November 4, 2022

Ein Großteil der Diskussion über technische Herausforderungen und die Bedeutung der Einigung auf einen geeigneten Standard wurde letzte Woche auf dem ENISA Forum für Vertrauensdienste in Berlin. Wie können wir mit den ehrgeizigen Plänen zur Einführung EU-weiter sicherer digitaler Geldbörsen vorankommen? Der CEO von iProov, Andrew Bud, sprach über die sich entwickelnde Art des Bedrohungsumfelds und die Bedeutung eines nutzerzentrierten Ansatzes bei der Entwicklung einer digitalen Geldbörse, die nicht nur zugänglich und einfach zu nutzen, sondern auch sicher ist.

Digitale EU-Geldbörse 

Für Europa und die europäische Wirtschaft gibt es viel zu gewinnen, wenn wir als Branche für digitale Identitäten zusammen mit Verbrauchergruppen und politischen Entscheidungsträgern erfolgreich zusammenarbeiten, um bequemere Plattformen zur Unterstützung sicherer und vertrauenswürdiger digitaler Transaktionen zu entwickeln, einzuführen und zu übernehmen. Eine digitale Brieftasche hat viele potenzielle Einsatzmöglichkeiten und könnte eine Möglichkeit sein, sichere Zahlungen zu tätigen, den Ersatz von amtlichen Dokumenten wie dem Führerschein zu erleichtern und die Grenzkontrollen an Flughäfen und Häfen zu beschleunigen. Ein Beispiel, McKinsey schätzt, dass die Nutzer von Behördendiensten bis zu 110 Mrd. Stunden einsparen könnten, wenn sie die Behördengänge sicher online abwickeln könnten.

Die EU ist weltweit führend mit einem ehrgeizigen Rechtsrahmen für ein System digitaler EU-Geldbörsen. Wir freuen uns, ein Teil der NOBID Vorschlag der Europäischen Kommission für die Finanzierung eines Pilotprojekts für digitale Geldbörsen teilzunehmen. Der NOBID-Vorschlag wird gut unterstützt, hat erfahrene Partner und einen attraktiven Anwendungsfall (Zahlungsdienste). Allerdings hat unser kürzlich veröffentlichter Forschungsbericht über die EU-Initiative für digitale Geldbörsen Initiative zeigt jedoch die Bedeutung der Hindernisse für die Einführung auf. Um die Vorteile zu nutzen, sind eine groß angelegte Registrierung, die Übernahme durch die Organisation und der Nachweis einer kontinuierlichen Nutzung unerlässlich.

Entscheidend ist, dass die Größe des Preises mit einem potenziellen Markt von 447 Millionen Nutzern auch kriminelle Angreifer anziehen wird. 

Die Bedrohung und die Rolle der biometrischen Gesichtserkennung

Um akzeptabel zu sein, muss die Registrierung gegen die gesamte Bandbreite von Identitäts-, Präsentations- und digitale InjektionsangriffeDies entspricht der Art von Mustern, die wir mit unserer einzigartigen iSOC-Fähigkeit. Unternehmen müssen sicher sein, dass der Benutzer derjenige ist, der er vorgibt zu sein, und dass er das Recht hat, auf die Informationen in der Brieftasche zuzugreifen, dass der Benutzer eine reale Person ist und dass der Benutzer sich in Echtzeit authentifiziert.

Kriminelle, die Anschläge verüben, sind gut ausgestattet, hochqualifiziert und gehen strategisch vor, wenn sie ein hochpreisiges Ziel ausgemacht haben. Unsere eigenen Erfahrungen decken sich mit dem Ratschlag einer europäischen Sicherheitsagentur, die uns über die "Test & Learn"-Strategie krimineller Angreifer informierte, die ein Ziel angreifen, aus den Erfahrungen lernen und dann ihre Technik anpassen, bevor sie ihr nächstes Ziel angreifen. 

Die Bereitstellung ausgefeilter Deepfakes ist auch eine attraktive Geschäftsmöglichkeit für diejenigen, die über KI-Fähigkeiten verfügen. Europol berichtete kürzlich über die Zunahme von Deepfakes als Dienstleistung, wobei ein Bedrohungsakteur 16.000 Dollar für ein Deepfake bot, das vermutlich für illegale oder schädliche Zwecke verwendet werden soll. Wir sehen hier die Entwicklung von Crime-As-A-Service.

Aufrechterhaltung des Benutzervertrauens und der Zugänglichkeit

Die Art und Weise, wie wir mit biometrischen Bedrohungen umgehen, ist wichtig, wenn wir das Vertrauen der Nutzer in digitale Geldbörsen erhalten wollen, und die Cyber-Politik muss eine entscheidende Rolle dabei spielen, sicherzustellen, dass unser Ansatz nicht nur technisch robust und flexibel ist, sondern auch den Grundsätzen der Nutzerorientierung folgt. 

Es ist von entscheidender Bedeutung, dass wir die uns zur Verfügung stehenden Informationen über Angriffsmethoden und unser Verständnis der Nutzer nutzen, um sicherzustellen, dass der Rahmen für die Sicherheitspolitik, der entwickelt wird, sei es das KI-Gesetz, das Gesetz zur Widerstandsfähigkeit gegenüber Cyberangriffen oder NIS2, auf die Bedürfnisse, Schwachstellen und Fähigkeiten der Nutzer abgestimmt ist. Ein Ansatz, der auf der Annahme beruht, dass die Aufklärung der Nutzer die Fähigkeitslücken schließen wird, wird scheitern.  

Bei iProov setzen wir uns für den Grundsatz eines nutzerzentrierten Lösungsdesigns ein, inspiriert durch die Arbeit von Professor Angela Strasse in diesem Bereich. ID-Verifizierungs- und Authentifizierungsdienste müssen auf einigen einfachen, aber entscheidenden nutzerzentrierten Prinzipien aufbauen. Die Einhaltung der WCAG 2.1 AA sollte eine Mindestanforderung sein. Niemand sollte ausgeschlossen werden - sei es aufgrund von Behinderungen oder weil er nicht das neueste Smartphone oder Tablet besitzt. Den Nutzern kann nicht zugemutet werden, dass sie sich jedes Mal neu anmelden müssen, wenn sie ihr Gerät wechseln oder ersetzen.

Wir müssen erkennen, dass Geräte eine Schwachstelle in der Schwachstellenkette sind, und vermeiden, uns in Sachen Sicherheit auf sie zu verlassen. Viele der täglich genutzten Smartphones werden nicht mehr unterstützt und ihre Nutzer installieren nicht unbedingt die neuesten verfügbaren Sicherheits-Patches.  

Was soll mit der Politik erreicht werden?

  • Einbeziehung durch Benutzerwahl: Keine Auferlegung oder Anforderung für spezielle Gerätehardware oder Sensoren. Fähigkeit zur sicheren Authentifizierung auf jedem Gerät mit einer dem Benutzer zugewandten Kamera.
  • Eingliederung durch Zugänglichkeit: Geräte- und Plattformunabhängigkeit, um alle Nutzer einzubeziehen;robuste Leistungs- und Bias-Überwachung; Cloud-basierte Bereitstellung.
  • Robuste Wahlmöglichkeiten: Nicht-biometrische Anmeldemöglichkeiten müssen ebenso sicher sein, auch wenn dies zu Lasten der Bequemlichkeit geht.
  • Risikominderung bei Geräten: Keine Abhängigkeit von den Geräten der Benutzer für die Sicherheit. Minderung des Risikos durch synthetische oder kompromittierte Geräte.
  • Wiederherstellung der Identität: Die Benutzer sollten sich nicht erneut anmelden müssen, wenn Geräte ausgetauscht oder ersetzt werden.
  • Integrität der Verifizierung: Verwendung unzugänglicher Verarbeitung, um Reverse Engineering durch Angreifer zu verhindern. Entschärfung der Bedrohung durch gegnerische Angriffe.
  • Entlastung der Nutzer von der Verantwortung: Die Implementierung neuer Erkennungsalgorithmen darf nicht davon abhängen, dass der Nutzer sein persönliches Gerät aktualisiert, oder ihn dazu zwingen.
  • Agile Reaktion: Laufende Informationen über Bedrohungen, um die Abwehrmaßnahmen zu verbessern.

Als Betreiber müssen wir eine Sorgfaltspflicht gegenüber den Nutzern übernehmen und die Verantwortung für ihre Sicherheit so weit wie möglich auf unsere Schultern nehmen.

ENISA Cybersicherheitspolitik - Biometrische Gesichtsverifikation