Fingerabdruck, Iris-Scan und Co. 01.08.2016, 10:22 Uhr

So (un)sicher sind biometrische Sicherheitskonzepte

Fingerabdruck und Iris-Scan - was früher nur im Krimi auftauchte, zieht in den Alltag ein. Immer mehr Hersteller setzen auf biometrische Sicherheitsebenen und appellieren dabei an die Bequemlichkeit der Nutzer. Aber ist das auch sicher?
(Quelle: Henrik Josef Boerger)
Fingerabdruck-Scanner: Seit dem iPhone 5S baut Apple in seine Smartphones den TouchID-Sensor ein. Auch andere Hersteller setzen in ihren teureren Modellen auf den Fingerabdruck zum Entsperren.
Quelle: Andrea Warnecke
Der Fingerabdruck entsperrt das Smartphone, der Computer schaltet per Gesichtserkennung den Bildschirm frei. Biometrische Authentifizierung war vor einigen Jahren noch Science-Fiction. Heutzutage sind die Mechanismen schon lange Normalität.
Bei den meisten teureren Smartphones ist der Fingerabdruckscanner bereits Standard, bei immer mehr Notebooks kommt er hinzu. Doch was gibt es für Verfahren, wozu sind sie gut und welche Risiken gibt es?
Die bekannteste und am meisten verbreitete biometrische Sicherheitsebene ist der Fingerabdruck. Spätestens seit der Einführung des elektronischen Reisepasses wird jeder irgendwann damit konfrontiert sein, seine Fingerabdrücke zu scannen. Für Matthias Gärtner vom Bundesamt für Sicherheit in der Informationstechnik (BSI) bringt das einen einfachen Vorteil: "Es ist ein bequemes Verfahren. Seinen Fingerabdruck kann man nicht vergessen oder verlieren wie ein Passwort oder eine PIN-Nummer."
LG setzt auch auf persönliche Bewegungsmuster: Der Knock Code ist ein frei gewähltes Klopfmuster auf dem Display.
Quelle: Henrik Josef Boerger
Im Alltag spielt der Fingerabdruck aber besonders beim Smartphone eine große Rolle. Seit dem iPhone 5s verbaut Apple in seinen Smartphones einen Fingerabdruckscanner. Das Verfahren heißt bei Apple "Touch ID" und dient vorrangig einem Zweck: das Telefon einfach ohne PIN und Wischgeste zu entsperren. Das ist für Andreas Braun vom Fraunhofer Institut für Graphische Datenverarbeitung (IDG) auch die wichtigste Funktion der biometrischen Verfahren: "60 bis 70 Prozent der Smartphone-Nutzer verwenden gar keine Sperren, weil ihnen eine PIN-Eingabe zu lange dauert. Mit dem Fingerabdruck geht es aber sehr schnell", sagt er. Der Nutzer bemerkt den Anmeldevorgang gar nicht.
Fast alle Premiumgeräte haben mittlerweile einen Fingerabdrucksensor an Bord. Bei Samsung ist er ab dem Galaxy S5 dabei, Google hat ihn ab dem Nexus 5x, das Sony Xperia Z5 hat einen, und auch das LG G5 kann damit dienen. Auch viele Notebooks bringen bereits Fingerscanner mit.

Es muss nicht immer der Fingerabdruck sein

Bequem und sicher? Der Fingerabdruck ist ein gängiger Schlüssel für biometrische Sicherungsverfahren. Kritiker halten ihn aber nicht für ausreichend sicher.
Quelle: Henrik Josef Boerger
LG hat 2014 beim G3 eine andere Alternative zu PIN oder Wischgesten eingeführt: Mit dem Knock Code kann man in einem beliebigen Rhythmus auf das Display klopfen. Die Geste zum Entsperren wird dadurch sehr persönlich und schnell.
Microsoft setzt auf ein anderes biometrisches Verfahren, das an James Bond-Filme erinnert: den Iris- und Gesichts-Scan. Windows Hello heißt das in Windows 10 vorgestellte Sicherheitsfeature. Es funktioniert auch über Fingerabdrücke, besonders ist aber der Iris- und Gesichtsscan. Für den ist allerdings eine spezielle Kamera nötig. "Die Kamera muss in der Lage sein, ein reales Gesicht von einem Foto zu unterscheiden. Tiefenwahrnehmung oder Infrarotlicht kann dafür genutzt werden. Genauso sind kleine Bewegungen im Gesicht wichtig", erklärt Andreas Braun. Im Lumia 950 ist eine solche Infrarot-Kamera verbaut, und auch die neuesten Surface-Tablets beherrschen Windows Hello.
Fingerabdrücke und Gesichtsscanner können natürlich nicht nur zum Entsperren oder Anmelden genutzt werden. Sie können auch als Sicherheitskontrolle beim Verschlüsseln von Daten oder zur Authentifizierung bei Online-Accounts genutzt werden. Das ist bequemer, als sich ein Passwort zu merken. Sicherer ist es aber nicht, wie Chris Wojzechowski vom Institut für Internet-Sicherheit erklärt: "Auch biometrische Verfahren kann man überlisten. Seine Fingerabdrücke hinterlässt man überall. Smartphones sind praktisch damit übersät und bringen den Schlüssel zum Schloss schon mit."

Der Fingerabdruck reicht nicht aus

Tatsächlich hinterlässt man bei der Nutzung eines Fingerabdrucksensors auch gleich einen Fingerabdruck auf dem Sensor. Schon mit profanen Mitteln wie Holzleim lässt sich ein Duplikat erzeugen. Auch ein hochauflösendes Foto kann ausreichen, einen Gesichtsscanner zu überlisten, wenn man ihm denn vorgaukeln kann, dass er ein lebendiges Gesicht scannt. Außerdem kann man Gesicht und Fingerabdruck schlecht ändern, Passwörter aber schon. Bei hochsensiblen Daten sollte also doch ein Passwort her, am besten aber beides, denn doppelt hält besser. Auch das Hinzufügen einer Zweifaktor-Authentifizierung dient der Sicherheit.
"Der Fingerabdruck reicht nicht aus, um sich zu schützen", warnt Wojzechowski daher. Er rät stattdessen dazu, ein starkes Passwort aus Zahlen, Buchstaben und Sonderzeichen zu nutzen. Biometrische Verfahren dienen vor allem dem Komfort, aber mit etwas Aufwand sind sie teils leichter zu überwinden als das herkömmliche Passwort. Außerdem werden die biometrischen Daten ja vom Gerät selbst oder sogar in den Datenbanken der Hersteller gespeichert. Es ist nie auszuschließen, dass diese Daten auch mal in falsche Hände geraten.




Das könnte Sie auch interessieren