Daumen drauf, Augen auf: Biometrie-Sicherung im Alltag

+
Schau mir tief in die Augen: Beim Iris-Scan wird das Muster der Netzhaut als Identifikationsmerkmal genutzt. Windows 10 unterstützt diese Sicherungsfunktion mit Hilfe spezieller Kameras. Foto: Henrik Josef Boerger

Fingerabdruck und Iris-Scan - was früher nur im Krimi auftauchte, zieht in unseren Alltag ein. Immer mehr Smartphone- und Computer-Hersteller setzen auf Biometrie als Feature und appellieren dabei an unsere Bequemlichkeit. Aber ist das auch sicher?

Darmstadt/Bonn (dpa/tmn) - Der Fingerabdruck entsperrt das Telefon, der Computer schaltet per Gesichtserkennung den Bildschirm frei. Biometrische Authentifizierung war vor einigen Jahren noch Science-Fiction. Heutzutage sind die Mechanismen schon lange Normalität.

Bei den meisten teureren Smartphones ist der Fingerabdruckscanner bereits Standard, immer mehr Notebooks kommen hinzu. Doch was gibt es für Verfahren, wozu sind sie gut und welche Risiken gibt es?

Das bekannteste und am meisten verbreitete Verfahren ist der Fingerabdruck. Spätestens seit der Einführung des elektronischen Reisepasses wird jeder irgendwann damit konfrontiert sein, seine Fingerabdrücke zu scannen. Für Matthias Gärtner vom Bundesamt für Sicherheit in der Informationstechnik (BSI) bringt das einen einfachen Vorteil: "Es ist ein bequemes Verfahren. Seinen Fingerabdruck kann man nicht vergessen oder verlieren wie ein Passwort oder eine PIN-Nummer."

Im Alltag spielt der Fingerabdruck aber besonders beim Smartphone eine große Rolle. Seit dem iPhone 5s verbaut Apple in seinen Smartphones einen Fingerabdruckscanner. Das Verfahren heißt bei Apple "Touch ID" und dient vorrangig einem Zweck: Das Telefon einfach ohne PIN und Wischgeste entsperren. Das ist für Andreas Braun vom Fraunhofer Institut für Graphische Datenverarbeitung (IDG) auch die wichtigste Funktion der biometrischen Verfahren: "60 bis 70 Prozent der Smartphone-Nutzer verwenden gar keine Sperren, weil ihnen eine PIN-Eingabe zu lange dauert. Mit dem Fingerabdruck geht es aber sehr schnell", sagt er. Der Nutzer bemerkt den Anmeldevorgang gar nicht.

Fast alle Premiumgeräte haben mittlerweile einen Fingerabdrucksensor an Bord. Bei Samsung ist er ab dem Galaxy S5 dabei, Google hat ihn ab dem Nexus 5x, das Sony Xperia Z5 hat einen, und auch das LG G5 kann damit dienen. Auch viele Notebooks bringen bereits Fingerscanner mit. LG hat 2014 beim G3 eine andere Alternative zu PIN oder Wischgesten eingeführt: Mit dem Knock Code kann man in einem beliebigen Rhythmus auf das Display klopfen. Die Geste zum Entsperren wird dadurch sehr persönlich und schnell.

Microsoft setzt auf ein anderes biometrisches Verfahren, das an James Bond-Filme erinnert: den Iris- und Gesichts-Scan. Windows Hello heißt das ab der Windows-Version 10. Es funktioniert über Fingerabdrücke, besonders ist aber der Iris- und Gesichtsscan. Für den ist allerdings eine spezielle Kamera nötig. "Die Kamera muss in der Lage sein, ein reales Gesicht von einem Foto zu unterscheiden. Tiefenwahrnehmung oder Infrarotlicht kann dafür genutzt werden. Genauso sind kleine Bewegungen im Gesicht wichtig", erklärt Andreas Braun. Im Lumia 950 ist eine solche Infrarot-Kamera verbaut, und auch die neuesten Surface-Tablets setzen auf "Windows Hello".

Fingerabdrücke und Gesichtsscanner können natürlich nicht nur zum Entsperren oder Anmelden genutzt werden. Sie können auch als Sicherheitskontrolle beim Verschlüsseln von Daten oder zur Authentifizierung bei Online-Accounts genutzt werden. Das ist bequemer, als sich ein Passwort zu merken. Sicherer ist es aber nicht, wie Chris Wojzechowski vom Institut für Internet-Sicherheit erklärt: "Auch biometrische Verfahren kann man überlisten. Seine Fingerabdrücke hinterlässt man überall. Smartphones sind praktisch damit übersät und bringen den Schlüssel zum Schloss schon mit."

Tatsächlich hinterlässt man bei der Nutzung eines Fingerabdrucksensors auch gleich einen Fingerabdruck auf dem Sensor. Schon mit profanen Mitteln wie Holzleim lässt sich ein Duplikat erzeugen. Auch ein hochauflösendes Foto kann ausreichen, einen Gesichtsscanner zu überlisten, wenn man ihm denn vorgaukeln kann, dass er ein lebendiges Gesicht scannt. Außerdem kann man Gesicht und Fingerabdruck schlecht ändern, Passwörter aber schon. Bei hochsensiblen Daten sollte also doch ein Passwort her, am besten aber beides, denn doppelt hält besser.

"Der Fingerabdruck reicht nicht aus, um sich zu schützen", warnt Wojzechowski daher. Er rät stattdessen dazu, ein starkes Passwort aus Zahlen, Buchstaben und Sonderzeichen zu nutzen. Biometrische Verfahren dienen vor allem dem Komfort, aber mit etwas Aufwand sind sie teils leichter zu überwinden als das herkömmliche Passwort. Außerdem werden die biometrischen Daten ja vom Gerät selbst oder sogar in den Datenbanken der Hersteller gespeichert. Es ist nie auszuschließen, dass diese Daten auch mal in falsche Hände geraten.

Kommentare