Biometrie statt Passwort Auf den ersten Blick eine gute Idee

Moderne Smartphones lassen sich entsperren, indem man das Gerät nur kurz anschaut. Biometrische Daten könnten so zu Universal-Passwörtern werden - und dadurch auch für Kriminelle extrem wertvoll.
Serie Cybersicherheit

Serie Cybersicherheit

Foto: Michael Walter / DER SPIEGEL
Der digitale Kontrollverlust
Foto: Michael Walter / DER SPIEGEL

Dieser Artikel ist Teil der Serie "Der digitale Kontrollverlust" rund um die IT-Sicherheit von Privatnutzern, Firmen und Behörden. Lesen Sie alle Texte dazu auf unserer Themenseite. 

Das neue Luxus-Smartphone von Apple muss man zum Entsperren nicht einmal mehr berühren: Statt per Passwort oder per Fingerabdruck können sich Nutzer beim iPhone X auch per Gesichtserkennung einloggen. "Ein kurzer Blick auf das Display genügt, damit Face ID das iPhone X sicher entsperrt", verspricht Apple. "Mit Face ID können Sie außerdem Einkäufe im iTunes Store, App Store, iBooks Store sowie Zahlungen mit Apple Pay autorisieren."

Gesichtserkennungs-Software des iPhone X

Gesichtserkennungs-Software des iPhone X

Foto: Eric Risberg/ AP

Das Gesicht wird also zum Schlüssel - nicht nur fürs eigene Smartphone, sondern auch für Transaktionen.

So ein System hat seinen Reiz: Wenig hassen Smartphonenutzer mehr, als lange Passwörter oder Pin-Codes einzutippen, gerade, wenn es sie Dutzende Male am Tag nach Ablenkung oder neuen Nachrichten dürstet. Außerdem: Passwörter kann man vergessen oder verlieren, das eigene Gesicht nicht. Oder?

Fotostrecke

Sicherheit am iPhone X: So funktioniert Face ID

Foto: Stephen Lam/ REUTERS

Auch wenn Apple auf eine ausgeklügelte Technik setzt und offensiv mit der Sicherheit seines neuen Features wirbt: Die wenigsten Systeme sind auf Dauer gegen Angriffe geschützt. Meist ist es nur eine Frage der Zeit, bis es Forschern oder Kriminellen gelingt, Sicherheitssysteme zu knacken oder zumindest zu überlisten.

In den vergangenen Jahren konnte man zusehen, wie zahlreiche Hersteller bei dem Versuch gescheitert sind, ordentlich gesicherte Gesichtserkennungen zu entwickeln - mal mehr, mal weniger kläglich. Zum Austricksen der ersten Laptops, die sich mit einem Blick in die Webcam entsperren ließen, reichte manchmal ein ausgedrucktes Foto.

Hacker führten Samsung vor

Sogar Samsung hat sich schon blamiert: Als der Konzern im Frühjahr 2017 sein Vorzeige-Smartphone, das Galaxy S8, mit Iris-Erkennung auf den Markt brachte, konnte sich der Chaos Computer Club (CCC) schon bald damit rühmen , das System mit einer einfach nachzubauenden Attrappe genarrt zu haben. Zuvor war bereits die Gesichtserkennung des Telefons ausgetrickst worden.

Unsere Fotostrecke erinnert an diese und drei weitere Fälle, in denen Biometrie-Systeme versagt haben:

Fotostrecke

Smartphone-Sicherheit: Biometrie-Fails - Wenn Hacker das System narren

Foto: iDeviceHelp/ Youtube

Apples Face ID macht es Hackern wesentlich schwerer: Mithilfe von zwei Kameras wird das Gesicht des Nutzers erfasst und vermessen; statt eines simplen Bildes erstellt das System anhand von 30.000 Punkten ein dreidimensionales Abbild des Nutzers - und erkennt ihn so später zuverlässig wieder.

Doch unschlagbar ist auch Face ID nicht. So zeigt das System offenbar bei Zwillingen  und bei Kindern  Schwächen. Und auch Forschern der vietnamesischen Sicherheitsfirma Bkav gelang es nach eigenen Angaben, das iPhone X mit einer speziellen Gesichtsmaske zu täuschen  - nicht einmal eine Woche, nachdem sie das Gerät erhalten hatten. Später fanden sie angeblich sogar noch einen einfacheren Weg .

Gesichtserkennung kommt im Alltag an

Für IT-Experten und Forscher sind Biometriesysteme prestigeträchtige Ziele: Wer eines der bekannteren Systeme knackt, hat zum Beispiel die Chance, von Firmen als Berater oder Tester für ähnliche Projekte angefragt zu werden.

Durch das iPhone X könnte Gesichtserkennung nun zum "Must have" werden - und endgültig im Alltag ankommen. Besitzer des Geräts könnten sich schnell an den Komfort gewöhnen und damit auch an Instrumente, die sich - in abweichender, aber nicht völlig anderer Form - zur Überwachung einsetzen lassen, wie es aktuell am Berliner Südkreuz erprobt wird.

Vor allem aber werden nach Apples Vorstoß künftig immer mehr Firmen auf Gesichtserkennung setzen, darunter möglicherweise Unternehmen, die sich beim Sichern des Verfahrens deutlich weniger Mühe geben.

Vier von fünf Apps ausgetrickst

Wie wenig verlässlich viele Produkte auf dem Markt sind, zeigten 2016 Wissenschaftler der University of North Carolina: Sie versuchten damals, fünf populäre Gesichtserkennungs-Apps  auszutricksen, indem sie den Smartphone-Kameras 3D-Modelle der Testpersonen vorsetzten. Die Wissenschaftler hatten dafür Fotos bei Facebook gesammelt, die Nutzer aus verschiedenen Blickwinkeln zeigten. Auf Basis der Bilder bildeten die Forscher dann virtuelle Köpfe am Computer nach.

In vier Fällen hatten die Forscher mit dieser Methode Erfolg, bei "KeyLemon", "Mobius", "True Key" und "BioID". Nur bei der "1U App" habe der Trick nicht funktioniert, erinnert sich Professor und Team-Mitglied Jan-Michael Frahm.

Dem Wissenschaftler zufolge lag das aber nicht daran, dass die Software besonders sicher sei: Man habe herausgefunden, dass der gescheiterte Täuschungsversuch "direkt mit der schlechten Benutzerfreundlichkeit zusammenhängt", sagt Frahm. Demnach hat die App große Probleme damit, den gleichen Nutzer bei unterschiedlichen Lichtverhältnissen wiederzuerkennen.

Das Gesicht lässt sich nicht zurücksetzen wie ein Passwort

Die Pannen und Hacks werfen ein Schlaglicht auf das vielleicht größte Problem von Biometrie-Schutzsystemen: Das eigene Passwort lässt sich hier nicht zurücksetzen, da es Teil des eigenen Körpers ist.

Wenn kriminelle Hacker erst einmal die Fingerabdrücke des Nutzers, ein Iris-Abbild oder ein 3D-Modell des Gesichts besitzen, bleibt dem Geschädigten nichts anderes übrig, als auf die Biometrie-Sicherung zu verzichten. Seine Daten wären sonst auf Dauer unsicher.

Je mehr Geräte biometrische Daten als Passwortersatz zulassen, umso größer kann die Gefahr werden: Was, wenn der Trick, mit dem sich das Telefon entsperren ließ, auch im Tresorraum oder am Firmeneingang funktioniert?

Für Kriminelle immer interessanter

Je mehr sich Systeme wie Face ID verbreiten, desto lukrativer dürfte es für Kriminelle werden, biometrische Daten zu erbeuten. "Wir haben den 3D-Druck und bald auch die Möglichkeit, lebensechte Masken zu erstellen", sagt Huang Xiao vom Fraunhofer-Institut für Angewandte und Integrierte Sicherheit. Wenn man auf solch einem Weg Zugang zum Online-Banking-Konto bekomme, sei das für Kriminelle "attraktiv".

Die Rechtsanwältin Jennifer Lynch von der US-Bürgerrechtsorganisation EFF formuliert eine wichtige Grundregel für Nutzer, die überlegen, ob sie auf Biometrie oder klassische Sicherungssysteme setzen wollen: Die biometrischen Informationen sollten nur auf dem jeweiligen Gerät liegen und nicht in eine Cloud übertragen werden - ein Ansatz, den Apple bei Face ID verfolgt. So können die eigenen, unveränderlichen Daten von Angreifern zumindest nicht direkt von den Servern eines Unternehmens erbeutet werden.

Zum Entsperren gezwungen

Prinzipiell könnte Nutzern, die biometrische Schutzfunktionen nutzen, auch die Rechtssituation zu denken geben, vor allem die in den USA. Im Bundesstaat Virginia etwa befand 2014 ein Bezirksgericht, dass ein Passcode vom 5. Zusatzartikel zur Verfassung der Vereinigten Staaten geschützt sei, berichtet Jennifer Lynch - ein Fingerabdruck aber nicht. Ein eigentlich "unvereinbares Ergebnis", sagt Lynch. Es war demnach legal, dass die Polizei einen Verdächtigen zwang, sein Gerät durch Fingerauflegen zu entsperren.

Vor diesem Hintergrund kann man sich fragen, was dem Nutzer eines iPhone X mit aktivierter Gesichtserkennung passieren kann: Anwältin Lynch zufolge jedenfalls ist es keine unrealistische Sorge, dass demnächst ein US-Polizist oder ein Grenzbeamter einen Verdächtigen dazu bringt, sein Smartphone zu entsperren, indem er es ihm einfach vors Gesicht hält.

Im Zweifel sollte man Face ID oder auch Touch ID vor einem Grenzübertritt also vielleicht ausschalten. Oder man macht es, wie es die EFF Menschen mit Sorge um ihre Daten empfiehlt: Man reist mit einem Smartphone, dass man vor dem Trip um wichtige Daten bereinigt hat. Dann ist es weniger schlimm, dass die Beamten allein durch die eigene Anwesenheit eine Chance haben, das Gerät zu entsperren.

Daten auf dem Smartphone sichern

Die Wiedergabe wurde unterbrochen.