Neue Maßstäbe für Biometrie:: BSI aktualisiert Richtlinie TR-03166

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die Technische Richtlinie TR-03166 zur Bewertung biometrischer Authentisierungssysteme umfassend überarbeitet. Die nun veröffentlichte Version 2.0 reagiert auf die stark gewachsene Verbreitung biometrischer Verfahren und adressiert deutlich mehr Einsatzszenarien als zuvor. Neben klassischen Zugangskontrollen rücken mobile Endgeräte wie Smartphones sowie digitale Identitäts- und Bezahlanwendungen stärker in den Fokus.

Ziel der Überarbeitung ist es, Herstellern und Anwenderorganisationen eine einheitliche, anwendungsübergreifende Grundlage für sichere und vertrauenswürdige Biometrie bereitzustellen. Durch die enge Einbindung von Industrie, Forschung und Behörden wurde die Richtlinie bewusst praxisnah ausgestaltet.

„Technical Guideline for Biometric Authentication Systems“ jetzt in Version 2.0

Kern der Richtlinie ist ein dreistufiges Vertrauensmodell für biometrische Systeme, das sich an den Anforderungen der europäischen Verordnung über elektronische Identifizierung und Vertrauensdienste orientiert. Diese sogenannten Biometric Assurance Level definieren Anforderungen an die Erkennungsleistung sowie an die Widerstandsfähigkeit gegenüber Präsentationsangriffen.

Solche Angriffe zielen darauf ab, biometrische Sensoren mit täuschend echten Attrappen zu überlisten, etwa durch ausgedruckte Gesichtsbilder oder realistisch gestaltete Masken. Die Richtlinie legt fest, wie Systeme diesen Angriffen standhalten müssen, um ein definiertes Vertrauensniveau zu erreichen.

Ergänzend zur Richtlinie stellt das Bundesamt eine detaillierte Prüfanleitung bereit. Diese beschreibt den Umfang und die Methodik der Evaluierung und sorgt dafür, dass Prüfungen reproduzierbar und Zertifikate vergleichbar werden. Damit entsteht erstmals eine belastbare Grundlage für eine breite Akzeptanz biometrischer Zertifizierungen im Markt.

Praxis- und marktgerechte Gestaltung

Die technische Richtlinie ist eng mit der praktischen Evaluierungsarbeit des Bundesamtes verzahnt. In den eigenen Laboren sowie im Biometrie Evaluations Zentrum der Hochschule Bonn Rhein Sieg werden aktuelle Systeme unter realistischen Bedingungen geprüft. Dabei entwickeln die Fachleute kontinuierlich neue Angriffsszenarien, die direkt in die Weiterentwicklung der Richtlinie einfließen.

Der derzeitige Schwerpunkt liegt auf Gesichts- und Fingerabdruckerkennung. Diese Verfahren haben sich im Alltag etabliert und ermöglichen eine schnelle Authentisierung für sensible Dienste. Gerade auf mobilen Endgeräten werden sie für Gesundheitsanwendungen, digitale Zahlungen oder Identitätsnachweise eingesetzt. Mit der steigenden Nutzung wachsen jedoch auch die Anforderungen an Sicherheit, Zuverlässigkeit und Nachvollziehbarkeit.

Die Richtlinie ist daher bewusst offen gestaltet. Weitere biometrische Merkmale können bei Bedarf ergänzt werden, ohne das Grundmodell zu verändern. Parallel stimmt sich das BSI eng mit nationalen (Deutsches Institut für Normung DIN) und internationalen Normungsorganisationen wie dem European Committee for Standardization (CEN), dem European Telecommunications Standards Institute (ETSI) und der International Organization for Standardization (ISO) ab, um langfristig harmonisierte Sicherheitsstandards zu etablieren.

Mit der Version 2.0 der TR-03166 positioniert sich die deutsche Biometrieprüfung damit als belastbare Referenz. Für Hersteller, Betreiber und Anwender entsteht eine gemeinsame Vertrauensbasis, die Sicherheit, Vergleichbarkeit und Marktfähigkeit biometrischer Authentisierungssysteme nachhaltig stärkt.