iPhone-5S-Fingerabdruckscanner: "Es ging Apple um Bequemlichkeit, nicht um Sicherheit"

Jan Krissler hatte wenig Mühe, den Fingerabdruckscanner im iPhone 5S zu überwinden. Im Interview erklärt er, warum Passwörter meist besser sichern als Biometrie.

Artikel veröffentlicht am , Kai Biermann/Zeit Online
iPhone 5S mit Touch ID
iPhone 5S mit Touch ID (Bild: George Frey/Bloomberg via Getty Images)

Zeit Online: Du hast den Fingerabdruckscanner des iPhone 5S gehackt, warum?

Stellenmarkt
  1. Dashboard Manager (m/w/d) - Vertriebssteuerung
    Mainova AG, Frankfurt am Main
  2. IT-Einkäuferin (m/w/d)
    SOS-Kinderdorf e.V., München
Detailsuche

Jan Krissler: Ich beschäftige mich seit mehr als zehn Jahren mit der Sicherheit von biometrischen Systemen, insbesondere mit deren Überwindung. Ab und zu, wenn ein neues Produkt auf den Markt kommt, guck ich mir das an, schaue, ob die alten Techniken zur Überwindung noch funktionieren, oder ob es neue Herausforderungen gibt. Beim Touch-ID-Sensor ging ich von einer Herausforderung aus, wurde aber leider enttäuscht.

Zeit Online: Eignen sich Fingerabdrücke überhaupt, um ein Telefon, eine Tür oder andere Dinge zu sichern?

Krissler: Wie bei allen biometrischen Systemen muss man sich die Frage stellen, welche Daten oder Dinge man damit schützen will. Wenn deren Wert den Aufwand übersteigt, ein System zu knacken, ist die einfach zu überwindende Biometrie vielleicht nicht die beste Wahl.

Golem Karrierewelt
  1. CEH Certified Ethical Hacker v12: virtueller Fünf-Tage-Workshop
    30.01.-03.02.2023, Virtuell
  2. Kotlin für Java-Entwickler: virtueller Zwei-Tage-Workshop
    16./17.03.2023, Virtuell
Weitere IT-Trainings

Zeit Online: Das heißt, Biometrie ist einfacher zu überwinden als beispielsweise ein Passwort?

Krissler: Das hängt vom Passwort und vom Umgang des Benutzers damit ab, und natürlich auch vom biometrischen System. Meine Passwörter halte ich zumindest für sicherer als meinen Fingerabdruck. Das Problem ist, dass man Fingerabdrücke überall hinterlässt, dass Gesichter unbemerkt fotografiert werden können. Mein Passwort ist in meinem Kopf, und wenn ich bei der Eingabe vorsichtig bin, bleibe ich auch der Einzige, der es kennt.

Zeit Online: Welche biometrischen Daten wären geeignet, um eine Zugangskontrolle einzurichten?

Krissler: Es gibt Merkmale, die besser und Merkmale, die schlechter geeignet sind. Zu den besseren gehören solche, die man nicht überall hinterlässt, beziehungsweise die nicht einfach und unbemerkt abgenommen werden können. Also Merkmale, die man tatsächlich nur an dem passenden Sensor auslesen kann. Das Venenmuster ist dafür ein gutes Beispiel. Ich hatte auch angenommen, dass Apple so etwas einsetzt. Immerhin wurde bei der Vorstellung des iPhones erklärt, der Scanner habe eine subepidermale Fingererkennung, also eine, die nicht allein auf Fingerlinien an der Oberfläche setzt. Ehrlich gesagt, war ich schockiert, dass es so einfach war, ihn zu überwinden.

Aber auch bei anderen Verfahren wie Venenmustern muss klar sein: Kommt jemand an ein solches Merkmal, wird er eine Möglichkeit finden, es nachzubilden und so das System zu überwinden.

Es ist ein Problem, dass sich so alle an Biometrie gewöhnen

Zeit Online: Warum wird Biometrie dann derzeit so stark als Sicherheitsinstrument propagiert?

Krissler: Da steht eine große Industrie dahinter, und in der Theorie ist Biometrie auch geeignet, Menschen zu erkennen.

Zeit Online: Aber ist es nicht so, dass Biometrie zwar prima funktioniert, um jemanden eindeutig zu identifizieren, aber nicht so gut taugt, um etwas damit zu sichern?

Krissler: Man kann Systeme recht gut anpassen, wenn sie nur wenige Menschen voneinander unterscheiden sollen. Die Fehlerraten sind dann gering. Sobald man aber die gesamte Menschheit, oder eben alle iPhone-Nutzer, als Zielgruppe hat, wird das nahezu unmöglich. Weil deren Merkmale einfach zu stark variieren. Biometrie hat eben auch ihre Schwächen. Anders als bei Passwörtern, die entweder falsch oder richtig sind, gibt es immer nur eine gewisse Wahrscheinlichkeit der Übereinstimmung. Der TouchID-Scanner ist daher nicht wirklich ein Sicherheitsverfahren, er ist ein bequemes Verfahren. Apple hätte das Ganze bestimmt auch sicher machen können. Aber dann wären bei dem Versuch, ihr iPhone anzuschalten, zu viele Menschen zu oft zurückgewiesen worden.

Viele nutzen gar keinen Passcode bei ihrem Smartphone, da ist ein Fingerabdruck immer noch besser als gar nichts - wie auch Apple bei der Vorstellung sagte. Aber es geht hier ganz offensichtlich um Bequemlichkeit und leichte Bedienbarkeit, nicht um Sicherheit. Daher würde ich TouchID im Zusammenhang mit sicheren Verfahren auch gar nicht bewerten wollen.

Zeit Online: Das iPhone hat einen hohen Status, viele finden es toll. Ist es ein Problem, wenn ein so beliebtes Gerät auf Biometrie setzt und damit ein, sagen wir, problematisches Sicherheitsverfahren verbreitet?

Krissler: Das hat ja schon mit den Fingerabdrücken im Personalausweis und im Pass angefangen. Damit wurden Verfahren, die eigentlich dazu gedacht waren, Straftäter zu identifizieren, in die Allgemeinheit getragen. Das ist natürlich problematisch. Einerseits, weil dabei Daten anfallen, die nicht anfallen müssten und die für andere Dinge missbraucht werden könnten. Andererseits, weil sich so alle an Biometrie gewöhnen und sie für alle möglichen Anwendungen einsetzen. Das beste Beispiel dafür ist Hamburg. Dort mussten an einer Schule alle Schüler ihre Fingerabdrücke abgeben, um ihr Mittagessen zu bekommen.

Das Interview wurde schriftlich via Jabber geführt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


supersu 30. Sep 2013

Selbst wenn es nur aus Bequemlichkeit ist, ich finde es super angenehm, es geht shr...

Peter Brülls 28. Sep 2013

Nein. Bist Du nicht.

User_x 27. Sep 2013

.

User2 27. Sep 2013

Ich find es gut das man hier noch Ehrlich die User aufklärt :-) Auch wenn einige sich...



Aktuell auf der Startseite von Golem.de
Jahressteuergesetz
Homeoffice-Pauschale wird noch einmal erhöht

Wer im Homeoffice arbeitet, kann mehr von der Steuer absetzen als bislang geplant. Der Maximalbetrag steigt an.

Jahressteuergesetz: Homeoffice-Pauschale wird noch einmal erhöht
Artikel
  1. Smartphone: Android bekommt Lesemodus und Youtube-Widgets
    Smartphone
    Android bekommt Lesemodus und Youtube-Widgets

    Google hat neue Funktionen für Android vorgestellt, die unter anderem Nutzern mit Sehschwäche helfen sollen.

  2. Feuerwehr: Brennende E-Autos kommen in den Sack
    Feuerwehr
    Brennende E-Autos kommen in den Sack

    Brennt der Akku eines E-Autos, ist die Nachbehandlung für die Feuerwehr eine Herausforderung. Ein Löschsack für das gesamte Auto soll helfen.

  3. BMW iX5 Hydrogen: Warum BMW an Brennstoffzellen-Autos festhält
    BMW iX5 Hydrogen
    Warum BMW an Brennstoffzellen-Autos festhält

    Zusammen mit Toyota produziert BMW einen Brennstoffzellen-Antrieb, der nun in eine Demoflotte eingebaut wird. Wir haben uns die Produktion angeschaut.
    Ein Bericht von Friedhelm Greis

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5-Bundle vorbestellbar • Amazon-Geräte bis 53% günstiger, u. a. Echo Dot 5. Gen. 29,99€ • Mindstar: AMD Ryzen 7 7700X Tray 369€ • Advent-Tagesdeals bei MediaMarkt/Saturn: u. a. E-Auto-Wallbox 399€ • LG OLED TV (2022) 55" 120Hz 949€ • Alternate: Kingston 8GB DDR5-4800 37,99€ [Werbung]
    •  /