Auf dem Smartphone oder dem Tablet sind alle möglichen sensiblen Daten gespeichert: private und geschäftliche E-Mails, Zugangsdaten zu Social-Media-Konten, Adressdaten und vieles mehr. Wenn diese Daten in die falschen Hände geraten, ist das oft eine Katastrophe.
In der Regel schützt ein Zugangscode oder ein Entsperrmuster vor unerwünschten Zugriffen. Da die häufige Eingabe vielen Nutzern lästig ist, versucht die Branche seit etwa zwei Jahren, eine neue Methode zu etablieren: Den Zugang über den Fingerabdruck.
Neben dem Zugang zum Gerät selbst kann man den Fingerabdruck auch für den Zugang zu verschiedenen sensiblen Apps benutzen: im App-Store einkaufen, sich beim Online-Cloudspeicher Dropbox anmelden, seine Google Docs bearbeiten, Online-Banking-Apps nutzen und vieles mehr.
Was muss man beachten?
Eigentlich hört sich das an wie eine gute Idee: Per Fingerabdruck ist das Smartphone mit all den sensiblen Daten entsperrt. Da der Fingerabdruck eines Menschen einmalig ist, sollte es keine Probleme geben – nur die Person, deren Fingerabdrücke gespeichert sind, kommt an die Daten. Der Teufel steckt wie so oft im Detail. Es stellen sich dabei zwei verschiedene Fragen:
- Wie sinnvoll ist es grundsätzlich, biometrische Daten zur Identifikation zu benutzen?
- Ist die eingesetzte Technik auch wirklich sicher?
Wie sinnvoll sind biometrische Daten zur Identifikation?
Im Gegensatz zu Passwörtern kann man seine Fingerabdrücke nicht ändern. Ist der Fingerabdruck einmal im Umlauf, kann er nicht mehr zurückgeholt werden. Das ist das grundsätzliche Problem bei der Verwendung biometrischer Daten zur Authentifizierung. Gerade Fingerabdrücke hinterlassen wir andauernd, indem wir Gegenstände anfassen, und zwar nicht nur im privaten Rahmen, sondern auch im öffentlichen.
Hacken mit Fingerabdruck-Attrappe
Hacker vom Chaos Computer Club haben schon bald nach der Einführung von Fingerabdruck-Sensoren (Touch ID) beim iPhone – inzwischen auch beim iPad – gezeigt, dass es möglich ist, eine Fingerabdruck-Attrappe zu basteln und damit ein iPhone zu entsperren.
Das Herstellen einer Fingerabdruck-Attrappe ist aber nicht ganz trivial. Man muss zuerst einen vollständigen Fingerabdruck bekommen, ihn auf einen Träger übertragen und daraus die Attrappe basteln. Die Gefahr für Otto-und-Erna-Normalverbraucher hält sich daher in Grenzen. Ein weiterer Aspekt ist, dass man einen Fingerabdruck leichter erzwingen kann als die Herausgabe eines Passwortes – etwa durch den Einsatz von Gewalt.
Wer hat Zugang?
Auf der anderen Seite ist ein Fingerabdruck komplizierter und damit gegen einige Angriffe besser geschützt als eine vierstellige PIN oder ein einfaches Passwort wie „passwort“. Das ist keine theoretische Gefahr: Solche Passwörter halten sich erstaunlicherweise seit Jahren auf den TOP-10-Listen der meistgenutzten Passwörter - trotz der Warnungen von Experten.
Dabei muss man darauf achten, wem man Zugang zu seinem Gerät gibt. Kinder zum Beispiel sollten nicht per Fingerabdruck Online-Geschäfte abschließen können. Bei Apple-Geräten kann man daher die Touch ID so einstellen, dass damit nur das Gerät entsperrt werden kann, aber keine Apps wie der App-Store. Auch bei Android-Geräten lässt sich die Nutzung durch Andere einschränken.
Grundsätzlich lässt sich die Funktion „Fingerabdruck zur Identifikation“ auch abschalten. Wer möchte, kann weiterhin mit Passwörtern, Codes und Entsperrmustern arbeiten – die ihre eigenen Sicherheitsprobleme haben.
Wie sicher sind Fingerabdruck-Scanner?
Technik bei Apple
Apple hat im September 2013 mit dem iPhone 5s sein erstes Gerät mit Fingerabdruck-Sensor – von Apple als Touch ID bezeichnet – veröffentlicht. Inzwischen sind auch das iPhone 6 und 6 plus, das iPad Air 2 und das iPad mini 3 mit Touch ID ausgestattet.
Apple ist allerdings nicht der erste Hersteller, der Fingerabdruck-Sensoren zur Identifikation verwendet hat. Schon vorher gab es Android-Smartphones verschiedener Hersteller, die Fingerabdruck-Sensoren verbaut hatten. Stand August 2015 haben zum Beispiel das Samsung S5, und verschiedene Geräte von HTC, Motorola und LG Fingerabdruck-Sensoren verbaut.
Allerdings ist bei den Apple-Geräten die Unterstützung für den Fingerabdruck-Sensor direkt ins Betriebssystem integriert. Der Fingerabdruck ist dabei unabhängig von den restlichen Daten auf einem eigenen Chip verschlüsselt gespeichert, sodass potentielle Angreifer nicht ihn herankommen. Er wird auch niemals als Grafik gespeichert.
Stattdessen wird aus dem Fingerabdruck beim Scannen ein mathematischer Wert generiert und gespeichert. Dieser Wert, auch Hash genannt, wird bei der Authentifizierung dann verglichen. Man kann von ihm nicht wieder auf den ursprünglichen Fingerabdruck zurückrechnen.
Technik bei Android
Bei den Android-Geräten unterstützt das Betriebssystem erst ab Version 6 (Marshmallow) Fingerabdruck-Sensoren. Die Hersteller von Geräten, die Android 6 nicht unterstützen, probieren daher selbst Softwarelösungen aus. Diese sind unterschiedlich sicher: Bei einem Gerät von HTC haben Sicherheitsexperten kürzlich herausgefunden, dass der Fingerabdruck unverschlüsselt als Grafik auf dem Smartphone gespeichert wurde.
Android 6 unterstützt Fingerabdruck-Sensoren direkt und bewahrt die Daten sicher auf. Damit können Nutzer dann wie bei Apple das Gerät entsperren und im Play-Store bezahlen. Entwickler haben die Möglichkeit haben, über eine Schnittstelle die Funktion für ihre Apps zu verwenden.
Aber auch wenn der Fingerabdruck verschlüsselt ist, ist es wie beim iPhone möglich, mit einer Fingerabdruck-Attrappe den Scanner zu überlisten.
Fazit
Vor allem Apples Touch ID wird von Experten als einigermaßen sicher angesehen. Allerdings sollte man sich genau überlegen, wofür man die Autorisierung per Fingerabdruck-Scanner einsetzt. Vor allem wenn es darum geht, Waren zu kaufen oder Geld zu transferieren, sollte man sich nicht allein auf den Fingerabdruck-Scanner verlassen, sondern zusätzliche Sicherungsmaßnahmen ergreifen.
Mehr zum Thema bei mobilsicher.de
Mehr dazu im Netz
- Marc Rogers: Why I hacked Apple's Touch ID, and still think it is awesome, 23.09.2013
- Futurezone.at: Forscher: HTC speichert Fingerabdrücke unverschlüsselt ab, 10.8.2015