spektrum.de, 24. September 2013
Schon zwei Tage nach Verkaufsstart des neuen iPhone wird der viel beworbene Fingerabdruck-Sensor mit einfachsten Mitteln gehackt. Diese Blamage hätte Apple sich ersparen können, denn sie war absehbar: Der Konzern hat auf die falsche Technologie gesetzt.
Seit wenigen Tagen ist das neue iPhone 5S auf dem Markt. Was die Fachwelt im Vorfeld besonders neugierig machte, war die angekündigte Fingerabdruck-Identifizierung: Der Besitzer legt seinen Finger auf den Scanner, und das Gerät entsperrt sich. Freilich gibt es diese Technologie schon länger. Aber sie wurde in der Vergangenheit immer wieder geknackt: Die Identifizierung via Fingerabdruck galt als unsicher. Mit welchen Kniffen also hatten die Apple-Forscher die Technologie verbessert? Jetzt wissen wir: Überhaupt nicht.
Schon zwei Tage nach Verkaufsstart des neuen iPhone hat der Chaos Computer Club sie gehackt – mit einfacher Bastelei, wie das Video der Aktion zeigt. Die gleiche Methode hatte der CCC bereits neun Jahre zuvor angewendet und als Bastelanleitung ins Netz gestellt. Spätestens damit wurde die Fingerabdruck-Technologie als unsicher entlarvt. Und offenbar wurde sie bis heute nicht wesentlich verbessert.
Dabei ist der Traum der Informatik nachvollziehbar: Maschinen mit menschlichen Eigenheiten wie einem intuitiven Misstrauen würden vieles erleichtern. Ein Gerät, das seinen legitimen Benutzer ohne dessen Zutun erkennt, gerade so als wären sie alte Freunde, würde viele Probleme lösen. Vor allem das des faulen Handybesitzers, der sich um die Sicherheit seiner Daten nicht schert und häufig ganz darauf verzichtet, sein Smartphone zu sperren – aus purer Bequemlichkeit, wie Studien belegen. Auch das Problem des unkreativen Users, der zur Identifizierung gerne Passwörter wie „123456“ oder „password“ verwendet, wäre gelöst: Ein Fingerabdruck ist einzigartig, man kann ihn nicht einfach so durch Ausprobieren erraten wie meistgenutzten Passwörter.
Lange Zeit hat die Informatik die Bedenken der Bevölkerung nicht ernst genommen
Aber genau hier setzt das Problem an: Lange Zeit hat die Informatik die Bedenken der Bevölkerung gegenüber biometrischen Maßnahmen nicht ernst genommen. Diese mögen teilweise unbegründet gewesen sein. Eine Identifizierung über die Augeniris beispielsweise ist vielen Menschen unheimlich, ohne dass sie genau begründen können, wieso. Sie wollen einfach nicht, dass ihnen eine Maschine tief in die Augen blickt. Auch ihren Fingerabdruck wollen viele nicht gerne „hergeben“. „Ihr gebt ihn ja auch nicht her“, war bisher die Antwort der Forscher darauf. Womöglich lagen sie damit falsch: Spätestens seit dem NSA-Skandal wissen wir, dass der Speicher eines Handys tatsächlich kein sicherer Ort ist. Mit einfachen Methoden und dank der Hilfe von Google und Co. können zumindest Geheimdienste darauf zugreifen. Damit besteht tatsächlich die Gefahr, dass der Fingerabdruck geklaut wird. Und im Gegensatz zu einem Passwort kann man den nicht einfach ersetzen. Der Vorteil des Fingerabdrucks – seine Einzigartigkeit – ist gleichzeitig auch sein großer Nachteil: einmal weg, für immer weg.
Wer dennoch und ausgerechnet wenige Monate nach dem NSA-Skandal eine solche Identifizierung auf den Markt bringt und sich auch noch mit ihrer Sicherheit brüstet - der sollte sich vorher vergewissern, dass die angeblich neue Technologie nicht so einfach gehackt werden kann. Es gibt in der Informatik viel kreativere Ansätze, wie sich der Nutzer gegenüber seinem Gerät identifizieren kann als über seinen Fingerabdruck. Auch die bekannten Verfahren wie PINs, Passwörter oder die Android-Musterauthentifizierung sind von der Forschung überholt. Neue Ansätze kombinieren beispielsweise Muster mit biometrischen Faktoren wie der Art, wie der Nutzer diese zeichnet. Sie nutzen Eyetracking ebenso Bewegungen des Nutzers. Und sie kommen ohne Fingerabdrücke aus. Die Konzerne täten gut daran, in die kreativen Köpfe zu investieren und die viel versprechenden Ansätze aus den Laboren der Universitäten zu holen, anstatt eine alte unsichere Technologie auszugraben und sie als neu zu verkaufen.
von Eva Wolfangel