CEN/TS 18099: Die Norm, die die Widerstandsfähigkeit gegen Injektionsangriffe nachweist

In unserem vorherigen Beitrag haben wir untersucht, wie die aktualisierten NIST SP 800-63-4-Richtlinien für digitale Identitäten die Messlatte für die biometrische Verifizierung höher legen. iProov war der erste Anbieter, der Deepfake-Resilienz gemäß den neuen Richtlinien demonstrierte.

Eine Anforderung stach in den NIST-Richtlinienheraus: Unternehmen müssen nun nachweisen, dass sie sowohl gegen Präsentationsangriffe und Deepfake Injection-Angriffen nachweisen. Bei der letztgenannten Kategorie schweigen sich viele Anbieter aus.

NIST, die Agentur der Europäischen Union für Cybersicherheit (ENISA), die französische ANSSI und das deutsche BSI haben alle vor den Risiken von Injektionsangriffen gewarnt. Unsere eigenen Bedrohungsinformationen zeigen, dass sie sie im Jahr 2020 auf iOS um 740 % zugenommen haben. Im Gegensatz zu Präsentationsangriffen, die eine physische Anwesenheit erfordern, können Injektionsangriffe automatisiert und auf Tausende von Versuchen gleichzeitig skaliert werden.

CEN/TS 18099 bietet endlich den unabhängigen Validierungsrahmen, um die Widerstandsfähigkeit Resilienz gegenüber Deepfake-Injektionsangriffen zu belegen, und geht damit über die Behauptungen der Anbieter hinaus.

Warum der neue Standard notwendig war

Die Erkennung von Präsentationsangriffen (PAD) verfügt über gut etablierte Testrahmen. ISO/IEC 30107 definiert, wie bewertet werden kann, ob ein biometrisches System Fotos, Masken und Videoaufnahmen erkennen kann, die vor eine Kamera gehalten werden. 

Die PAD-Zertifizierung ist mittlerweile zum Standard geworden; Injektionsangriffe sind immer raffinierter geworden. Ein Anbieter kann über eine PAD-Zertifizierung verfügen und dennoch keinerlei Widerstandsfähigkeit gegenüber Injektionsangriffen aufweisen. Die beiden Angriffsvektoren erfordern grundlegend unterschiedliche Testmethoden. Die Norm ISO 30107 wurde nicht entwickelt, um dieser Art von Bedrohung zu begegnen.

Wenn wir untersuchen, wie viele Anbieter Injection-Angriffe bekämpfen, lassen sich die Antworten in der Regel in drei Kategorien einteilen: interne Testdokumentation, Architekturdiagramme mit beruhigenden Pfeilen oder „Spoof-Bounty“-Programme in Nicht-Produktionsumgebungen. Diese Bewertungen stützen sich häufig auf proprietäre Frameworks, die nicht von anerkannten Normungsgremien entwickelt wurden, sodass die Ergebnisse nicht zwischen verschiedenen Lösungen verglichen werden können.

Dies ist wichtig, da Injection-Angriffe darauf ausgelegt sind, einer Erkennung zu entgehen. Sie lösen nicht dieselben Warnmeldungen aus wie Presentation-Angriffe. Unternehmen können systematisch kompromittiert werden, ohne dass sie davon Kenntnis haben. Die Onboarding-Phase funktioniert weiterhin, die Konversionskennzahlen sehen gut aus und der Betrug nimmt unbemerkt zu, bis jemand nach Beweisen fragt.

Injection-Angriffe sind raffiniert, da sie gleichzeitig an zwei Fronten operieren: Der Liefermechanismus ist so konzipiert, dass er für die Anwendung unsichtbar ist, während der injizierte Inhalt so gestaltet ist, dass er alle Kontrollen auf der anderen Seite überlistet – die Abwehr des einen ohne das andere lässt Unternehmen ungeschützt.

Das Europäische Komitee für Normung (CEN) erkannte diese Lücke und entwickelte CEN/TS 18099: die erste formelle technische Spezifikation, die sich mit dem Testen biometrischer Systeme gegen Injektionsangriffe befasst. 

Wie CEN/TS 18099 funktioniert

Der Standard unterscheidet zwischen zwei Komponenten eines Injektionsangriffs:

• Injection Attack Method (IAM): Wie der Angriff durchgeführt wird. Dazu gehören das Ausnutzen von Softwarebibliotheken, das Manipulieren des Netzwerkverkehrs und die Verwendung von Emulatorenoder das Einbinden in Systemfunktionen, um biometrische Daten abzufangen und zu ersetzen.
• Injection Attack Instrument (IAI): Was geliefert wird. Das synthetische Gesicht, das Deepfake-Video oder die manipulierte Bildsequenz, die der Angreifer dem System als echt verkaufen möchte.

Die Prüfer versuchen, mehrere Angriffsmethoden gegen das Zielsystem zu etablieren. Wenn Angriffsmethoden erfolgreich sind, liefern sie eine Reihe von Angriffsinstrumenten, um die Erkennungsfähigkeiten zu bewerten.

Dieser zweistufige Ansatz zeigt, wo Abwehrmaßnahmen tatsächlich greifen. Einige Systeme lassen zwar die Etablierung von Angriffsmethoden zu, erkennen jedoch bösartige Instrumente. Andere blockieren den Angriffsweg selbst und verhindern so vollständig die Bereitstellung von Instrumenten. Diese Unterscheidung ist wichtig, um die Tiefe des gebotenen Schutzes zu verstehen.

Was hat die Lösungsbewertung von iProov ergeben?

iProov hat Dynamic Liveness einer unabhängigen Bewertung durch Ingenium Biometric Laboratories unterzogen, einer nach ISO/IEC 17025 akkreditierten Einrichtung, die als unabhängiges Biometrielabor für die britische Behörde für nationale Sicherheit (National Protective Security Authority) fungiert. Die Tests wurden gemäß den Anforderungen von Ingenium für die Erkennung von Injektionsangriffen der Stufe 4 durchgeführt, die hinsichtlich Umfang und Strenge die höchste Stufe (CEN High) der Norm CEN/TS 18099 übertreffen.

Ingenium Level 4 baut auf den Anforderungen der CEN/TS 18099 auf und bietet durch erweiterte Tests und komplexe Angriffsarten eine erhöhte Sicherheit. Im Rahmen der 40-tägigen Bewertung wurden mindestens drei verschiedene Injektionsangriffsmethoden und fünfzehn Angriffsinstrumente geprüft. 

Während der Tests konnte keine Injektionsangriffsmethode erfolgreich etabliert werden. Da die Angriffswege blockiert waren, kam es im Labor nie zur Bereitstellung der Angriffsinstrumente. Die synthetischen Gesichter und Deepfake-Videos konnten nirgendwohin gelangen.

Dies stellt eine grundlegend andere Sicherheitsstrategie dar. Anstatt zu versuchen, bösartige Inhalte zu erkennen, nachdem sie in das System gelangt sind, verhindert Dynamic Liveness von vornherein, dass ein Infektionsweg entsteht.

Entscheidend ist, dass dieses Schutzniveau ohne Einbußen bei der Benutzerfreundlichkeit erreicht wurde. Die Bona-Fide-Präsentationsklassifizierungsfehlerrate (BPCER) – die Rate, mit der legitime Benutzer fälschlicherweise abgelehnt werden – lag bei nur 1,3 % und damit deutlich unter dem vom Standard geforderten Schwellenwert von 15 %.

Dynamic Liveness ist die erste und einzige Lösung, die eine Ingenium Level 4-Bewertung erreicht hat.

Über CEN hinaus: Das umfassendere Validierungsbild

CEN/TS 18099 befasst sich speziell mit Injektionsangriffen, aber eine umfassende Identitätssicherung erfordert eine Validierung über mehrere Bedrohungskategorien hinweg. Für Organisationen, die Beschaffungskriterien auf der Grundlage von NIST 800-63-4 entwickeln, umfasst das Gesamtbild Folgendes:

• PAD-Validierung: Konformität mit ISO/IEC 30107-3 durch akkreditierte Tests (wie iBeta Level 1 & 2) und FIDO-Gesichtsverifizierungszertifizierung für Präsentationsangriffe, einschließlich vorgelegter Deepfakes.
• IAD-Validierung: CEN/TS 18099-Bewertung der Widerstandsfähigkeit gegen Injektionsangriffe.
• Betriebssicherheit: ISO 27001-, SOC 2- und CSA STAR-Zertifizierung für Datenschutz und Sicherheitsprozesse.
• Inklusivität: WCAG 2.2 AA-Konformität und Section 508, dem Best-Practice-Standard für Barrierefreiheit in digitalen Umgebungen.

Zusammen liefern diese die vom NIST geforderte Evidenzbasis: keine Behauptungen von Anbietern, sondern eine Validierung durch Dritte über die gesamte Bedrohungslandschaft hinweg, mit der Unternehmen konfrontiert sind.

Abschließende Gedanken zu CEN/TS 18099 und der „Validierungslücke” 

CEN/TS 18099 stellt den Maßstab für Injektionsangriffstests dar, aber die regulatorische Ausrichtung ist global. Die derzeit in Entwicklung befindliche Norm ISO 25456 wird die Anforderungen an die Erkennung von Injektionsangriffen international ausweiten. Unternehmen, die sich jetzt darauf einstellen, sind den regulatorischen Anforderungen einen Schritt voraus und müssen nicht erst hektisch reagieren, wenn die Anforderungen verschärft werden.

Für Sicherheitsarchitekten, Beschaffungsteams und Compliance-Verantwortliche hat sich die Frage geändert: Es reicht nicht mehr aus, zu fragen, ob ein Anbieter über Deepfake-Erkennung verfügt. Die Frage ist nun, ob sie durch unabhängige, standardkonforme Tests nachweisen können, dass ihre Lösung die Deepfake-Injektionsangriffe abwehrt, die jetzt in den NIST-Richtlinien für digitale Identitäten hervorgehoben werden.

Die Frage, die die Behauptungen der Anbieter auf den Punkt bringt, ist einfach: Welches unabhängige Labor hat diese Fähigkeit getestet, anhand welcher Norm und auf welchem Niveau? Wenn es keine veröffentlichte Antwort gibt, ist die Fähigkeit nicht verifiziert. Sie wird lediglich angenommen.

Bei iProov werden die Nachweise veröffentlicht, die Methodik ist transparent und die Ergebnisse können überprüft werden. 

Kann Ihr derzeitiger Anbieter das Gleiche von sich behaupten?

• Um mehr über die CEN/TS 18099-Bewertung von iProov zu erfahren oder den unabhängigen Ingenium-Bericht anzufordern, kontaktieren Sie uns.
• Erfahren Sie mehr über biometrischen Identitätszertifikaten und warum sie wichtig sind.