Biometrie statt Passwort Auf den ersten Blick eine gute Idee

Moderne Smartphones lassen sich entsperren, indem man das Gerät nur kurz anschaut. Biometrische Daten könnten so zu Universal-Passwörtern werden - und dadurch auch für Kriminelle extrem wertvoll.

Serie Cybersicherheit
Michael Walter / DER SPIEGEL

Serie Cybersicherheit

Von und


Der digitale Kontrollverlust
  • Michael Walter / DER SPIEGEL
    Dieser Artikel ist Teil der Serie "Der digitale Kontrollverlust" rund um die IT-Sicherheit von Privatnutzern, Firmen und Behörden. Lesen Sie alle Texte dazu auf unserer Themenseite.

Das neue Luxus-Smartphone von Apple muss man zum Entsperren nicht einmal mehr berühren: Statt per Passwort oder per Fingerabdruck können sich Nutzer beim iPhone X auch per Gesichtserkennung einloggen. "Ein kurzer Blick auf das Display genügt, damit Face ID das iPhone X sicher entsperrt", verspricht Apple. "Mit Face ID können Sie außerdem Einkäufe im iTunes Store, App Store, iBooks Store sowie Zahlungen mit Apple Pay autorisieren."

Gesichtserkennungs-Software des iPhone X
AP

Gesichtserkennungs-Software des iPhone X

Das Gesicht wird also zum Schlüssel - nicht nur fürs eigene Smartphone, sondern auch für Transaktionen.

So ein System hat seinen Reiz: Wenig hassen Smartphonenutzer mehr, als lange Passwörter oder Pin-Codes einzutippen, gerade, wenn es sie Dutzende Male am Tag nach Ablenkung oder neuen Nachrichten dürstet. Außerdem: Passwörter kann man vergessen oder verlieren, das eigene Gesicht nicht. Oder?

Fotostrecke

14  Bilder
Sicherheit am iPhone X: So funktioniert Face ID

Auch wenn Apple auf eine ausgeklügelte Technik setzt und offensiv mit der Sicherheit seines neuen Features wirbt: Die wenigsten Systeme sind auf Dauer gegen Angriffe geschützt. Meist ist es nur eine Frage der Zeit, bis es Forschern oder Kriminellen gelingt, Sicherheitssysteme zu knacken oder zumindest zu überlisten.

In den vergangenen Jahren konnte man zusehen, wie zahlreiche Hersteller bei dem Versuch gescheitert sind, ordentlich gesicherte Gesichtserkennungen zu entwickeln - mal mehr, mal weniger kläglich. Zum Austricksen der ersten Laptops, die sich mit einem Blick in die Webcam entsperren ließen, reichte manchmal ein ausgedrucktes Foto.

Hacker führten Samsung vor

Sogar Samsung hat sich schon blamiert: Als der Konzern im Frühjahr 2017 sein Vorzeige-Smartphone, das Galaxy S8, mit Iris-Erkennung auf den Markt brachte, konnte sich der Chaos Computer Club (CCC) schon bald damit rühmen, das System mit einer einfach nachzubauenden Attrappe genarrt zu haben. Zuvor war bereits die Gesichtserkennung des Telefons ausgetrickst worden.

Unsere Fotostrecke erinnert an diese und drei weitere Fälle, in denen Biometrie-Systeme versagt haben:

Apples Face ID macht es Hackern wesentlich schwerer: Mithilfe von zwei Kameras wird das Gesicht des Nutzers erfasst und vermessen; statt eines simplen Bildes erstellt das System anhand von 30.000 Punkten ein dreidimensionales Abbild des Nutzers - und erkennt ihn so später zuverlässig wieder.

Doch unschlagbar ist auch Face ID nicht. So zeigt das System offenbar bei Zwillingen und bei Kindern Schwächen. Und auch Forschern der vietnamesischen Sicherheitsfirma Bkav gelang es nach eigenen Angaben, das iPhone X mit einer speziellen Gesichtsmaske zu täuschen - nicht einmal eine Woche, nachdem sie das Gerät erhalten hatten. Später fanden sie angeblich sogar noch einen einfacheren Weg.

Gesichtserkennung kommt im Alltag an

Für IT-Experten und Forscher sind Biometriesysteme prestigeträchtige Ziele: Wer eines der bekannteren Systeme knackt, hat zum Beispiel die Chance, von Firmen als Berater oder Tester für ähnliche Projekte angefragt zu werden.

Durch das iPhone X könnte Gesichtserkennung nun zum "Must have" werden - und endgültig im Alltag ankommen. Besitzer des Geräts könnten sich schnell an den Komfort gewöhnen und damit auch an Instrumente, die sich - in abweichender, aber nicht völlig anderer Form - zur Überwachung einsetzen lassen, wie es aktuell am Berliner Südkreuz erprobt wird.

Vor allem aber werden nach Apples Vorstoß künftig immer mehr Firmen auf Gesichtserkennung setzen, darunter möglicherweise Unternehmen, die sich beim Sichern des Verfahrens deutlich weniger Mühe geben.

Vier von fünf Apps ausgetrickst

Wie wenig verlässlich viele Produkte auf dem Markt sind, zeigten 2016 Wissenschaftler der University of North Carolina: Sie versuchten damals, fünf populäre Gesichtserkennungs-Apps auszutricksen, indem sie den Smartphone-Kameras 3D-Modelle der Testpersonen vorsetzten. Die Wissenschaftler hatten dafür Fotos bei Facebook gesammelt, die Nutzer aus verschiedenen Blickwinkeln zeigten. Auf Basis der Bilder bildeten die Forscher dann virtuelle Köpfe am Computer nach.

In vier Fällen hatten die Forscher mit dieser Methode Erfolg, bei "KeyLemon", "Mobius", "True Key" und "BioID". Nur bei der "1U App" habe der Trick nicht funktioniert, erinnert sich Professor und Team-Mitglied Jan-Michael Frahm.

Dem Wissenschaftler zufolge lag das aber nicht daran, dass die Software besonders sicher sei: Man habe herausgefunden, dass der gescheiterte Täuschungsversuch "direkt mit der schlechten Benutzerfreundlichkeit zusammenhängt", sagt Frahm. Demnach hat die App große Probleme damit, den gleichen Nutzer bei unterschiedlichen Lichtverhältnissen wiederzuerkennen.

Das Gesicht lässt sich nicht zurücksetzen wie ein Passwort

Die Pannen und Hacks werfen ein Schlaglicht auf das vielleicht größte Problem von Biometrie-Schutzsystemen: Das eigene Passwort lässt sich hier nicht zurücksetzen, da es Teil des eigenen Körpers ist.

Wenn kriminelle Hacker erst einmal die Fingerabdrücke des Nutzers, ein Iris-Abbild oder ein 3D-Modell des Gesichts besitzen, bleibt dem Geschädigten nichts anderes übrig, als auf die Biometrie-Sicherung zu verzichten. Seine Daten wären sonst auf Dauer unsicher.

Je mehr Geräte biometrische Daten als Passwortersatz zulassen, umso größer kann die Gefahr werden: Was, wenn der Trick, mit dem sich das Telefon entsperren ließ, auch im Tresorraum oder am Firmeneingang funktioniert?

Für Kriminelle immer interessanter

Je mehr sich Systeme wie Face ID verbreiten, desto lukrativer dürfte es für Kriminelle werden, biometrische Daten zu erbeuten. "Wir haben den 3D-Druck und bald auch die Möglichkeit, lebensechte Masken zu erstellen", sagt Huang Xiao vom Fraunhofer-Institut für Angewandte und Integrierte Sicherheit. Wenn man auf solch einem Weg Zugang zum Online-Banking-Konto bekomme, sei das für Kriminelle "attraktiv".

Die Rechtsanwältin Jennifer Lynch von der US-Bürgerrechtsorganisation EFF formuliert eine wichtige Grundregel für Nutzer, die überlegen, ob sie auf Biometrie oder klassische Sicherungssysteme setzen wollen: Die biometrischen Informationen sollten nur auf dem jeweiligen Gerät liegen und nicht in eine Cloud übertragen werden - ein Ansatz, den Apple bei Face ID verfolgt. So können die eigenen, unveränderlichen Daten von Angreifern zumindest nicht direkt von den Servern eines Unternehmens erbeutet werden.

Zum Entsperren gezwungen

Prinzipiell könnte Nutzern, die biometrische Schutzfunktionen nutzen, auch die Rechtssituation zu denken geben, vor allem die in den USA. Im Bundesstaat Virginia etwa befand 2014 ein Bezirksgericht, dass ein Passcode vom 5. Zusatzartikel zur Verfassung der Vereinigten Staaten geschützt sei, berichtet Jennifer Lynch - ein Fingerabdruck aber nicht. Ein eigentlich "unvereinbares Ergebnis", sagt Lynch. Es war demnach legal, dass die Polizei einen Verdächtigen zwang, sein Gerät durch Fingerauflegen zu entsperren.

Vor diesem Hintergrund kann man sich fragen, was dem Nutzer eines iPhone X mit aktivierter Gesichtserkennung passieren kann: Anwältin Lynch zufolge jedenfalls ist es keine unrealistische Sorge, dass demnächst ein US-Polizist oder ein Grenzbeamter einen Verdächtigen dazu bringt, sein Smartphone zu entsperren, indem er es ihm einfach vors Gesicht hält.

Im Zweifel sollte man Face ID oder auch Touch ID vor einem Grenzübertritt also vielleicht ausschalten. Oder man macht es, wie es die EFF Menschen mit Sorge um ihre Daten empfiehlt: Man reist mit einem Smartphone, dass man vor dem Trip um wichtige Daten bereinigt hat. Dann ist es weniger schlimm, dass die Beamten allein durch die eigene Anwesenheit eine Chance haben, das Gerät zu entsperren.

Daten auf dem Smartphone sichern
Wie sichere ich die Daten auf meinem Smartphone?
Grundsätzlich sollte ein Smartphone mindestens mit einem Passwort oder einer PIN gesichert sein. Und am besten sollte es auch gar nicht viel verraten - warum, erklärt zum Beispiel Alexandra Wichmann. "Je weniger Daten mit sich geführt werden, desto weniger Gefahren bestehen naturgemäß für einen Eingriff in das Recht auf informationelle Selbstbestimmung", sagt die Hamburger Strafverteidigerin.

Dagegen, dass Daten zum Beispiel von einem gestohlenen Gerät einfach auf einen Computer übertragen werden können, hilft eine Geräteverschlüsselung, die sich bei neueren iOS- und Android-Geräten leicht aktivieren lässt. Die Smartphone-Inhalte sind dann mit einem Passcode geschützt, der beim Hochfahren des Geräts abgefragt wird. Der Nachteil: Vergisst der eigentliche Besitzer diesen Code, kommt auch er selbst nicht mehr an die Daten.
Sind Backups der Smartphone-Daten sinnvoll, etwa in der Cloud?
Allgemein ist es auf jeden Fall sinnvoll, wichtige Daten irgendwo jenseits des Smartphones selbst zu speichern. Zu schnell ist ein Handy im Zweifel ins Wasser gefallen oder verloren, gestohlen oder beschlagnahmt worden.

Wichtig dabei ist es jedoch, die Sicherheit des zweiten Speicherorts nicht außer Acht zu lassen. Denn was nützt etwa ein verschlüsseltes Smartphone, wenn sich die selben Daten einfach aus einer Cloud abgreifen lassen, die nur mit einem Standardpasswort geschützt ist?
Darf mich die Polizei zwingen, mein Handy zu entsperren?
Der Strafrechts-Fachanwalt Udo Vetter merkte 2014 in einem Blogpost an, dass jemand, der einer Straftat beschuldigt werde, ein umfassendes Schweigerecht habe. So müsse er auch keine Auskunft über Passwörter geben. Als in Deutschland "bislang nicht geklärten Grenzfall" beschrieb Vetter aber "Maßnahmen, bei denen der Betroffene selbst nicht aktiv werden muss": "Etwa wenn der Beschuldigte einen Fingerabdruck- oder Irisscan 'dulden' soll."

Der Strafverteidiger Ulrich Dost-Roxin rät Beschuldigten, die ohne gerichtlichen Beschluss ihr Smartphone entsperren sollen, sich (gewaltlos) zu wehren. Wird man trotz dieser Gegenwehr gezwungen, sein Gerät freizugeben - auf welche Art auch immer - könne der Anwalt im Strafprozess einen Verwertungswiderspruch erheben. Das bedeutet: Der Anwalt könnte versuchen zu erreichen, dass die durchs Entsperren des Smartphones erlangten Daten nicht im Prozess als Beweismittel verwertet werden dürfen.


insgesamt 16 Beiträge
Alle Kommentare öffnen
Seite 1
zeichenkette 01.12.2017
1. Was man auch bedenken sollte
Passwörter sich auch nicht gerade unmöglich abzugreifen. Wer eine vierstellige PIN eingibt oder ein Muster, dem kann man über die Schulter sehen oder mit einer Kamera filmen und schon hat man alles, was man braucht. Und wenn man das bei JEDER Benutzung des Geräts tun muss, dann gibt es mehr als genug Möglichkeiten dazu. Fingerabdruckscanner oder Gesichtserkennung zu überlisten ist viel aufwendiger, und man hat nicht unendlich viele Möglichkeiten, das auszuprobieren, denn nach ein paar Fehlversuchen fällt das Smartphone auf das Passwort zurück. Die ideale Lösung gibt es einfach nicht.
der_gezeichnete 01.12.2017
2. Nett...
aber wenig Relevanz. Die, die aus beruflichen oder persönlichen Gründen einen hohen Schutz ihr persönlichen Daten brauchen, würden Biometrische Daten nicht als Zugang nutzen, die wissen das auch. Das vorherrschende Problem unter den "normalen" Nutzern sind immer noch die zu einfachen Passwörter (Listen gibt es da ja dazu genug; z.B. 1234) bzw. das diese Passwörter dann auf zu vielen Plattformen mehrfach verwendet werden. Für den Normalo der sich keine Gedanken über die Qualität seiner Passwörter macht, für den ist jede Biometrische Absicherung ein eindeutiges Upgrade. Zudem gibt es dann auf der Seite der Dienstleister so Sachen wie die Sparkasse (Postbank hab ich gelesen ist da auch nicht besser?), wo das Passwort für den Zugang zum Onlinebanking nur 5 Zeichen haben darf.
juliaz 01.12.2017
3. So weit sind wir also schon...
Eigentlich ist die alte, längst als "unsicher" verteufelte Papier-TAN-Liste wieder das Sicherste, was man haben kann. Die muß ein Einbrecher überhaupt erst mal in die Finger bekommen, bevor er dann mit Passwörtern und Login-Daten Blödsinn machen kann. Planen die Biometrie-Fans eigentlich auch Dinge ein wie Unfälle, Make-up oder schlichtes Altern? Was, wenn ich mir die Haare blond färbe, durch Chemotherapie meine Augenbrauen verliere oder nach einer durchzechten Nacht verquollene Augen habe?
Hoschi 01.12.2017
4. Es ist ganz einfach!
Das Gesicht ist kaum zu duplizieren, aber die daraus gewonnen Daten sind duplizierbar. Daten kann man nur auf dem aktuellen technischen Stand schützen und der ist morgen schon von Gestern. Sorry, aber da hilft leider nur keine Daten zu produzieren die sich duplizieren lassen.
kuestenvogel 01.12.2017
5. Leider
Zitat von der_gezeichneteaber wenig Relevanz. Die, die aus beruflichen oder persönlichen Gründen einen hohen Schutz ihr persönlichen Daten brauchen, würden Biometrische Daten nicht als Zugang nutzen, die wissen das auch. Das vorherrschende Problem unter den "normalen" Nutzern sind immer noch die zu einfachen Passwörter (Listen gibt es da ja dazu genug; z.B. 1234) bzw. das diese Passwörter dann auf zu vielen Plattformen mehrfach verwendet werden. Für den Normalo der sich keine Gedanken über die Qualität seiner Passwörter macht, für den ist jede Biometrische Absicherung ein eindeutiges Upgrade. Zudem gibt es dann auf der Seite der Dienstleister so Sachen wie die Sparkasse (Postbank hab ich gelesen ist da auch nicht besser?), wo das Passwort für den Zugang zum Onlinebanking nur 5 Zeichen haben darf.
ist dieses bei der Consorsbank (& ex-DAB) nicht anders, während man z. B. bei der ING-DiBa zwei Passwörter eingibt: Ein selbst erdachtest inkl. mind. einem Sonderzeichen + zwei zufällige Zahlen von sechs. Mal abgesehen davon, dass es Menschen wie mich gibt, die bewusst kein Smartphone/webfähiges Handy verwenden, womit ich als Kunde wegfalle, was zu verschmerzen wäre: Letztendlich muss es jeder für sich entscheiden, noch hat man in vielen Bereichen die Wahl, in anderen Ländern sieht es schon anders (z. B. Bargeld/Kartenzahlung). Wie so oft werden sich wohl die meistgenutzten Verfahren durchsetzen, aber ich hoffe im eigenen Interesse sehr, dass Nischenlösungen für 36jährige Steinzeitmenschen erhalten bleiben ;), worauf ich vertraue. Für mich hat das Thema Biometrie grundsätzlich langfristig eher Nachteile als Vorteile. Ich war bei meinem letzten Reisepass 2010 bereits empört, dass ich meine Daumen scannen lassen musste - das täglich oder gar das gesamte Gesicht an einem Telefon/Computer umsetzen? Wieso sollte ich das tun wollen?
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2017
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.