Abo
  • Services:

iPhone-5S-Fingerabdruckscanner: "Es ging Apple um Bequemlichkeit, nicht um Sicherheit"

Jan Krissler hatte wenig Mühe, den Fingerabdruckscanner im iPhone 5S zu überwinden. Im Interview erklärt er, warum Passwörter meist besser sichern als Biometrie.

Artikel veröffentlicht am , Kai Biermann/Zeit Online
iPhone 5S mit Touch ID
iPhone 5S mit Touch ID (Bild: George Frey/Bloomberg via Getty Images)

Zeit Online: Du hast den Fingerabdruckscanner des iPhone 5S gehackt, warum?

Stellenmarkt
  1. BüchnerBarella Holding GmbH & Co. KG, Gießen
  2. DLR Deutsches Zentrum für Luft- und Raumfahrt e.V., Berlin

Jan Krissler: Ich beschäftige mich seit mehr als zehn Jahren mit der Sicherheit von biometrischen Systemen, insbesondere mit deren Überwindung. Ab und zu, wenn ein neues Produkt auf den Markt kommt, guck ich mir das an, schaue, ob die alten Techniken zur Überwindung noch funktionieren, oder ob es neue Herausforderungen gibt. Beim Touch-ID-Sensor ging ich von einer Herausforderung aus, wurde aber leider enttäuscht.

Zeit Online: Eignen sich Fingerabdrücke überhaupt, um ein Telefon, eine Tür oder andere Dinge zu sichern?

Krissler: Wie bei allen biometrischen Systemen muss man sich die Frage stellen, welche Daten oder Dinge man damit schützen will. Wenn deren Wert den Aufwand übersteigt, ein System zu knacken, ist die einfach zu überwindende Biometrie vielleicht nicht die beste Wahl.

Zeit Online: Das heißt, Biometrie ist einfacher zu überwinden als beispielsweise ein Passwort?

Krissler: Das hängt vom Passwort und vom Umgang des Benutzers damit ab, und natürlich auch vom biometrischen System. Meine Passwörter halte ich zumindest für sicherer als meinen Fingerabdruck. Das Problem ist, dass man Fingerabdrücke überall hinterlässt, dass Gesichter unbemerkt fotografiert werden können. Mein Passwort ist in meinem Kopf, und wenn ich bei der Eingabe vorsichtig bin, bleibe ich auch der Einzige, der es kennt.

Zeit Online: Welche biometrischen Daten wären geeignet, um eine Zugangskontrolle einzurichten?

Krissler: Es gibt Merkmale, die besser und Merkmale, die schlechter geeignet sind. Zu den besseren gehören solche, die man nicht überall hinterlässt, beziehungsweise die nicht einfach und unbemerkt abgenommen werden können. Also Merkmale, die man tatsächlich nur an dem passenden Sensor auslesen kann. Das Venenmuster ist dafür ein gutes Beispiel. Ich hatte auch angenommen, dass Apple so etwas einsetzt. Immerhin wurde bei der Vorstellung des iPhones erklärt, der Scanner habe eine subepidermale Fingererkennung, also eine, die nicht allein auf Fingerlinien an der Oberfläche setzt. Ehrlich gesagt, war ich schockiert, dass es so einfach war, ihn zu überwinden.

Aber auch bei anderen Verfahren wie Venenmustern muss klar sein: Kommt jemand an ein solches Merkmal, wird er eine Möglichkeit finden, es nachzubilden und so das System zu überwinden.

Es ist ein Problem, dass sich so alle an Biometrie gewöhnen

Zeit Online: Warum wird Biometrie dann derzeit so stark als Sicherheitsinstrument propagiert?

Krissler: Da steht eine große Industrie dahinter, und in der Theorie ist Biometrie auch geeignet, Menschen zu erkennen.

Zeit Online: Aber ist es nicht so, dass Biometrie zwar prima funktioniert, um jemanden eindeutig zu identifizieren, aber nicht so gut taugt, um etwas damit zu sichern?

Krissler: Man kann Systeme recht gut anpassen, wenn sie nur wenige Menschen voneinander unterscheiden sollen. Die Fehlerraten sind dann gering. Sobald man aber die gesamte Menschheit, oder eben alle iPhone-Nutzer, als Zielgruppe hat, wird das nahezu unmöglich. Weil deren Merkmale einfach zu stark variieren. Biometrie hat eben auch ihre Schwächen. Anders als bei Passwörtern, die entweder falsch oder richtig sind, gibt es immer nur eine gewisse Wahrscheinlichkeit der Übereinstimmung. Der TouchID-Scanner ist daher nicht wirklich ein Sicherheitsverfahren, er ist ein bequemes Verfahren. Apple hätte das Ganze bestimmt auch sicher machen können. Aber dann wären bei dem Versuch, ihr iPhone anzuschalten, zu viele Menschen zu oft zurückgewiesen worden.

Viele nutzen gar keinen Passcode bei ihrem Smartphone, da ist ein Fingerabdruck immer noch besser als gar nichts - wie auch Apple bei der Vorstellung sagte. Aber es geht hier ganz offensichtlich um Bequemlichkeit und leichte Bedienbarkeit, nicht um Sicherheit. Daher würde ich TouchID im Zusammenhang mit sicheren Verfahren auch gar nicht bewerten wollen.

Zeit Online: Das iPhone hat einen hohen Status, viele finden es toll. Ist es ein Problem, wenn ein so beliebtes Gerät auf Biometrie setzt und damit ein, sagen wir, problematisches Sicherheitsverfahren verbreitet?

Krissler: Das hat ja schon mit den Fingerabdrücken im Personalausweis und im Pass angefangen. Damit wurden Verfahren, die eigentlich dazu gedacht waren, Straftäter zu identifizieren, in die Allgemeinheit getragen. Das ist natürlich problematisch. Einerseits, weil dabei Daten anfallen, die nicht anfallen müssten und die für andere Dinge missbraucht werden könnten. Andererseits, weil sich so alle an Biometrie gewöhnen und sie für alle möglichen Anwendungen einsetzen. Das beste Beispiel dafür ist Hamburg. Dort mussten an einer Schule alle Schüler ihre Fingerabdrücke abgeben, um ihr Mittagessen zu bekommen.

Das Interview wurde schriftlich via Jabber geführt.



Anzeige
Spiele-Angebote
  1. 4,99€
  2. 4,99€
  3. 4,99€
  4. (-40%) 11,99€

supersu 30. Sep 2013

Selbst wenn es nur aus Bequemlichkeit ist, ich finde es super angenehm, es geht shr...

Peter Brülls 28. Sep 2013

Nein. Bist Du nicht.

User_x 27. Sep 2013

.

User2 27. Sep 2013

Ich find es gut das man hier noch Ehrlich die User aufklärt :-) Auch wenn einige sich...

Ork 27. Sep 2013

Das ist schon ein Hack. Hacks haben ja nicht zwangsweise etwas mit Programmierung...


Folgen Sie uns
       


Sekiro - Test

Ein einsamer Kämpfer und sein Katana stehen im Mittelpunkt von Sekiro - Shadows Die Twice. Das Actionspiel von From Software schickt Spieler in ein spannendes Abenteuer voller Herausforderungen.

Sekiro - Test Video aufrufen
Adblock Plus: Adblock-Filterregeln können Code ausführen
Adblock Plus
Adblock-Filterregeln können Code ausführen

Unter bestimmten Voraussetzungen können Filterregeln für Adblocker mit einer neuen Funktion Javascript-Code in Webseiten einfügen. Adblock Plus will reagieren und die entsprechende Funktion wieder entfernen. Ublock Origin ist nicht betroffen.
Von Hanno Böck

  1. Urheberrecht Axel-Springer-Verlag klagt erneut gegen Adblocker
  2. Whitelisting erlaubt Kartellamt hält Adblocker-Nutzung für "nachvollziehbar"
  3. Firefox Klar Mozilla testet offenbar Adblocker

Swobbee: Der Wechselakku kommt wieder
Swobbee
Der Wechselakku kommt wieder

Mieten statt kaufen, wechseln statt laden: Das Berliner Startup Swobbee baut eine Infrastruktur mit Lade- und Tauschstationen für Akkus auf. Ein ähnliches Geschäftsmodell ist schon einmal gescheitert. Dieses kann jedoch aufgehen.
Eine Analyse von Werner Pluta

  1. Elektromobilität Seoul will Zweirad-Kraftfahrzeuge und Minibusse austauschen
  2. Rechtsanspruch auf Wallboxen Wohnungswirtschaft warnt vor "Schnellschuss" bei WEG-Reform
  3. Innolith Energy Battery Schweizer Unternehmen entwickelt sehr leistungsfähigen Akku

Orientierungshilfe: Wie Webseiten Nutzer tracken dürfen - und wie nicht
Orientierungshilfe
Wie Webseiten Nutzer tracken dürfen - und wie nicht

Für viele Anbieter dürfte es schwierig werden, ihre Nutzer wie bisher zu tracken. In monatelangen Beratungen haben die deutschen Datenschützer eine 25-seitige Orientierungshilfe zum DSGVO-konformen Tracking ausgearbeitet.
Ein Bericht von Christiane Schulzki-Haddouti

  1. Cookie-Banner Deutsche Datenschützer spielen bei Nutzertracking auf Zeit
  2. Fossa EU erweitert Bug-Bounty-Programm für Open-Source-Software
  3. EU-Zertifizierung Neues Gesetz soll das Internet sicherer machen

    •  /