbank und ist einetypische Fragestellung der Polizei. Mannennt dieses Verfahren auch den One-to-many-Vergleich.
Verifikation heißt der Vorgang, beidem eine Person behauptet, XY zusein, und dies dann mit einem bio-metrischen Vergleich zu beweisen hat.Dies ist eine typische Zutrittskontroll-Fragestellung, auch als One-to-one-Vergleich bezeichnet.
Einsatzgebiete BiometrischerSysteme
Systeme der persönlichen Authentifi-kation lassen sich überall dort einset-zen, wo sich Menschen gegenübertechnischen Systemen identifizierenmüssen.
In der SRG SSR idée suisse sind dies� die Zugriffsbegrenzung und Kon-trolle von zertifizierten Nutzern im Hin-blick auf sensible Firmendaten (z. B.Lohn- und Gehaltslisten) oder vertrau-liche Mitarbeiter- und Kundendaten.� Beschränkung von EDV-Ressourcen(Anwendungen und Internet) auf ei-nen festgelegten Benutzerkreis.� Verbesserung der stationärenSicherheit durch absolut sicheren Zu-gang zu Gebäuden, Lagern und EDV-Räumen, Büros in öffentlichen Gebäu-den, Labors und sendekritischen Sys-temen.
Nutzbare Eigenschaftenzur Authentifizierung
Biometrische Identifikationsverfahrennutzen die Tatsache, dass verschiede-ne Körper- oder Verhaltensmerkmaleeinem bestimmtem Menschen eindeu-tig zugeordnet werden können. MitHilfe eines Sensors werden diese Merk-male bestimmt und dann einer Personeindeutig zugeordnet.
Messbare biometrische Eigenschafteneiner Person gibt es viele. Einige davonfinden sich in schriftlicher Form in je-dem Pass. Sollen Messung und Ver-gleich mit vorher gespeicherten Datenjedoch automatisch erfolgen, so sindfolgende Anforderungen an diese bio-metrischen Eigenschaften zu stellen:� Invarianz der Eigenschaften: Diesedürfen sich über einen längeren Zeit-abschnitt nicht verändern.� Erfassbarkeit: Die Eigenschaftenmüssen in relativ kurzer Zeit messtech-nisch erfassbar sein.� Einzigartigkeit: Die Eigenschaftensollten genügend eindeutige Merkma-le beinhalten, um die Person von je-der andern zu unterscheiden.� Akzeptanz: Die Messung derEigenschaften muss für ein breites Pu-blikum in akzeptabler Form erfolgen.Auszuschliessen sind insbesondereinvasive Techniken, d.h. Techniken, diezur Prüfung einen Teil des Körpers be-nötigen oder (scheinbar) beeinträchti-gen.� Reduzierbarkeit: Die erfasstenEigenschaften müssen auf einen leichthandhabbaren Datensatz reduziertwerden.� Zuverlässigkeit: Das Verfahrenmuss eine hohe Zuverlässigkeit undReproduzierbarkeit aufweisen.� Datenschutz: Die Privatsphäre dererfassten Personen ist zu schützen.
Unter diesen Voraussetzungen redu-zieren sich die automatisch erfassbarenEigenschaften auf wenige, welche allein der Vergangenheit untersucht wor-
Biometrie
12
den sind. Die nachfolgende Tabellegibt dazu eine Übersicht.
Andere Merkmale, wie zum BeispielGewicht, Grösse, Augenfarbe undHaarfarbe sowie besondere Merkma-le fallen ausser Betracht, da sie Krite-rien wie Einzigartigkeit, Möglichkeitmesstechnischer Erfassung oder Inva-rianz nicht erfüllen.
Registrier- undVerifiziervorgang
Die technischen Voraussetzungen fürdie Verifizierung einer Person ist, dassdie betreffende Person zuerst als XYim Erkennungssystem registriert undein Datensatz abgespeichert wurde,der die biometrischen Merkmale fest-hält.
Jede biometrische Verifizierung be-ginnt deshalb mit der Registrierung.Dies soll gezeigt werden, am Beispielder Fingerabdruck-Verfahren:� Wahl einer PIN� Präsentation des Fingers� Berechnung des Fingermusters� Weitere Präsentationen des Fingers� Test
Nun soll verglichen werden, ob die alsXY auftretende Person die selben bio-metrischen Merkmale aufweist. Dazuist erforderlich:1. Eingabe der behaupteten Identitätder Person
2. Abruf des gespeicherten Daten-satzes dieser Person aus einem Spei-cher3. Messtechnische Erfassung der bio-metrischen Merkmale4. Vergleich der erfassten Merkmalemit den gespeicherten Daten5. Anzeige bzw. Verwertung des Re-sultats
Biometrische Merkmaleund ihre Erfassung
Der Fingerabdruck
Grundsätzlich erfolgt die Erfassung desFingerabdrucks heute optisch: Der Fin-ger wird auf ein Prisma gelegt; an denBerührungsstellen der Haut mit demPrisma wird Licht gestreut (statt total-reflektiert), und das entstehende Bild
wird mit einer CCD-Kamera aufge-nommen.
Weitere Aufnahmeverfahren, wieUltraschall-, Wärme/Druck- sowie ka-pazitive Verfahren sind getestet wor-den. Das Ultraschallverfahren ist we-gen seines hohen Preises nicht einge-setzt worden. Das Wärme/Druck-Ver-
fahren befindet sich noch im Versuchs-stadium, während das kapazitive Ver-fahren heute schon eingesetzt wird.
Die anschliessende Bildverarbeitungund Verifikation kann auf grundsätz-lich zwei Arten erfolgen.
Im einen Fall werden, wie die Polizeies tut, die sogenannten Minutien(endende Täler, Verzweigungen,Schweissporen) gesucht, vermessen
Eigenschaft Erfassung Invarianz Einzigartigkeit Akzeptanz Handgeometrie Optisch (IR) gut 1:1000 sehr gut
Zwei-Fingergeometrie Optisch (IR) gut 1:1000 sehr gut
Augennetzhaut Optisch (Laser) sehr 1:1 Million nicht gut (invasiv)
Augeniris Optisch sehr 1:6 Millionen nicht gut Venen Handoberfläche Optisch (IR) gut unbekannt sehr gut
Unterschrift Dynamisch (Druck) nicht gut 1:10000 sehr gut Stimme Elektroakustisch nicht gut 1:10000 gut
Gesicht Optisch oder IR gut unbekannt gut Fingerabdruck Optisch, kapazitiv etc. sehr gut 1:1 Million gut
Tab. 1: Biometrische Eigenschaften
Abb.1: Prinzipieller Ablauf bei der Registrierung eines Fingerabdrucks
Biometrie
13
und das Resultat als Datensatz abge-legt. Bei der Verifikation werden dieMinutien erneut vermessen und derneu entstehende Datensatz mit demgespeicherten verglichen (minutiaematching, Minutienvergleich).
Abb. 2: Merkmale bei einem Fingerabdruck
Im zweiten Fall werden ausgesuchteBildelemente als Datensatz gespei-chert. Bei der Verifikation wird ausge-hend von diesen Bildelementen nach-geprüft, ob auf dem präsentierten Fin-ger diese Bildelemente vorhanden sindund mit dem Datensatz übereinstim-men (pattern matching, Musterver-gleich).
In beiden Fällen werden ähnlicheSicherheitswerte erreicht; die Verifika-tionszeit kann jedoch im ersten Falletwas länger sein.
Nur wenige Hersteller bieten eine so-genannte Lebendfinger-Erkennung an.Dabei geht es darum zu verhindern,dass eine Verifizierung mit einer Ko-pie (z.B. in Silikon) oder im Extremfallmit dem abgeschnittenen Finger einerregistrierten Person erfolgen kann.
Bekannte Verfahren sind dabei die Er-fassung der Farbe der Haut, ihrer elek-trischen Eigenschaften und ihrer Re-flexionseigenschaften.
Das Gesicht
Es existieren Verfahren zur visuellenund thermographischen Gesichtser-kennung.Die charakteristischen Merkmale derGesichtszüge werden durch Auswer-tung eines Videobildes bestimmt.
Abb. 3: Gesichtserkennung
Mehrere dieser Verfahren sind erst inletzter Zeit bekannt geworden. DieNähe zur Photographie lässt es für dieBenutzer als sehr akzeptabel erschei-nen. Zusammen mit den augenbasie-renden Verfahren ist es völlig berüh-rungsfrei.
Bezüglich Datenschutz sind einige Be-denken angebracht. So lässt sich dasVerfahren für die Suche in einer Da-tenbank oder umgekehrt für die Su-che bestimmter Personen in einerMenschenmenge einsetzen. Außer-dem kann die Verifizierung unbemerktvom Benutzer stattfinden, was bei den
hand- und fingerbasierenden Syste-men nicht möglich ist. Als Beispieleines solchen datenschutzkritischenEinsatzes sei hier die Verwendung die-ses Verfahren bei der Überwachungder Fussgängerzonen sowie der Fuss-ballfans in den Stadien von Englanddurch die Polizei erwähnt.
Die Iris (Regenbogenhaut) unddie Retina (Netzhaut)
Die Netzhaut und die Regenbogen-haut gelten als sicherstes und unver-änderlichstes Mittel, einen Menschenzu identifizieren, da sie sich auch beieineiigen Zwillingen gut unterscheidenlassen. Eine Pupille wird entweder übereinen „ungefährlichen“ Laser abgetas-tet oder per Video aufgezeichnet. Sinddie Abgrenzungen und die charakte-ristischen Merkmale erfasst, werdensie wie ein „human-barcode“ abge-speichert.
Abb. 5: Iris Scan
Abb. 4: Anatomie eines Auges
Biometrie
14
Schwierigkeit aller auf den Augen ba-sierenden Verfahren ist einerseits dieHemmung der Benutzer, anderseits dieErfassung, das heißt die unterschiedli-che Position der Augen relativ zumGerät, das deshalb einen Suchvorgangdurchführen muss. Es bestehen nochkeine ausgedehnten Erfahrungen zudieser Technologie.
Vergleich der biometri-schen Systeme gegenüberkonventionellenVerfahren
Vorteile
� Die Merkmale können im Unter-schied zu karten- oder schlüsselbasier-ten Systemen weder verloren gehennoch an andere Personen weitergege-ben werden.� Die meisten der verwendetenMerkmale sind, über die für das Sys-tem relevante Lebensdauer einer Per-son gesehen, verhältnismäßig unver-änderlich (abhängig von der betrach-teten Eigenschaft).� Je nach Art des Merkmals ist dieFälschungssicherheit relativ hoch, Fäl-schungen sind in der Regel mit ho-hem Aufwand verbunden.� Die Betriebskosten solcher Syste-me sind geringer, da die Verwaltungvon Karten beziehungsweise Schlüs-seln und deren Ersatz bei einem Ver-lust entfällt.
Nachteile
� Biometrische Systeme sind in derBeschaffung teurer als konventionelleSysteme (der apparative Aufwand isthöher).� Persönlichkeitsschutz kann eineRolle spielen (je nach verwendetembiometrischem Merkmal und seinerAnwendung). Dies gilt insbesonderedann, wenn die biometrischen Merk-male neben der Verifikation auch zurIdentifikation verwendet werden kön-nen.
� Hygienische Bedenken könnenebenfalls eine Rolle spielen.
Kommerzielle Anwendung
Grundsätzlich sind die Anwendungs-fälle für biometrische Systeme sehrzahlreich. Überall da, wo die Identitäteiner Person zweifelsfrei festgestelltwerden soll, bieten sie klare Vorteile.Warum diese Art der Identifikationnoch nicht weit verbreitet ist, hat wohlmehrere Gründe:� Die Technik ist verhältnismässigneu. Erste im Handel erhältliche Gerä-te erschienen zwar bereits vor 15 Jah-ren auf dem Markt, waren aber un-handlich gross, langsam und exzessivteuer.� Die Umstellung bestehender Gross-systeme (z.B. der Verifikation des Be-zügers an Geldausgabeautomaten)erfordert gewaltige Investitionen, sodass sich neue Systeme nur langsamdurchsetzen.� Der Preis für solche Geräte ist auchheute noch erheblich höher als zumBeispiel der Preis für einen Magnet-kartenleser, obwohl die Preise tenden-ziell fallen.� Sehr oft wird die mangelnde Ak-zeptanz bei den betroffenen Personenins Feld geführt. Die Erfahrung zeigtjedoch, dass dieses Problem erheblichkleiner ist, als meist befürchtet wird.
Mangelnde Normierung veranlasstegerade Grossanwender, mit dem Ein-satz noch zuzuwarten, da sie nichteinem einzelnen Lieferanten ausgelie-fert sein wollen.
Zutrittskontrolle
Hier sind zahlreiche Anwendungenbekannt geworden, in der westlichenWelt allerdings meist in Ergänzung undnicht als voller Ersatz zu konventionel-len Systemen.
Recht populär geworden sind in denletzten Jahren biometrische Systemezur Sicherung von Kundenschließ-fächern in Banken, sowohl in Deutsch-land als auch in der Schweiz und zu-nehmend in Österreich. Hier gelangensowohl Fingerabdruck- als auch Ge-sichtserkennungs-Systeme zum Ein-satz.
Daneben sind in Banken, Gefängnis-sen, Kernkraftwerken, militärischenAnlagen, aber zunehmend auch in derIndustrie und in weiteren Dienstleis-tungsbetrieben biometrische Zutritts-kontrollen im Einsatz.
Ein möglicher Einsatz bei der SRG SSRidée suisse wäre eine zusätzlicheSicherung von Räumen, welche EDV-und sendekritische Systeme enthalten.
Sicherung von Computern undDatennetzen
In einschlägigen Kreisen ist allgemeinbekannt, dass die Sicherung von Da-ten mit Passwörtern, wie sie heutemeistens geschieht, äusserst proble-matisch ist.
Wenn sie nicht daran gehindert wer-den, verwendet die Grosszahl der Be-nutzer triviale Passwörter, wie denVornamen, das Geburtsdatum unddergleichen.
Wird die Verwendung trivialer Kombi-nationen softwaremässig ausgeschlos-sen und ein regelmässiger Wechsel desPasswortes oder PIN zu häufig erzwun-gen, so beginnen die Benutzer diePasswörter aufzuschreiben, oft amComputer oder Terminal selbst oderdann zumindest in der oberstenSchublade des Schreibtisches. Damitsinkt der Sicherheitswert beträchtlich.
In jüngster Zeit, und gefördert von denfallenden Preisen, sind jedoch vor al-lem Fingerabdruck-Systeme in Zusam-menhang mit Datenschutz auf Com-
Biometrie
15
putern bekannt geworden. Hier eröff-net sich für biometrische Systeme einMassenmarkt.
Drei Anwendungsfelder sind vor allemim Blickwinkel:1. Zugangsschutz zum Computerselbst. In diesen Fällen wird entwederdas Starten des Rechners oder aber derZugang zum installierten Betriebs-system (z.B. bei Windows NT) oder derZugang zu einzelnen Verzeichnissenauf der Festplatte gesichert.2. Zugangsschutz zu Datenbankenund Programmen auf Servern, auf dieüber Clients zugegriffen wird. DerSchutz solcher Systeme bedarf zusätz-lich des Schutzes der auf dem Verbin-dungsnetz übertragenen Information.3. Elektronische Unterschrift. Wird dieelektronische Kontrolle zum Beispielvon finanziellen Transaktionen aufComputernetzen gefordert, so bietensich biometrische Systeme alsbesonders geeignet an. Ein Ziel ist hierauch die Sicherung bestimmter Vor-gänge im hochgradig unsicherenInternet.
In der SRG SSR idée suisse kommt,zumindest heute, der Einsatz von bio-metrischen Systemen nur in den ers-ten beiden Anwendungsfeldern in Fra-ge. Dies als Ergänzung zu den beste-henden Systemen.
Akzeptanz
Ein Kriterium zum Einsatz biometri-scher Geräte ist die Frage nach derAkzeptanz durch die potentiellen Be-nutzer. So sind zum Beispiel hygieni-sche Bedenken bei Systemen ange-bracht worden, die eine Berührungerfordern.
Allerdings berühren wir täglich Gegen-stände, die vor uns andere Personenberührt haben (zum Beispiel Türklin-ken), so dass in der Regel die Berüh-rung etwa eines Handgeometrie- oder
Fingerabdrucksensors bedenkenloserfolgt.
Die generelle Erfahrung zu diesem Pro-blem ist, dass der Benutzer diese Artvon Verifikation willkommen heißt,sofern er korrekt eingewiesen wurde,da sie einfach und sicher arbeitet.
Datenschutz
Die Hinterlegung biometrischer Eigen-schaften einer Person tangiert derenPersönlichkeitsrechte und wird deshalbbezüglich Datenschutz relevant.
Dies gilt besonders für alle Finger-abdrucksysteme, deren Nähe zur poli-zeilichen Tätigkeit solche Fragen alsnaheliegend erscheinen lässt.
Nicht auf Fingerabdruck basierte Sys-teme sind zum Vorneherein wenigerverdächtig, obwohl sich auch hier diegleiche Frage stellen lässt.
Nach Angaben von Spezialisten desDatenschutzes ist die Hinterlegungeines biometrischen Musters dann un-bedenklich, wenn dies freiwillig ge-schieht und die diesen Dienst anbie-tende Organisation offenlegt, was siemit der hinterlegten Information tut.Ausserdem sollte die Anwendung ineiner Verifizierung vom Willen der be-treffenden Person abhängen, alsonicht unerkannt vorgenommen wer-den. Dieses Erfordernis erfüllen nichtalle Systeme in gleicher Weise. Gera-de die berührungslosen Systeme(Augeniris, Gesichtserkennung) bietenhier Anlass zu Diskussionen.
Die Fingerabdruckmethoden stehenbesonders im Schussfeld. Diese Me-thoden sind bezüglich Datenschutzunbedenklich, wenn das hinterlegteMuster die Rekonstruktion des Finger-abdruckbildes nicht zulässt. Ist diesgewährleistet, so sind die Muster fürpolizeiliche Suchzwecke wertlos undkönnen nur in Kooperation mit der
registrierten Person verwendet wer-den.
Völlig unbedenklich sind biometrischeSysteme insbesondere dann, wenn dasbiometrische Muster nicht in einerDatenbank, sondern auf einer Kartegespeichert wird, die der Besitzer mitsich trägt (Kreditkarte zum Beispiel).
Etwas anders liegt die Situation beiSystemen, die in der Lage sind, Such-vorgänge in Datenbanken (one tomany) durchzuführen. Hier gelangenwir an die Grenze dessen, was eineprivate Organisation durchführendarf. Diese Fragen sind jedoch von derörtlichen Gesetzgebung abhängig: DieVereinigten Staaten lassen diesbezüg-lich viel mehr Freiheit für private Orga-nisationen zu als die europäischen Län-der.
Marktaussichten
Gemäss den Angaben der GartnerGroup und der International BiometricIndustry Association (IBIA) ist eine ra-sante Aufwärtsentwicklung der bio-metrischen Systeme zu erwarten.
Mit der Verfügbarkeit immer billigerer,kleinerer und einfach zu handhaben-der Systeme werden diese Technolo-gien besitz- und wissensbasierte Sys-teme (Passwörter, Badges usw.) in sehrvielen Bereichen sicher nicht vollstän-dig ablösen, aber teilweise ersetzenoder mindestens ergänzen.
Genau so wie sich der Benutzer anMagnetkarten, Chipkarten und anPasswörter gewöhnt hat, wird er sichan die biometrische Verifikation ge-wöhnen. Bequemlichkeit und Sicher-heit dieser Systeme dürften schliesslichauch die Skeptiker davon überzeugen,dass es sich um natürliche Verfahrender automatisierten Erkennung vonPersonen handelt.
Biometrie
16
Die Erfassung biometrischer Eigen-schaften ist technisch nicht unproble-matisch. Das bedeutet, dass sie miteinem apparativ hohen Aufwand ver-bunden ist, um zuverlässig zu arbei-ten. Dies ist aber kein grundsätzlichesHindernis für die Verbreitung dieserTechnologie, da Preiszerfall der Elek-tronik und Miniaturisierung weiterfortschreiten und damit immer weite-re Anwendungsbereiche ermöglichenwerden.
Markus Gander, SRG SSR idée suisseBern
Biometrie
Biometric ID Card Debates
Malaysia, Hong Kong, Brunei andMacao are all examples of countrieswhere electronic identity cards that usebiometric data such as your finger-print, iris patterns or facial charac-teristics are already in everyday use.Many other countries are still debatingwhether or not biometric ID cardsshould be introduced. In order torealise the advantages biometrictechnologies can offer, severalimportant issues need to be properlyaddressed.
What are biometricidentity cards?
There are three basic elements ofidentity:� Biometric identity consists of attrib-utes that are unique to an individual,including iris patterns, fingerprints,voice, retinal patterns, facial structure,DNA profile, hand geometry etc;� Attributed identity consists of thecomponents of a person’s identity thatare given at birth, including their fullname, date and place of birth, parents’names and addresses;� Biographical identity, which buildsup over time, includes employmentrecords, address history, details ofbenefits claimed/taxes paid, registra-tion of marriage etc.
Unlike traditional identity documentssuch as birth certificates, passports ordriver’s licences, new national identityschemes call for a mixture of biometric,attributed and biographical data to bestored electronically on a smart cardand/or in a central database. The basicidea is that new technologies enableauthorities to compare a biometric
reading taken from an individualagainst the stored template. Sincebiometrics are unique to individuals,only authorised individuals will begranted access to social benefits andservices.
Versatility
The electronic ID cards of the futurewill be suitable for a variety ofapplications. A biometrically enabledmulti-application card could securelyintegrate an identity card, a driver’slicence, an eGovernment card with adigital signature for filing tax returnsor online voting, a payment card, ahealth card, commuter passes forpublic transportation systems etc.
Arguments in favour ofbiometric IDs
Identity fraud
The last large-scale identity theftresearch performed in the UK (CabinetOffice, 2002) suggests that the mini-mum quantifiable cost to the Britisheconomy arising from identity fraud isat least GBP 1.3 billion per annum.However, the report warns that evenfor 2002, this figure is certainly anunderestimate, as it does not includeareas such as Local Government,health services or education where itis known that identity fraud exists butthere was not sufficient data availableto estimate the cost. Additionally,identity theft is one of the fastestgrowing crimes: A current estimatesuggests that a person’s identity is
Biometrie
17
stolen every 4 minutes on average inthe UK.
If a central record of biometrics is kept,authorities can ensure that every indi-vidual can only be enrolled into thesystem once. This would lead to a near-elimination of multiple identities andtherefore to a considerable cut-downon costs associated with identity fraudas social benefits could only be claimedonce.
Terrorism and organised crime
Furthermore, if biometric identificationwas required for opening and access-ing bank accounts, possibilities tolaunder money would be more limitedthan it is today. In turn, organisedcrime units and sleeping terrorist cellswould find it harder to operate, thusenhancing national security.
Illegal immigration
As an additional advantage, a natio-nal biometric identification schemewould also help to control illegalimmigration through limiting access toservices and resources that are con-sidered essential for living, e.g. healthservices, property rental, bank transac-tions, driver licensing etc.
User benefits
Legitimate users of the scheme wouldtherefore benefit from living in anoverall more secure environment.Additionally, the introduction of amulti-purpose card would alsoenhance user convenience as it has thepotential of combining several cardfunctions into one.
Voices of the opposition
Privacy
The use of biometrics involves a certainloss of autonomy and anonymity, sinceusers of such systems are exposinginformation about themselves in theform of a biometric identifier. This datacould be used to establish identity overlarge-scale databases, possibly evenwithout the user’s knowledge. Sometechnologies (e.g. face recognition)also allow the tracking of users.
However, biometric data does notconstitute information that could beregarded as secret or private: our facialimages are recorded every time weenter a bank, supermarket or even justpay at the petrol station; our voicesare recorded by many phone-basedservice providers; and we leave ourfingerprints and DNA behind every-where we go. Furthermore, the track-ing of individuals is already possibleusing alternative - and widely accepted- technologies: How many people usemobile phones, GPS satellite naviga-tion or credit cards on a daily basis?
„Function creep“
Once a biometric identifier is captured,the generated template can easily becopied and shared among differentdatabases, enabling the build-up ofextensive user profiles, even withoutthe user’s knowledge or consent. Suchuser profiles could potentially containpolice and tax records, travel activitiesand more.
It is important to understand that thepossibility of linking databases in orderto create extensive profiles ofindividuals has nothing to do withbiometrics in general. Databasescontaining sensitive information doalready exist and they also could easilybe joined using common identifiers askeys, such as taxpayer identification
numbers, ID, passport, driver’s licenseand other registration sequencenumbers. Therefore, controlling theuse of biometrics does not provide anyprotection against this threat. The onlysolution to this problem is throughcorresponding legislation thatregulates the use of contemporaryinformation systems.
Stolen biometrics
Another concern that arises in connec-tion with central storage of biometricdata is that a single database is a veryattractive target for hackers. As aresult, we must think about the pos-sible consequences of biometric cre-dentials being stolen from a nationalor even international database. At thesame time, we must accept the factthat biometric information cannot beregarded as secrets as explainedabove.
Therefore, the real threat is not thatsomeone could get hold of ourbiometric information because this ispossible through far simpler meansthan hacking a database. Instead,methods must be put in place toensure that biometric samplessubmitted were not generated bysome fake artefact. Technologies doexist that make reliable liveness testinga reality. However, decision makersmust be aware of spoofing-relatedthreats in order to opt for the deploy-ment of appropriate countermeasures.
Accessibility
A small fraction of the population willnot be able to enrol their fingerprintsor iris images. This is due to the factthat these features are not fully uni-versal, i.e. not everyone has fingers oreyes that can be used for recognitionpurposes, in addition to those who donot have fingers or eyes at all. Physicalworkers often have fingerprints that
Biometrie
18
are so worn and/or affected by chemi-cals that they are unreadable by mostsensors. Furthermore, people sufferingfrom aniridia cannot be identified bytheir irises. Aniridia is a rare medicalcondition (occurs in one in 75,000 per-sons) in which a person lacks one orboth irises. Additionally, people withnystagmus (tremor of the eyes) mighthave problems presenting a stableimage; however, there are iris camerasthat use flashed infrared illuminationwith very fast integration times, so thattremor becomes unimportant forimage capture.
In short, when a national-scale bio-metric system is discussed, it must betaken into consideration that a certainfraction of the population will not beable to use it or at least will needspecial assistance and/or hardware inorder to seamlessly interact with thetechnology. Furthermore, sufficientlysecure bypass methods need to beaccessible for those that are unable topresent any of the biometric featuresin use. It is also important that thesepeople do not feel discriminatedbecause of their disabilities.
Identity management
Obtaining a biometric ID card stilldepends on the presentation oftraditional documents such as birthcertificates and driver’s licences.Recording a mixture of biometric,attributed and biographical dataensures the reliable binding of a personto a set of data. However, it is stillpossible that the cardholder presentedfake documents when the card wasissued.
This is a serious issue that needs to beaddressed in at least the following twoways. Firstly, it must be ensured thatindividuals cannot enrol into thesystem more than once. The only wayto do that is to establish a centralregister that contains biometric data
that is sufficiently unique to allowexhaustive searches in a large data-base. Secondly, audit trails need to bedefined, maintained and accordinglycontrolled across all organisations thatare involved in the registration andadministration of data.
Costs
When the UK Identity Card Bill waspublished in November 2004, thegovernment estimated that the costsof the scheme over ten years wouldbe GBP 5.5 billion, almost twice as highas the original estimate made in 2002in the order of GBP 3.1 billion.Although the costs of identity fraudover ten years easily outweigh even thehigher figure, industry specialists havewarned that unexpected problemscould create higher costs.
Health implications
Iris recognition often raises the con-cerns whether long-term use of thetechnology could potentially bedamaging to the eye and whether irisimages could be used for healthdiagnostics. While both concerns arescientifically unfounded, they must beaddressed in order to enhance publicacceptance of the technology. Further-
more, sensors that require physicalcontact (e.g. almost all fingerprintrecognition devices) often raisehygiene concerns and not withoutreason. Any surface that is frequentlytouched by large masses of individualscollects residuals that not only raisehygiene concerns but can also affectsystem performance. Therefore,appropriate cleaning solutions need tobe adopted if contact sensors cameinto large-scale public use.
Further issues to beconsidered
Technology selection
The most important technical factorthat needs to be looked at especiallyfor large-scale implementations is theoperational error rates. The morepeople use the system, the lower theerror rates must be in order to ensureseamless processing. As presented inthe figure below, which is based onDr Tony Mansfield’s findings at theNational Physical Laboratory in the UK,iris recognition is to be consideredmore accurate than even the scanningof 10 fingerprints. Nevertheless, eachproposed biometric – face, finger andiris – has its own advantages andlimitations, as described below.
Comparison of proposed technologies (based on Mansfield, 2004): the more people use the
system, the lower the false rejection rate (FRR; percentage of enrolled people not being recognised
by the system) must be. Iris recognition is considered to be more accurate than the scanning of
even 10 fingerprints.
Biometrie
19
Fingerprinting is the oldest technology,relatively inexpensive to deploy and wehave extensive fingerprint databasesof criminals to compare against. How-ever, the uniqueness of fingerprints islimited and many users would requirespecial hardware in order to enrol andrecognise hardly visible fingerprints.Additionally, not everyone has fingersand most hardware platforms are veryeasy to spoof.
Experts generally agree that irisrecognition is by far the fastest andmost accurate biometric technologyavailable. Iris recognition is the onlytechnology that has an establishedfalse acceptance rate (percentage ofidentity mismatches) of zero. Addi-tionally, methods exist that make thetechnology highly resistant to spoof-ing. However, image acquisition canbe difficult in certain cases and irisesare not fully universal, as alreadymentioned above.
Finally, face recognition has the advan-tage that everyone has a face, weagain have extensive facial imagedatabases of criminals and the techno-logy can be active without the users’knowledge (while this is an advantagefrom a technical point of view, privacyexperts regard this as a disadvantage).At the same time, the uniqueness offaces is very limited which often resultsin unacceptably high error rates.Additionally, unlike irises and finger-prints, faces change considerably overtime, which would require frequent re-enrolment of facial images.
Hardware selection
Once decision makers agree on thetechnologies to be used, the nextchallenge will be the selection of theappropriate hardware. Firstly, hard-ware platforms differ greatly in termsof throughput rates, user convenience,resistance to spoofing etc. Secondly,an open architecture should be
adopted so that hardware can beupgraded modularly as soon as moreadvanced devices appear.
Data storage
It has already been mentioned abovethat central storage of biometric datais essential in order to screen out mul-tiple identities. If biometrics would onlybe stored on smartcards, governmentswould lose the ability to meet theirmost important target: To cut downon identity fraud. Nevertheless, storingthe biometric templates on smartcards, in addition to a central register,would offer further advantages,including the option for local, one-to-one matching of the presented bio-metric to the template on the cardwithout any need to connect to acentral database.
Mandatory vs voluntary cards
Undoubtedly, most benefits could onlybe realised if biometric ID cards weremandatory; however, we need to beaware of the implications of this. Firstly,several nations currently discussing therollout of biometric IDs are not usedto the idea of having to carry a cardfor identification purposes; somenations, such as the British or theDanish, are not even used to the ideaof having an ID card at all. Secondly,mandatory enrolment would meanthat everyone has to pay for the newcard and that everyone has to appearin dedicated centres in order to havetheir biometric measurements takenand documents checked. This mightpose difficulties especially for thoseliving outside major conurbations.Thirdly, even if a voluntary scheme wasintroduced, not having an ID cardmight be interpreted as suspiciousbehariour which would create anindirect pressure on citizens to applyand pay for a card.
Conclusion
Many issues need to be tackled and itmust be kept in mind that biometricsare not a panacea. Nevertheless, awisely designed biometric identity cardscheme could offer a wide range ofbenefits to governments and citizensalike. As described above, mostarguments that are frequently used indebates against biometric identitycards actually do not oppose the idea;they only call for expert evaluation andconsideration of important matters.
Even in the UK, where public opinionhas typically seen identity cards as aninfringement of civil liberties, there wasa major shift in public opinion: A Moripoll of 1,000 people, conducted inApril 2004, indicated that 80% backeda national ID card scheme. Further-more, a recent report of the Joint Re-search Centre of the European Com-mission concludes that initial publicsector use of biometrics will createfurther confidence and therefore, giveway to a wider use of these techniquesin commercial and civil applications.
For more information about this topicor the fully vendor-independentbiometric consulting and securityauditing services Deloitte offersworldwide, please visit our website atwww.deloitte.co.uk/biometrics orcontact me at [email protected] +44 7840 389 909.
Bori Toth, Biometric Research andAdvisory Project Lead, Deloitte &Touche LLP, London
Biometrie
20
Biometrie
Die Zukunft gehört der Biometrie
Das Marktsegment Zutrittskontrolleund Zeitwirtschaft ist nach wie vorstark in Bewegung. Auf der Identifika-tionsseite setzten sich berührungsfreieKonzepte nachhaltig durch und errei-chen heute 90% der neu installiertenAnlagen. Mechanische Schliessanla-gen, elektronische Zutrittskontrolleund Zeiterfassung sowie Sicherheits-und Automatiktüren wachsen zueinem Leistungsprogramm „rund umdie Tür“ zusammen und werden per-fekt aufeinander abgestimmt. Mit derVerbilligung und entsprechenden Ver-breitung von Netzwerken entsteht dasBedürfnis, alle Datensysteme miteinan-der zu vernetzen; drahtlose und vir-tuelle Netzwerke verstärken diesenTrend.
Auf der juristischen Seite wächst derAnspruch auf die Revisionsfähigkeitvon Vergaberechten für den kontrol-lierten Zutritt zu physischen und logi-schen Datenräumen. Im gleichenAtemzug muss auch das damit zusam-menhängende ungelöste Haftungs-problem beleuchtet werden. Wer haf-tet für einen unerlaubten Zugriff imDatenschutzraum? Auch wenn alleMassnahmen, wie eine Begrenzungder Anzahl Zutrittsberechtigter, einePersonenvereinzelung und ein IT-gestützter Workflow für einen lücken-losen Nachvollzug der Berechtigungs-vergabe getroffen sind, fehlt die ein-deutige Identifikation der zutritts-berechtigten Person. Das gelingt nurüber die biometrische Identifikationoder Verifikation.
Die Auswahl an biometrischen Syste-men ist sehr vielfältig, weil der Menschin verschiedenen Körperbereichen ein-malige Erkennungsmerkmale besitzt.
Das ultimative biometrische Erken-nungsmerkmal wäre wohl die DNA-Analyse. In der Praxis haben sich abereinfachere und billigere Verfahrendurchgesetzt. Das verbreitetste istwohl der elektronische Fingerabdruck.Aber auch das Gesicht und die Retinawurden schon frühzeitig als Erken-nungsmerkmal ausgewertet. Heute imMarkt erhältliche Systeme können infolgende Kategorien eingeteilt wer-den:� Fingerprint, d.h. Auswertung desFingerreliefs� Glieder- und Venengeometrie derHand� Retinavermessung� Gesichtserkennung (optischeMerkmalauswertung im sichtbarenoder Infrarot-Bereich)� Stimmerkennung etc.
Ein einziges Erkennungsmerkmal decktnicht alle Anwendungsbedürfnisse ab.Zum Beispiel scheiden in einem Bereichmit Handschuhpflicht Hand und Fin-ger als biometrisches Merkmal aus, woGesichtsmasken getragen werden, istdie Gesichtserkennung nicht anwend-bar, Stimmerkennung scheidet in lärm-intensiver Umgebung aus, usw.
Verfahrenstechnisch wird grundsätz-lich zwischen der direkten biomet-rischen Erkennung und der biometri-schen Verifikation eines Berechti-gungsmittels (zum Beispiel Pass oderPersonalausweis) unterschieden.
Bei der direkten biometrischen Identi-fikation werden biometrische Refe-renzdaten in einer Datenbank mit denMessdaten an einer Person verglichen.Die biometrische Verifikation vergleichtdie Messdaten mit der auf einem
Berechtigungsmittel gespeichertenReferenz. Die Verifikationsmethodehat den Vorteil, dass das Messergebnis1:1 mit der Referenz auf Übereinstim-mung geprüft werden kann, währendbei der direkten Identifikation dasMessergebnis mit einer Vielzahl vonReferenzdaten aus einer Datenbankverglichen werden muss. Nachteilig istbei dieser Methode der relativ langeSuchprozess, die Abhängigkeit derReaktionszeit von der Anzahl Berech-tigter und die weitaus geringere Trenn-schärfe.
Vor allem aber besteht ein nicht uner-hebliches Sicherheitsrisiko beim Zugriffauf die in der Datenbank hinterlegten(einmaligen) Referenzdaten. Die Refe-renzmethode umgeht dieses Problemdurch die eigenverantwortliche Ver-wahrung der kritischen Referenzdatenauf dem persönlichen RFID1-Ausweisoder Schlüssel. Bemängelt wird beidieser Methode oft die Notwendigkeiteines physischen Berechtigungsmittels,was im betrieblichen Umfeld allerdingskaum zum Tragen kommt, weil häu-fig ohnehin ein Personalausweis oderSchlüssel zum Einsatz gelangt. Wirddieser in moderner RFID1-Technologie(z.B. Legic® 2) ausgeführt, dient ergleichzeitig als Datenträger der bio-metrischen Referenzdaten und kannzusätzlich für alle nicht-biometrischenBerechtigungen, wie Zutritt, Zeitwirt-schaft und Datenerfassung, so wie alsbargeldloser Wertträger für Kaffee-maschinen, im Personalrestaurant undfür die Parkgarage eingesetzt werden.
Im Heim-Anwendungsbereich kom-men die Nachteile der identifizieren-den Methode weniger zum Tragen,weil die Datenmenge an Referenz-daten klein ist und der Zugriff daraufim persönlichen Verantwortungs-bereich liegt.
Das Akzeptanzproblem von biometri-schen Anwendungen ist auch mitmodernen, kostengünstigen und kom-fortablen Lösungen nicht ganz ausge-
Biometrie
21
räumt. Viele Benutzer haben hygieni-sche Bedenken, wenn sie Hand oderFinger auflegen müssen, obwohl sieohne zu studieren jeden Tag wieder-holt Türklinken, Lichtschalter und Tas-taturen betätigen. Hinzu kommt, dasses noch keine kommerziell verwend-bare biometrische Abstandserkennungvon sich bewegenden Personen gibt.Aber daran wird in namhaften Institu-ten in verschiedenen Teilen der Weltintensiv gearbeitet.
Zukünftige Systeme basieren auf derdynamischen Gesichtserkennung. Dasheisst, dass das Gesicht während desZugehens auf eine Tür automatischerfasst und mit der auf Distanz erfass-ten Referenzdatei in der Chipkarteverglichen wird. An der Tür angelangt,ist der ganze Identifikationsprozessabgeschlossen, ohne das aktive Zutunder zu identifizierenden Person. Diesesogenannte „Pförtnerlösung“ erreichtdie maximale Akzeptanz, zumal sichjedermann gewohnt ist, am Gesichtidentifiziert zu werden.
Auch wenn solche Verfahren nocheinige Jahre Entwicklungszeit bis zumpraktischen Einsatz benötigen, bietenmoderne Biometriesysteme, wie z.B.das Kaba® biover2 kein technischesoder kommerzielles Hindernis mehr,die Vorteile der biometrischen Identifi-kation in einem erweiterten Anwen-dungsbereich zu nutzen.
Ulrich P. Wydler, Direktor der KabaHolding AG, Rümlang (Schweiz)
Endnoten
1 RFID Radio Frequency IDentification
(berührungsfreie Identifikation)
2 Legic® und Kaba® biover sind geschützte
Marken der Kaba Holding AG, Rümlang
(Schweiz)
Das IT Governance Institute hat sichim Jahre 2004 zu diesem Thema miteinem lesenswerten Papier geäussert(ISBN 1-893209-55-5). Ich fasse darausdie mir wichtig erscheinenden Erkennt-nisse zusammen.
Grundsätzliches
Zuerst ist zwischen Bestätigung (Verifi-cation) und Erkennung (Identification)zu unterscheiden. Im ersten Fall gehtes darum, einem bekannten Indivi-duum Zutritt bzw. Zugriff zu gewäh-ren. Im zweiten Fall geht es darum, he-rauszufinden, wer die sich präsentie-rende Person überhaupt ist.
So gesehen dürfte die Verification alsdie „einfachere“ Anwendung der Bio-metrie bezeichnet werden dürfen, wirddoch im Normalfall nur einer be-schränkten Anzahl Personen der Zu-tritt zu einem Raum gestattet, d.h. eswird auch nur eine beschränkte An-zahl von Merkmalen im System gespei-chert werden, weil „alle anderen“ alsungültig abgewiesen werden müssen.Im zweiten Fall ist dagegen die Anzahlzu speichernder Informationen gegenoben theoretisch nicht limitiert, indemin der Datensammlung gesucht wer-den muss, ob Merkmale der zu prü-fenden Person zutreffen.
Aus Sicht des Datenschutzes ist dieVerification wohl weniger problema-tisch, weil die betroffenen Personenein Interesse daran haben müssen, als„Berechtigte“ erkannt zu werden. Beider Identification dagegen könntenPersönlichkeitsrechte verletzt werden,wenn es z.B. darum geht, den Auf-enthaltsort einer bestimmten Person
Biometrie
Sind biometrische Systeme teuer, abersicher?
zu einem bestimmten Zeitpunkt zubestimmen.
Somit ist bei allen zur Anwendunggelangenden Techniken immer zu hin-terfragen, welche Absicht hinter derAnwendung der Methode steht.
Fingerabdruck
Nicht erst seit Connon Doyle undSherlock Holmes ist dies die klassischeMethode der Biometrie. Sie wurdeübrigens als Markenzeichen bereits vorJahrtausenden von asiatischen Töpfernverwendet. Die Verbreitung der An-wendung ist heute erheblich und imErkennungsdienst bei der Polizei „täg-liches Brot“.
Die Kosten für Scanners von Finger-abdrucken sind in letzter Zeit beträcht-lich gesunken und sind für CHF 100bis 300 zu haben. Für Leser muss mitbis zu CHF 40 000 gerechnet werden;das Zutrittssystem kostet gegen CHF5000, und die Lizenzen für eine sol-che Software liegen bei CHF 5 pro be-troffene Person.
Da die Methode in erster Linie als Poli-zei-Instrument bekannt ist, erfreut essich nicht unbedingt grosser Beliebt-heit, was die Verwendbarkeit teilweiseeinschränkt. Ebenso ist das System fürLeute ohne Finger(beeren) oder solche,die einen harten handwerklichen Be-ruf ausüben (Verletzungen, Abrieb)nicht geeignet. Die Fehlerrate (d.h.zwei Individuen haben den gleichenFingerabdruck) liegt bei über eins zueiner Milliarde und gilt deshalb alsgesichert.
Biometrie
22
Handgeometrie
Sie basiert auf der Erkenntnis, dass sichdie Handstruktur grundsätzlich ab dem13. Altersjahr nicht mehr ändert.
Die Akzeptanz der Technik ist gemässUntersuchungen gross. Die Kostenbewegen sich zwischen CHF 2500 und6000.
Bezüglich Sicherheit schneidet dieseMethode etliches schlechter ab als derFingerabdruck, weil die Handstrukturnicht als „einzigartig“ bezeichnet wer-den kann. Zudem ist die Methode beiPersonen mit erheblichen Handver-letzungen oder gar Amputationennicht anwendbar.
Netzhaut-Scanning
Die Struktur der Blutbahnen und Ner-vennetze bleiben über die Lebenszeiteiner Person praktisch konstant undgelten als einzigartig, was sogar beieineiigen Zwillingen bereits in denFünfzigerjahren des vergangenen Jahr-hunderts nachgewiesen werden konn-te.
Die relativ hohen Kosten schreckenviele potentielle Anwender ab. Die festzu installierenden Geräte kosten überCHF 3000 und tragen den Nachteil,dass der Unterhalt der Geräte sowiedie Anwendungsbetreuung teuer sind.Die betroffenen Personen müssen sichsehr nahe an die Geräte begeben undsich während der „Aufnahme“ nichtbewegen, was für die Akzeptanz nichtgerade förderlich ist.
Viele Personen betrachten das „Aus-schnüffeln“ ihrer Augen als voyeuris-tisch und befürchten auch zufälligeAugenverletzungen. Die Sicherheitkann als sehr hoch eingestuft worden,wobei allerdings eine Gruppe mit Leu-ten mit gewissen Augenleiden oder-verletzungen für diese Methode nichtgeeignet ist.
Regenbogenhaut-Scanning
Die Technologie beruht auf der Er-kenntnis, dass die Struktur der Regen-bogenhaut vielerorts ebenfalls alspraktisch einzigartig pro Individuumbetrachtet werden darf. Die Methodehat gegenüber dem Netzhaut-Scan-ning den Vorteil, dass die erkennen-den Instrumente weiter entfernt seinkönnen und somit das Gefühl der„Persönlichkeitsverletzung durch Ein-dringen“ weniger zum Tragen kommt.
Die Kosten sind allerdings nochbeträchtlich (ca. CHF 7000 Lizienz-gebühren und gegen CHF 600 proGerät).
Die anfänglich vermutete Einzigartig-keit der Regenbogenhaut muss relati-viert werden, indem kürzlich eineSicherheitsrate von lediglich 95% fest-gestellt wurde. Zudem ist eine gewis-se Bereitschaft zur Zusammenarbeitmit der zu prüfenden Person notwen-dig, auch wenn nicht im gleichen Aus-mass wie beim Netzhaut-Scannning.
Gesichtserkennung
Wer kennt sein Passbild nicht?! DerAusspruch, dass man gar nicht so altwerden kann, wie man darauf aus-sieht, ist für „Freunde“ ein geflügel-tes Wort. Dennoch ist dies wohl dieam weitesten verbreitete Methode derBiometrie. Allerdings bedurfte sie bisvor wenigen Jahren des Erkennungs-gerätes Mensch, was sie für Viele we-gen der angeborenen Subjektivität derMenschen disqualifizierte. Neuerdingshat aber auch hier die Technologie zu-geschlagen und die Gesichtsmerkmalefestgehalten und digitalisiert.
Ein voll integriertes System ist enormteuer (bis zu CHF 300 000) und hateinen schlechten Sicherheitsfaktor.Demnach können es sich nur grosseInstitutionen (wie Interpol) leisten. Die
Sicherheitsquote ist übrigens schlecht,weil durch künstliche Gesichtschirur-gie, Unfälle, Naturlaunen wie eineiigeZwillinge und Alterung der Grad derSicherheitsbestimmung abnimmt.
Unterschriftsdynamik
Mit der Mechanisierung des Leistensvon Unterschriften (anstelle von Stem-peln) wurde erkannt, dass nicht nurder (graphische) Schriftzug an sich,sondern auch der sich während derUnterschrift verändernde Druck aufdas Schreibgerät eine Rolle spielen.Graphologen hatten schon viel frühererkannt, dass nicht nur die graphischeGestaltung der Schrift, sondern nochandere Elemente bei der Analyse derSchrift eine Rolle spielen.
Diese Technik gehört mit etwa CHF 20per Betroffenem zu den heute billigs-ten auf dem Markt, wobei die Un-sicherheitsmarge relativ hoch ist. Er-staunlich, dass viele Rechtssystemeaber auch heute noch auf einen ho-hen Stellenwert auf „eigenhändige“Unterschriften legen. Vielleicht liegt esparadoxerweise gerade an dieser Un-sicherheit, dass die Akzeptanz des Sys-tems erstaunlich hoch ist. Es ist sicherjedermann aufgefallen, dass sich dieUnterschrift im Verlauf der Zeit verän-dert. Wenn Sie daran zweifeln, sehenSie einmal ein von Ihnen unterzeich-netes Schriftstück an, dass Sie vor überzehn oder gar zwanzig Jahren erstell-ten!
Tastaturdynamik
„Der haut in die Tasten.“ Wie jederPianist seine eigene Anschlagstechnikhat (es bestehen seit LochkartenzeitenPartituren, welche die Aufführung be-rühmter Pianisten aufleben lassen, beidenen auch der Anschlag „original“ist – wie in Musikmuseen in Erfah-rung gebracht werden kann), so
Biometrie
23
schlägt jede Person individuell dieSchreibmaschinentastatur an.
Die Kosten für diese Geräte belaufensich auf CHF 50 bis 150 pro betroffe-ner Person.
Die Angst vor „spoofing“ und Imita-tion fremder Personen hindert daran,dass eine weitere Ausbreitung der Er-kennungsmethode zur Anwendunggelangt. Zudem ist die Rate der „un-bekannten Tipper“ relativ hoch. Diesmag an der Tagesform der betroffe-nen Personen hängen, an Verletzun-gen, Rheumaerkrankungen oderschlicht der Änderung von Gewohn-heiten.
Stimmenerkennung
Der Foxterrier, der auf der Schallplatteauf His Masters Voice hört, illustriertden Advent der Voice recognition. Siebasiert auf dem Anspruch, dass jederMensch über eine ihm eigene Stimmeverfügt, deren Merkmale sich digitali-sieren und vergleichen lassen. Künst-ler, deren kabarettistischen Imitationendas Publikum zu Lachstürmen provo-zieren, lassen an diesem Anspruchallerdings zweifeln.
Die Geräte sind relativ teuer (CHF 5000bis 10 000), so dass sich die Technikwohl eher auf die Umsetzung von In-formationen in das geschriebene Wortkonzentrieren wird. Zudem beein-trächtigen bereits harmlose Erkrankun-gen (Schnupfen, Heiserkeit) die Sicher-heit der positiven Erkennung in erheb-lichem Masse.
Fazit
Von den drei Erkennungsmerkmalen:Was jemand hat, was jemand weissund was jemand ist, ist das letztereMerkmal wohl das sicherste. Die ver-schiedenen Methoden und Technikenauf diesem Gebiet sind heute weitgediehen, doch keines kann für sichin Anspruch nehmen, absolut sicherund universell anwendbar zu sein. IhrPreis ist nach wie vor hoch, auch wennTendenzen zur Verbilligung zu erken-nen sind. Am sichersten ist wohl nachwie vor eine Kombination der drei ge-nannten Elemente.
Max F. Bretscher
Corporate Governance
24
Corporate Governance
How the culture of an organisationaffects Governance
The seminar at this year’s Annual Mee-ting of the ISACA Switzerland Chapterwas given by Mr. Ivan Moss (Partner-ships Program Manager, IMD, Interna-tional Institute for ManagementDevelopment, www.imd.ch.) Using acase study he explored the links bet-ween Company Culture and Govern-ance.
Corporate Governance tends to flashEnron and Parmalat signs in people’sminds. Often the perception is that badGovernance is linked to dubiousdealings, which are relatively distantfrom the daily running of IT Depart-ments. This context made the selectionof TXUE as the case study an intriguingchoice.
The analysis of the workings of TXUE,a UK Electricity company, prior to itsdemise was not the expected story ofillegal activities. At first sight, thefailure of the company appeared to bedue to bad luck following an under-standable taking of business risk in achanging market place.
However, was there another reasonwhy this healthy company was the onlyexample among several other UKElectricity Companies, which lost per-formance and went bankrupt? Furt-her analysis uncovered a grave prob-lem of governance.
The ultimate goals of corporategovernance are, it can be argued, to:� safeguard the profitability of thecompany (to protect the investmentsof shareholders, the jobs of em-ployees), and� fulfill the company’s wider socialresponsibilities – at a minimum,
compliance legal and regulatoryrequirements such as environmental,health and safety standards.
Further analysis and discussion pro-vided a deeper analysis of some of thereal causes of failures in corporategovernance.
TXUE had fulfilled all of the modernregulatory requirements and bestpractices for corporate governance.But despite the existence of extensivemanagement processes and pro-cedures, TXUE failed. Why?
By looking at Galbraith’s Star Modelfor organizational design, we wereable to see more clearly the underlyingcauses of TXUE’s decline and so itsfailure in its duty of corporate govern-ance.
The Esssentials
The case study constitutes a warningof the consequences for an organi-zation if the essential considerationsare neglected.
Behavior affects Culture and Perfor-mance
Behavior is affected by:Strategy – Strucuture – Process –Rewards – People
It can be argued that TXUE had a poorstrategy (misjudging the long-termchanges in the industry), weaknessesin its organizational structure (parti-cularly between the UK subsidiary andits US parent company), gaps in itsinformation and decision processes(particularly in responding to changingregulations and market conditions)and rewards and incentives programswhich were not aligned.
As such, it is possible that the weak-nesses in TXUE’s organizational designare such that problems in corporatebehavior and performance were notadequately recognized and challengeduntil too late.
In analyzing the case of TXUE, Ivanshowed us how TXUE had, over anumber of years, taken a series of keydecisions, which together moved thecompany’s strategic position andchanged its risk profile – both in termsof the level of risk and the types ofrisk TXUE managed in its business. Inaddition, a number of those decisionswere unsuccessful, and so it can beargued that the event, which finally‘killed’ TXUE was not one simplemoment of bad luck.
Is this warning story relevant to ITGovernance?Ivan asked: „Could something like thishappen in an IT organization? In yourorganisation?“
Interviews
25
The discussion was lively and thoughtprovoking. The response of the audi-ence was an unequivocal „Yes“. Thesame issues present in Galbraith’s StarModel exist in IT departments and inthe relationships of IT Departmentswith other Business departments.Indeed, several participants felt thatthese issues are more pertinent thanever, because it is increasingly difficultto balance the short-term view withlonger-term considerations of behaviorand performance.
Not surprisingly, but reassuringly, COBItwas promoted as an excellent modelto guide a company or departmentalong the Good IT Governance path.
Thank you again to Ivan for thisexcellent seminar.
John Demsey, SICPA, Lausanne
The ISACA Crossword Puzzle
26
The ISACA Crossword Puzzle 3/05
Dieses Rätsel ist auf englisch und hatmit dem Schwerpunktthema dieserNummer zu tun. Autor ist der Redak-tor. Lösungen, Kommentare und Re-klamationen sind an ihn zu richten.
Across: 1 Easy to be hurt; 10 stoneedging pavement; 13 over the pond;14 heavy club; 15 layer at back ofeyeball; 18 that is; 19 business unit;20 and so on; 22 some type of icehockey; 24 extra large; 25 it (G); 26cylinder for holding thread; 29 sound-less thorny flower; 30 German egg; 32pub; 35 personal pronoun in the thirdcase; 36 „double“ prefix; 37 em-broidered initials; 41 informationsystem; 42 lacking colour; 44 paste-board; 45 one dimensional; 47 tablets;48 hand grid organization; 49 a shortmetropolis in the US; 50 personal pos-sessive pronoun; 51 should rule overmatter; 52 sure lost its consonants; 53the classical method of identifica-tion; 54 sound of enchantment; 55extremity; 56 Salinger saw thecatcher there (i=y); 57 king (I); 58 tobe heard at Corridas; 59 deeply dark;61 association football; 63 in a diffe-rent way; 64 Ivy League university; 65in triple: Santa is around the corner;66 this one usually wins; 68 Finnishauto plate; 69 Babylonian earth god;71 street in the Grisons; 72 short forTimes Square; 74 Liliuokalani addedthis to Aloha for her immortal song;75 wonder at; 78 infamous doubleconsonant; 79 intelligence quotient;80 big; 82 former Portuguese posses-sion in India; 84 year (F); 85 closed (G);86 authorize; 89 river in Asia; 91beautiful (F); 92 uncommon; 93 wellprotected places.
Down: 1 sound uttered by mouth;2 Kriemhild’s mother; 3 line printer; 4Australian ostrich; 5 Heyerdahl’spapyrus boat; 6 return failures intennis; 7 monetary risk engagement;8 he (Ger); 9 extra terrestrial; 10stepfather (middle high German); 11European bar code (abb); 12 youngmen; 16 low tide; 17 bird; 19 withoutthe power of vision; 21 corebusiness; 23 pointed steel; 25European country; 27 Russian river; 28large car; 31 picture; 33 negation; 34could be a Spanish baker; 36 hairless;38 gold (S); 39 laughed (F); 40measurement system; 41 go (S); 42an eighth of a gallon; 43 avoid; 44 fatlooking ; 46 way of looking (pl); 47tree with needles; 49 loop of a chain;51 reflecting piece (pl); 53 head-piece; 54 vigilant; 55 division by
two;58 number; 60 strong lightbeam; 61 therefore; 62 short for EastRiver; 63 once more; 65 back of thigh;67 Greek letter (often used for small);69 Nordic saga; 70 the Swiss still donot pay in EUR; 73 the core of being(pl); 74 French men eating giant; 75Henry the Eights second; 76 sick; 77for instance; 78 velvet (G); 81 air(Greek); 83 useful in a rowboat; 84form of to be; 85 dutch water; 87 anancient comics character; 88 entireforce; 90 ancient cow; 91 origin ofBasel II.
1 2 3 4 5 6 7 8 9 10 11 12
13 14 15 16 17
18 19 20 21 22 23
24 25 26 27 28 29
30 31 32 33 34 35 36
37 38 39 40 41 42 43
44 45 46 47
48 49 50 51
52 53 54
55 56 57 58
59 60 61 62 63
64 65 66 67
68 69 70 71 72 73
74 75 76 77 78 79
80 81 82 83 84 85
86 87 88 89 90 91
92 93
The ISACA Crossword Puzzle
27
This puzzle is in English. The solutionis in the marked fields. This solution isto be sent on a postcard to Max F.Bretscher, Oberrenggstrasse 8, CH-8135 Langnau a/A. Solutions will alsobe accepted [email protected]. The deadlineis August 5, 2005. The winner gets acredit of US$ 50 for reading materialfrom the ISACA bookstore.
If there are less than 5 answers or thesolution is not found, the US$ 50 gointo the Watson Jackpot to be carriedforward to the next issue of theNewsLetter. Watson; There is someanomaly in each crossword puzzle. Ifdetected, the Jackpot s emptied andthe winner gets its content in similarcredits at the ISACA bookstore.
Lösungen aus Nr. 74
Lösung Crossword Puzzle 2/05:Lesefiehler
Waagrecht: 1 Byte; 4 lockst; 9 IT; 11 sub; 14
Rad; 15 Oel; 16 Kanu; 18 Aetna; 19 Ar; 20
Ski; 21 skurril; 23 (A)etn(a); 24 Udet; 26 Bit;
26 Bestien; 29 ICE; 31 Tobago; 34 LNM; 35
Au; 37 Knospe; 38 unsere; 40 Uhl; 42 Wun-
der; 44 roi; 46 tut; 49 fern; 50 Nro; 52 BL; 54
Verfuegbarkeit; 57 Zu; 59 Ref; 60 Lear; 61
Los; 63 Rho; 65 Gewinn; 69 Ras; 71 Baltic;
72 Uptime; 75 CC; 76 Aal; 78 Messen; 80
tio; 82 Roadmap; 84 Lob; 86 Efeu; 88 Ort;
89 Energie; 92 EUR; 94 re; 95 UTENN; 96 rien;
97 dir; 98 Ast; 99 Nan; 101 ankern; 192 Satz.
Senkrecht: 1 Braunau; 2 Yard; 3 TD; 4 Leib;
5 OL; 6 KKK (Ku Kux Klan); 7 Sauna; 8 Tnr;
Bei der Umstellung auf ein neues Ti-telblatt des NewsLetters ist uns einböser Fehler unterlaufen: Die Nummerder Ausgabe wurde zweimal vor-geschaltet. Auf die Nummer 71(„Deutschland“) folgte die Nummer73 (Sarbanes Oxley / Basel II). Einigewenige aufmerksame Empfänger desNewsLetters habe dies sofort bei Er-halt der Nummer 73 bemerkt und dieNummer 72 verlangt.
Autsch! Was tun? Die Alternativensind:� Es gibt keine Nummer 72� Die Nummer 72 wird nachgeholt
Beide Varianten haben Nachteile. Imersten Fall muss immer erklärt werden,weshalb die Nummer 72 fehlt. Ausser-dem ist es eine heikle Sache mit den„runden“ Jubiläumsnummern, dieentweder zum falschen Zeitpunkt odermit der falschen Nummer herauskom-men werden. Im zweiten Fall wäre dieChronologie nicht eingehalten. Fazit:Alles falsch.
10 Talsperre; 11 steiler; 12 unten; 13 Bann-
meile; 15 OK; 17 Urbond; 20 St(o)ck; 21 Stop;
22 ie; 25 Ei; 27 Itsy; 30 eng; 32 bewegen; 33
Gunnar; 36 UHT; 39 Senke; 41 Luv;43
Urbanus; 45 Ob; 47 Ter; 48 Effet; 49 felice;
51 oil; 53 Turnaroun(d); 55 Reglement; 56
Tor; 58 ZH; 62 sac; 64 Oblate; 66 Wimper;
67 into; 68 Amt; 70 Schuetz; 73 Pele; 74 Eier;
77 Aorta; 79 Sagen; 81 Of; 83 an; 85 Bein;
87 erst; 90 Ria; 91 ink; 93 Ur; 97 Dr; 98 Aa.
Das Lösungswort hätte natürlich Lese-fehler sein sollen. Das I war überflüs-sig. Damit ist der Jackpot wiedereinmal geleert. Die Gewinner sind Ja-kob Kaufmann und Marc Bucher, dieje US$ 75 in Gutschrift für Bezüge vonISACA bookstore gewinnen. HerzlicheGratulation!
Wir haben uns für den ersten Fall ent-schieden. Damit bleibt der eine Fehlerbestehen und es kommt nicht noch einzweiter dazu. Eine spätere Redaktionkann dann immer noch entscheiden,eine Nummer 72 sozusagen als Witz-blatt mit lauter leeren Seiten irgend-wann einzustreuen, um die fortlaufen-de Numerierung wieder herzustellen.
Auf jeden Fall kann uns mit Recht vor-geworfen werden, dass wir vielleichtauf drei, aber nicht richtig auf hundertzählen können. Und dies alles unterdem Thema EDV-Revision! Die Aschehaben wir uns bereits auf das Hauptgestreut. Aber es hat nichts genützt.
Das Redaktionsteam
In eigener Sache
Express Line
28
Express Line
A Word from the Chair
Greetings!
Are you looking for speaker ideas? Visitwww.isaca.org/chaptereducation touse a new consolidated web page thatallows you to easily browse otherISACA chapters’ education pages tosee what speakers and topics yourfellow chapters are planning. Programand education chairs can also connectwith chapter peers in their geographicregion atwww.isaca.org/chapterreports.
As you are aware, the annual ISACAmembership purge took place in April,so any memberships that were notrenewed have now expired. Theseindividuals will receive an exit surveyand one last chance to renew.
Sunil BakshiChair, Membership Board
Conference Spotlight
IT Value: Delivering on thePromise
This half-day session will be held inbeautiful Oslo, Norway, on Wednes-day, 22 June 2005. Discussion willcenter on the latest IT Governance In-stitute publication for enterpriseleaders and boards of directors, TheCEO’s Guide to IT Value @ Risk. Thepublication provides high-levelguidance on the essential aspects ofeffective IT governance – ensuringvalue, mitigating risk, planning andexecution.
John Spangenburg, Ph.D., chairmanand founder of SeaQuation, willpresent an enlightening case study onhow ING measures IT value delivery.John Thorp, president of ThorpNetwork Inc. and principal researcherfor Fujitsu and DMR, will discuss bestpractices for IT value delivery, benefitrealization and program portfoliomanagement. This event is offered ona complimentary basis to C-suite levelexecutives only. ISACA membersplanning to attend the InternationalConference are encouraged to invitea member of their C-suite to attendthis event. Online registration and ad-ditional details are available atwww.isaca.org/itvalue.
Certification Update
ISACA will offer the CISA and CISMtwice annually beginning in Decemberof this year. Exam locations for theDecember 2005 administration will belimited primarily to large test sites (75or more candidates/year) and lan-guages with 500 or more candidates/year.
Specific details will be provided soonto ISACA leaders, members and examcandidates.
New CISM Job Practice AnalysisContinues
A CISM job practice analysis study toupdate the criteria used to certify andexamine CISM candidates was initiatedin January.
An initial task force meeting resultedin changes to the current delineation.Subsequent focus panels and subjectmatter expert reviews are being heldto further refine and validate the work.
To participate in focus panels or serveas a subject matter expert for futurereviews, please contact Ron Hale [email protected] or +1.847.590.7492.
News Briefs
ISACA’s Career Centre Available inMay!
The Career Centre will be available inMay 2005 for IT professionals seekingto hire and those searching for a job.
ISACA members will be able to lookfor jobs online and specify criteria tolimit each search. Job seekers will beable to search by geography,professional certification, experiencelevel and a number of other factors.We encourage you to checkwww.isaca.org/jobs to be among thefirst to post your résumé in the ISACAmembers-only résumé database.Members will have the addedadvantage of being able to receive e-mail notification when new jobs areposted.
For those seeking to hire, the ISACACareer Centre will be the source for ITaudit and information securityprofessionals. The Career Centre willhighlight the CISA and CISM designa-tions, thus providing a special oppor-tunity for those interested in hiringCISA or CISM holders.
Please visit www.isaca.org/jobs toexplore this exciting new offering!
DACH-News
29
DACH-News
D: Aktivitäten des GermanChapters
In den letzten Monaten wurde im Hin-tergrund intensiv von unserem Vor-standsmitglied Heinrich Geis an demneuen Webauftritt des ISACA GermanChapter gearbeitet. Nun ist es soweitund unsere neue Homepage ist online.Die Adresse hat sich nicht geändert,die Seite ist weiterhin unterwww.isaca.de zu finden. In der nahenZukunft wird es noch weitere Neue-rungen inhaltlicher Art auf unsererSeite geben, aber wir wollen natürlichnicht zu viel vorwegnehmen – schau-en Sie einfach ab und an einmal vorbei.
Da COBIT im letzten und diesen Jahrimmer mehr an Popularität gewonnenhat, haben wir zwei wirklich interes-sante Angebote mit professionellenSeminarveranstaltern zum ThemaCOBIT ausgehandelt. Die beiden Ver-anstalter sind Management Circle so-wie Serview mit einem ein- bzw. zwei-tägigen Seminar. Auch für weitere Se-minare des Anbieters Serview habenwir entsprechende Rabatte ausgehan-delt. Weitere Informationen hierzu fin-den Sie auf unserer Website.
Unsere CISA-Kurse sind auch diesesJahr wieder erfolgreich in Frankfurtund Mannheim gelaufen. Erstmaligwurde das Testexamen neben Frank-furt auch in Hamburg angeboten.Allen CISA-Kandidaten drücken wir fürdie bevorstehende Prüfung die Dau-men und hoffen, dass die Ergebnisseunserer Teilnehmer so erfolgreich wiein den Vorjahren sein werden.
Ingo StruckmeyerVorstand German Chapter
CH
Global K. Wayne SnipesAward 2004 für dieSchweiz
Anlässlich der Leadership-Konferenz inLas Vegas vom 23. und 24. April 2005durfte der Delegierte des ISACASwitzerland Chapters gleich zweiK. Wayne Snipes Awards entgegen-nehmen. Vor rund 200 eingeladenenISACA-Chapter-Präsidenten und Ver-tretern aus aller Welt wurde am 23.April der „Regional Award“ (Europa/Afrika) durch den internationalen Prä-sidenten, Marios Damianides (im Bild,links) an Bruno Wiederkehr, Vorstands-mitglied des ISACA SwitzerlandChapters überreicht.
Der Gewinner des „Global Award“ mitZertifikat (weltweite Auszeichnung)wurde bis zum 24. April streng geheimgehalten. Dann war es soweit: Im Ho-tel Flamingo überreichte Professor
Alan T. Lord (im Bild, links) den GlobalK. Wayne Snipes Award 2004 demISACA Switzerland Chapter untergrossem Applaus! Welch eine Überra-schung und Ehre für die Schweiz!
Originaltext„In recognition of outstanding perfor-mance during 2004, the MembershipBoard 2005 from the internationalHeadquarter offers the K. WayneSnipes Award and Certificate forISACA Switzerland Chapter as the bestvery large chapter worldwide.“
Global & Regional (im Bild, links) K. Wayne
Snipes Award 2004
Was ist der K. Wayne SnipesAward?
Jedes Chapter muss dem ISACA „USHeadquarter“ jährlich einen Aktivitäts-bericht abliefern, der Details zu folgen-den Themen beinhaltet: Mitglieder-versammlung, Vorstandssitzungen,Newsletter, Website, Ausbildung, Vor-
DACH-News
30
träge, Verbindungen zu anderen Ver-einigungen, spezielle Aktivitäten fürdie Mitglieder, etc. Der Jahresberichtwird jeweils nach der Mitgliederver-sammlung eingereicht und gilt auto-matisch als Grundlage für das Aus-wahlverfahren zum besten Chapter(170) in der jeweiligen Grösse und imjeweiligen Erdteil. Mit steigenderMitgliederzahl (> 600) gehört dieSchweiz seit Ende 2004 zu der Kate-gorie „Very Large Chapter“. ISACA hatinsgesamt rund 50 000 Mitgliederweltweit. Aus den Gewinnern pro Erd-teil wird dann ein weltweiter Gewin-ner ausgewählt.
Wir freuen uns riesig über diese Aner-kennung und leiten die Glückwünschegerne weiter an den gesamten Vor-stand und die Beauftragten/Helfer, alleMitglieder, Personen mit Spezialauf-gaben im Zusammenhang mit ISACA,sowie an die Speaker, Sponsoren, Aus-steller und Helfer, welche an der eu-ropäischen Konferenz „EuroCacs2004“ in Zürich mitgewirkt haben.
Besonders zu erwähnen sind auch dieprofessionelle Ausbildung, Zertifizie-rung und gute Abschlussquote derCISA und CISM in der Schweiz. Wei-tere Kurse, Seminare, Veranstaltungenund der Award 2003 für die zweitbes-te ISACA Website zeigen das beson-dere Engagement des ISACA Switzer-land Chapters.
Um auch in Zukunft zu den Besten zugehören, ist die Steigerung der Leis-tungen hinsichtlich Leadership, Mem-bership, Public Relation, Ausbildung,Koordination und Kommunikationweiterhin unerlässlich. Wir habenbereits Verbesserungen vorgenommen(Website, NewsLetter-Erscheinungs-bild, After-Hour Seminare, etc.) undsind dabei, weitere Ideen umzusetzen.Natürlich hoffen wir auf Ihre Mithilfeund nehmen Vorschläge gerne ent-gegen. Wir freuen uns, die ISACASwitzerland Aktivitäten weiterhin
spannend und zu Ihrem Nutzen gestal-ten und anbieten zu können.
Daniela Gschwend & BrunoWiederkehr
Numerus Clausus für dasAfter-Hour-Seminar?!
Die diesjährigen After-Hour-Seminareerfreuen sich steigender Beliebtheit.Ob es daran liegt, dass sie nicht mehrim Landesmuseum stattfinden, womänniglich eine antike Verstaubtheitvermutet? Wohl kaum. Es sind wahr-scheinlich die interessanten Themen,die geboten werden. Peter Bitterlimusste angesichts der Tatsache, dassdie Besetzung des Versammlungs-raums an den feuerpolizeilichen Gren-zen kratzte, ankündigen, dass in Zu-kunft kurzfristige Anmeldungen zurTeilnahme u.U. zurückgewiesen wer-den müssen. Reservieren Sie sich dieDaten demnach frühzeitig!
Am 30. März 2005 präsentierte UrsFischer seine Erfahrungen bezüglichdes Einsatzes von COBIT bei der SwissLife unter dem Titel Implementing ITGovernance Using the COBIT MaturityModel in Form einer Case Study. Dieanschliessende Diskussion wurdeteilweise hitzig geführt, wobei Ursimmer wieder konkrete Beispiele fürdas Vorgehen der Swiss Life und Recht-fertigungen für die angewandten„Durchschnittsmethoden“ vorbringenmusste. Die Adaption von COBIT stiessbei den „Puristen“ unter den Teilneh-mern teilweise auf Widerstand, dochkonnte jedermann für seine praktischeUmgebung wertvolle Hinweise mit-nehmen.
Monika Josi stellte am 27. April 2005die Einführung der weltweit gültigenInstrumente für die Umsetzung derSarbanes-Oxley-Vorschriften in ihrerUmgebung vor: SOX IT in Novartis.Beeindruckt hat dabei das Tempo, mitwelchem die Arbeit erledigt werden
musste. Der Vortrag machte glaubhaft,dass der Buchstaben auch wirklichgelebt wird. Dazu ist es aber unerläss-lich, dass einerseits das Top Manage-ment voll hinter der Sache steht (Aus-sagen, wie „Danke, dass Ihr an unsgedacht habt, aber wir möchten vor-läufig lieber nicht mitmachen“ werdenvon höchster Stelle abgeschossen) undeine straffe Disziplin gefordert wird(Lieferung von Tonnen von Papier ge-nügt nicht). Bereits ist die zweite Run-de der Verifizierung im Gang, wobeidie ursprüngliche Selektion der Länderund Unternehmungen ausgedehntwird.
In beiden Fällen muss festgestellt wer-den, dass die Umsetzung der Instru-mente teuer ist. Neben den reinenProjektkosten muss der durch die Be-troffenen selbst zu leistende Auf-wand nicht übersehen werden. Inbeiden Fällen handelt es sich umGrossfirmen, die „sich dies leisten kön-nen,“ doch was tut die KMU?!
Am 25. Mai 2005 informierte unsMatthias Oswald zum Thema Sicher-heit in gehosteten Voice-over-IP-Lösun-gen. Dabei nannte er 15 Gefahren-herde, welche die Sicherheit beein-trächtigen können. Erschreckend wardabei, dass die Technologie und „wir“aus den Erfahrungen mit dem Internetwenig gelernt haben, und alle dortgemachten schmerzlichen Erfahrun-gen erneut auf uns zuzukommenscheinen. Dennoch glaubt männiglich,dass dieser Technologie (solange siepraktisch „gratis“ zu haben ist) dieZukunft gehört.
Die nächsten After-Hour-Seminaredürften wiederum interessante Aspek-te aus der Praxis zeigen. Ganz abge-sehen davon, dass der Continuing Pro-fessional Education Credit sicher auchgebraucht werden kann.
Max F. Bretscher
DACH-News
31
News aus denInteressengruppen
IG Operational IT-Risk
Peter R. BitterliBitterli Consulting AGStampfenbachstr. 408006 ZürichTel. + 41 44 444 11 01Fax. +41 44 444 11 [email protected]
Die Interessensgruppe „Operational IT-Risk“ hat sich in den vergangenen Mo-naten intensiv mit der Frage be-schäftigt, welche (IT-) Sicherheits-anforderungen in den verschiedenenGesetzen und Verordnungen (Basel II,EBK-Richtlinien, HIPAA, CFR 11, EUDatenschutzgesetz, DSG und VDSGusw.) vorkommen. Die Arbeit hat zuein paar interessanten Erkenntnissenaber wenig direkt in die Praxis umsetz-baren Ergebnissen geführt.
Die Interessengruppe „Operational ITRisk“ plant in der jetzigen Phase eineKochbuch-ähnliche Anleitung für dasManagement von IT-Risiken, welchevor allem für KMU, für Unternehmenohne grosse Sicherheitsanforderungenan die IT oder für die ersten Schritte inein umfassenderes IT-Risikomanage-ment (analog COBIT Quickstart) ge-dacht ist. Für diese zweite Phase wer-den noch zwei bis drei neue Mitglie-der gesucht; arbeitswillige Personenmit genügend Zeit sollen sich bitte (er-neut) an den IG-Leiter wenden.
IG Government IT-Audit („Closeduser group“)
Michel Huissoud, CISA, CIAEidg. Finanzkontrolle/Contrôle fédéral des financesMonbijoustr. 453003 BernTel. +41 31 323 10 35Fax. +41 31 323 11 [email protected]
La participation à ce groupe est réser-vée aux collaborateurs des organes decontrôle.Le groupe se concentre sur l’échanged’information sur des projetscommuns Confédération-cantons,l’organisation d’audits conjoints etl’élaboration de directives à l’attentiondes organes informatiques.Prochaine séance : le 7 juin à Berne
IG Computer Forensics
Paul WangPricewaterhouseCoopersAvenue Giuseppe-Motta 501211 Geneva 2Tel. +41 22 748 56 01Fax. +41 22 748 53 54Mobile: +41 79 220 54 [email protected]
L’objectif de ce groupe de discussionlié aux « Computer Forensics », est defournir un forum d’intérêt et d’infor-mation sur les méthodologies et lesoutils de ce qu’on appelle communé-ment en français « Assistanceinformatico-légale ». Ce forum offrela possibilité de partager des idées, destechnologies, des outils et certaine-ment aussi des notions juri-diques dece domaine en constante évolution. Cegroupe de discussion abordera égale-ment des discussions techniques etprocédurales sur les prérequis enmatière de recherche de preuves infor-matiques. Même si les participantsdoivent être familiers avec la recherche,l’acquisition et l’analyse de preuvesinformatiques, tous les intéressés detout niveau de connaissance sont lesbienvenus.
IG Einführung vonIT-Governance
Rolf MerzErnst & Young AGBrunnhofweg 37Postfach 50323001 BernTel. +41 58 286 66 79Fax. +41 58 286 68 [email protected]
Nächste Sitzung: Voraussichtlich Juni/Anfang JuliWeitere Interessenten können sich beiRolf Merz anmelden.
Traktanden:1. Präsentation der beiden Pilot-prozesse PO1 und PO102. Festlegen Weiteres Vorgehen3. Themen, Ziele und Organisationder nächsten Sitzung
IG Romandie
Vacant : touts personnes intéressées àparticiper ou animer un groupe detravail ou tous ceux qui aimeraient pro-poser un thème de réflexion peuvents’annoncer auprès de M. Paul [email protected]
IG Outsourcing/Insourcing
Ulrich EnglerSwiss LifeCF/REV HG 3151General-Guisan-Quai 40Postfach, 8022 ZürichTelefon +41 43 284 77 58Telefax +41 43 284 47 [email protected]
Nächste Sitzung: Offen. Interessentenmelden sich bei Ueli Engler.
Mögliche Themen: Kontiniuität desInsourcers, Abhängigkeit vom In-sourcer (Konkurs), ÜberarbeitetesRundschreiben EBK, Fernwartung, etc.
DACH-News
32
IG MIS/EIS/DWH
Leitung:Daniel OserErnst & Young AGBadenerstrasse 47Postfach 52728022 ZürichTel. +41 58 286 34 39Fax. +41 58 286 32 [email protected]
Nach einer längeren Pause hat die IGihre Arbeit wieder aufgenommen.� Wrap-Up/StandortbestimmungEs wurden alle bisher erstellten Doku-mente aufgelistet und sofern sie nochfinalisiert werden müssen, einem Ver-antwortlichen zur Bearbeitung zuge-teilt.� Weiteres VorgehenDas Referenzmodell und die Risiko-Matrix sollen als Resultat der Phase I(Datenextrakt und Load) nochmalsüberarbeitet und bereinigt werden.Danach sollen sie auf der Website derISACA öffentlich zugänglich gemachtwerden. Die diversen Fact-Sheets wer-den zum Teil nochmals überarbeitetzum Teil neu erstellt und gelten alsResultat der Phase II (Projektvorgehenund weitere relevante Aspekte).� Wahl des neuen IG LeitersNach einer kurzen Besprechung ist derbisherige IG Leiter bestätigt worden.Es findet somit keinen Wechsel statt.� DiversesDie Resultate sollen im Rahmen einerISACA-Abendveranstaltung präsen-tiert werden.
Nächste Sitzung: Mittwoch, 28. Juni2005, 09.30 bei Ernst & Young AG,Bleicherweg 21, ZürichTraktanden:� Verabschiedung der Resultate ausPhase I� Diskussion der Fact Sheets� Diversesev. gemeinsames Mittagessen
Neue Interessenten können sich beiDaniel Oser, IG-Leiter, anmelden.
IG SAP R/3
Monika E. Galli MeadEidg. FinanzkontrolleMonbijoustrasse 51a3003 BernTel. +41 31 324 9495Fax. +41 31 323 [email protected]
Nächste Sitzung: 28. November 2005in Bern, bei der Eidg. Finanzkontrolle,Monbijoustrasse 45, 09.45–16.45 Uhr(bitte anmelden)Traktanden:� Fachpräsentation� Erfahrungsaustausch� gemeinsames Mittagessen, dannFührung durchs Parlamentsgebäudeund anschliessend auf der Tribüne Mit-erleben der Herbstsessionseröffnungdes Nationalrates (Personalausweismitbringen)
Neue Interessenten können sich beiMonika Galli, IG-Leiterin, anmelden.
Eine Revisorin stand verzweifelt am Zoll,Weil sie sich biometrisch ausweisen soll.Sie verlor jeden AnstandUnd machte den Handstand.Die Zöllner fanden es lustig und irrsinnig toll.
There was an old audit girl who was also a singer.She worked very fast and hardly ever did linger.When asked to produce her voice,She made a remarkable choice,She produced her tongue and an indecent finger.
Veranstaltungen
33
Veranstaltungen
Anwendungssicherheit: Risikoorientierte Entwicklungsmethoden 6.–10. Juni 2005Zürich, 5 Tage, ISACA/ITACS
Zutrittskontrolle im Spannungsfeld der Systemintegration 9. Juni 2005Zürich, 1 Tag, Mediasec
2nd Annual CISO Executive Summit 16./17. Juni 2005Genf, 2 Tage, MIS
IT-Sicherheitsseminar: Sicherheitskonzepte 16./17. Juni 2005Sarnen, 2 Tage, Infosec
International Conference 19.–22. Juni 2005Oslo, 4 Tage ISACA
Wirtschaftsspionage – Cyber Crime and Best Defence 24. Juni 2005Zürich, 1 Tag, Infoguard
After Hour Seminar: Qualitätsmanagementsysteme und 29. Juni 2005ihre typischen Schwächen 16.40–17.40, Zürich, ISACA
Prüfung von Schnittstellen/Audit des Interfaces 30. Juni 2005Bern, 1 Tag, ISACA/Kammer
COBIT Manager 4. Juli 20051 Tag, Frankfurt, Management Circle
COBIT Manager, IT Governance in Practice 11./12. Juli 20052 Tage, Bad Homburg,Serview GmbH
COBIT Manager 1. August 20051 Tag, München, Management Circle
Internet Security Lab – Workshop mit Angriffsszenarien und 24.–26. August 2005Abwehrmassnahmen Zürich, 3 Tage, ISACA/Compass
Einführungskurs in Systemhandling für SAP R/3 Workshop 30. August 2005Stuttgart, 1 Tag, ISACA
After Hour Seminar: Corporate & ICT Performance Management (CPM) 30. August 200516.40–17.40, Zürich, ISACA
SAP R/3 Workshop für Wirtschafts- und Informatikprüfer 31. Aug .–2. Sept. 2005Stuttgart, 3 Tage, ISACA
PKI – Einführung in Public Key Infrastructures 5. September 20051 Tag, Zug, Infoguard
COBIT Manager 5. September 20051 Tag, Köln, Management Circle
Evidence Lab – Workshop über die Spurensuche in Computersystemen 7.–9. September 2005Zürich, 3 Tage, ISACA/Compass
SSI-Fachtagung: Der neue und sichere Arbeitsplatz 13. September 20051 Tag, Zürich, MediaSec
Veranstaltungen
34
KontaktadressenVeranstalter
Der NewsLetter empfiehlt folgendeVeranstalter (weitere Kurse und Unter-lagen direkt anfordern):
AFAITel. +33 1 55 62 12 [email protected]
advanced technology seminarsGrundgasse 13CH-9500 WilTel. +41 71 911 99 15Fax. +41 71 911 99 [email protected]
Stiftung für Datenschutz undInformationssicherheitDr. Beat RudinKirschgartenstrasse 7PostfachCH-4010 BaselTel. +41 61 270 17 70Fax +41 61 270 17 [email protected]
e-tec SecurityPO Box 54Wilmslow Chesire SK9 6FUUnited [email protected]
Euroform Deutschland GmbHHans-Günther-Sohl-Strasse 7D-40235 DüsseldorfTel. +49 211 96 86 300Fax. +49 211 96 86 [email protected]
Hochschule für Technik RapperswilInstitut für Internet Technologien undAnwendungenOberseestrasse 108640 RapperwilTel. +41 55 222 41 11Fax. +41 55 222 44 [email protected]
IIR-AkademieOhmstr. 59D-60468 Frankfurt/MainTel. +49 69 7137 69-0Fax. +49 69 7137 [email protected]
InfoGuard AGFeldstrasse 1CH-6300 ZugTel. +41 41 749 19 00Fax +41 41 749 19 10www.infosec.com
Integralis GmbHGutenbergstr. 1D-85737 IsmaningTel. +49 89 94573 447Fax +49 89 94573 199 [email protected]
ISACA CH Kurssekretariatc/o ITACAS Training AGStampfenbachstrasse 40CH-80006 ZürichTel. + 41 44 444 11 01Fax +41 44 444 11 [email protected]
ISACA USA3701 Algonquin Rd #1010USA_Rolling Meadows IL 60008Tel. +1 847 253 15 45Fax. +1 847 253 14 43www.isaca.org
ITACS Training AGStampfenbachstrasse 40CH-80006 ZürichTel. +41 44 444 11 01Fax +41 44 444 11 02www.itacs.ch
Management CircleHauptstrasse 129D-65760 Eschborn/Ts.Tel. +49 6196 [email protected]
Marcus EvansWeteringschans 1091017 SB, AmsterdamThe NetherlandsTel. +31 20 531 28 13Fax. +31 20 428 96 24www.marcusevansnl.com
MIS Training InstituteNestor HousePlayhouse Yard P.O. Box 21GB-London EC4V 5EXTel. +44 171 779 8944Fax. +44 171 779 8293www.misti.com
MediaSec AGTägernstrasse 18127 Forch/ZürichTel. +41 1 360 70 70Fax. +41 1 360 77 [email protected]
Secorvo Security Consulting GmbHSecorvo CollegeAlbert-Nestler-Strasse 9D-76131 KarlsruheTel. +49 721 6105-500Fax +49 721 [email protected]
Serview GmbHThe Business IT Alignment CompanyGartenstrasse 23D-61352 Bad HomburgTel. +49 6172 177 44-0
Treuhand-KammerJungholzstrasse 43PostfachCH-8050 ZürichTel. +41 1 305 38 60Fax. + 41 1 305 38 61
ZfU Zentrum fürUnternehmensführung AGIm Park 4CH-8800 ThalwilTel. +41 1 720 88 88Fax. +41 720 08 [email protected]
Vereinsadressen
35
Vereinsadressen
Germany Chapter
GeschäftsstelleISACA e.V., German ChapterEichenstr. 7D-46535 DinslakenTel. +49 2064 [email protected]
PräsidentinKarin ThelemannTel. +49 6196 99626 [email protected]
KonferenzenMarkus GaulkeTel. +49 69 9587 [email protected]
Mitgliederverwaltung undKassenwartNorbert GröningTel. +49 201 438 [email protected]
Public RelationsHeinrich GeisTel. +49 692 101 [email protected]
Arbeitskreise und FacharbeitBernd WojtynaTel. +49 251 288 4253 oder +49 251 210 [email protected]
PublikationenIngo StruckmeyerTel. +49 4106 704 [email protected]
CISA-KoordinatorHolger KlindtworthTel. +49 (40)[email protected]
Austria Chapter
Vorsitzender (Präsident)Ing. Mag. Dr. Michael SchirmbrandTel: +43 1 31332 [email protected]
Stellvertretender Vorsitzender I(Vizepräsident I)Dipl.-Ing. Maria-Theresia Stadler,Tel: +43 1 53127 [email protected]
Stellvertretender Vorsitzender II(Vizepräsident II)Mag. Josef RennerPricewaterhouseCoopersTel: +43 1 501 88 [email protected]
Schriftführer,Mitgliederversammlung, MarketingMag. Gunther W. ReimoserTel: +43 1 12 111 701 [email protected]
Kassier, WebmasterMag. Jimmy HeschlTel: +43 1 31332 [email protected]
CISA/CISM-KoordinatorMag. Ulrike Knödlstorfer-RossTel: +43 1 33151 [email protected]
NewsLetter-KoordinationMag. Dieter Stangl-KriegerTel: +43 1 31332 [email protected]
E-Mail ISACA Austria Chapter:[email protected] ISACA Austria Chapter:www.isaca.at
Switzerland Chapter
PräsidentinDaniela S. GschwendTel. +41 43 285 69 [email protected]
VizepräsidentMichel Huissoud, CISA, CIATel. +41 31 323 10 [email protected]
KassierPierre A. Ecoeur, CISATel. +41 71 626 64 [email protected]
Ausbildung/KurssekretariatPeter R. Bitterli, CISATel. +41 44 444 11 [email protected]
CISA/CISM-KoordinatorThomas BucherTel. +41 44 421 64 [email protected]
Sekretärc/o Präsidentin
Information & KommunikationMonika JosiTel. +41 61 697 72 [email protected] bitte hier melden.
Koordinator InteressengruppenRolf MerzTel. +41 58 286 66 [email protected]
Représentant Suisse RomandePaul WangTel. +41 22 748 56 [email protected]
MarketingBruno WiederkehrTel. +41 1 910 96 [email protected]
Homepage ISACA SwitzerlandChapter: www.isaca.ch