Biometrische Technologien boomen in Deutschland, von Fingerabdruckscannern in Smartphones bis zur Gesichtserkennung an Grenzübergängen. Doch jede neue Anwendung steht vor derselben Frage: Wie sicher, zuverlässig und datenschutzkonform ist das System? Genau hier setzt das Bundesamt für Sicherheit in der Informationstechnik (BSI) an. Ohne eine vom BSI begleitete Zertifizierung hätten Hersteller kaum Chancen, öffentliche Auftraggeber zu überzeugen oder rechtskonform zu bleiben.
Das BSI übernimmt dabei mehrere Funktionen. Es veröffentlicht Technische Richtlinien (TR), entwickelt Schutzprofile und akkreditiert unabhängige Prüflabore. Besonders im Bereich Biometrie definiert es normative Vorgaben, vergibt Zertifizierungen nach Common Criteria (CC) und beobachtet kontinuierlich den Markt, um neue Angriffsvektoren wie Deepfakes oder Presentation Attacks direkt in Richtlinien einfließen zu lassen.
Internationale ISO-Normen wie ISO/IEC 19795 regeln die allgemeine Leistungsbewertung biometrischer Systeme. Das BSI präzisiert diese Anforderungen zusätzlich für den deutschen Markt, etwa durch TR-03104 für eID-Dokumente, TR-03137 für automatische Grenzkontrolltore und TR-03121 für Fingerabdrucksensoren in mobilen Geräten. Die Kombination aus ISO-Normen und nationalen TRs schafft ein mehrschichtiges Prüfnetz, das Herstellern klare Leitplanken vorgibt und Behörden Rechtssicherheit liefert.
Die Common Criteria bilden das formale Rückgrat. Für Biometrie existieren mehrere Protection Profiles wie PP-Biometric Authentication oder PP-Biometric Passport. Ein Hersteller muss sein Produkt gegen das passende Schutzprofil evaluieren lassen. Das BSI prüft anschließend den Evaluation Assurance Level (EAL) und vergibt das Zertifikat.
Ein typischer Zertifizierungsprozess läuft in fünf Schritten: Antragstellung, Laborprüfung, Penetrationstests inklusive Presentation-Attack-Detection, Gutachtenreview und schließlich Veröffentlichung des Zertifikats in der BSI-Datenbank. Praxisbeispiele wie das Biometric Exit System am Flughafen Frankfurt zeigen den Effekt: Fehlerraten liegen unter den ISO-Schwellen, Presentation-Attack-Detection ist nachgewiesen, und verschlüsselte Templates bieten Datensicherheit. Ohne BSI-Siegel wäre eine Inbetriebnahme kaum denkbar gewesen.
Aktuelle Herausforderungen entstehen durch Datenschutz, Künstliche Intelligenz und den kommenden EU AI Act. Das BSI entwickelt neue Testverfahren gegen GAN-basierte Angriffe, bindet AI-Regulierung in Schutzprofile ein und veröffentlicht Leitfäden zu Privacy by Design in neuronalen Netzen. Gleichzeitig rückt die Kombination von Biometrie mit FIDO2 und Post-Quantum-Sicherheit in den Fokus, um Passwörter abzulösen und Template-Daten langfristig zu schützen.
Ohne das BSI gäbe es in Deutschland weder verlässliche Sicherheitsmaßstäbe noch einheitliche Zertifikate für biometrische Systeme. Wer frühzeitig BSI-Konformität anstrebt, verkürzt Markteintrittszeiten, stärkt Vertrauen und positioniert sich als seriöser Partner in einem Markt, der jedes Jahr striktere Sicherheits- und Datenschutzanforderungen erlebt.