• IT-Karriere:
  • Services:

iPhone-5S-Fingerabdruckscanner: "Es ging Apple um Bequemlichkeit, nicht um Sicherheit"

Jan Krissler hatte wenig Mühe, den Fingerabdruckscanner im iPhone 5S zu überwinden. Im Interview erklärt er, warum Passwörter meist besser sichern als Biometrie.

Artikel veröffentlicht am , Kai Biermann/Zeit Online
iPhone 5S mit Touch ID
iPhone 5S mit Touch ID (Bild: George Frey/Bloomberg via Getty Images)

Zeit Online: Du hast den Fingerabdruckscanner des iPhone 5S gehackt, warum?

Stellenmarkt
  1. GK Software SE, Köln, Jena, Schöneck/Vogtland, Sankt Ingbert
  2. ITEOS, Freiburg, Heilbronn, Karlsruhe

Jan Krissler: Ich beschäftige mich seit mehr als zehn Jahren mit der Sicherheit von biometrischen Systemen, insbesondere mit deren Überwindung. Ab und zu, wenn ein neues Produkt auf den Markt kommt, guck ich mir das an, schaue, ob die alten Techniken zur Überwindung noch funktionieren, oder ob es neue Herausforderungen gibt. Beim Touch-ID-Sensor ging ich von einer Herausforderung aus, wurde aber leider enttäuscht.

Zeit Online: Eignen sich Fingerabdrücke überhaupt, um ein Telefon, eine Tür oder andere Dinge zu sichern?

Krissler: Wie bei allen biometrischen Systemen muss man sich die Frage stellen, welche Daten oder Dinge man damit schützen will. Wenn deren Wert den Aufwand übersteigt, ein System zu knacken, ist die einfach zu überwindende Biometrie vielleicht nicht die beste Wahl.

Zeit Online: Das heißt, Biometrie ist einfacher zu überwinden als beispielsweise ein Passwort?

Krissler: Das hängt vom Passwort und vom Umgang des Benutzers damit ab, und natürlich auch vom biometrischen System. Meine Passwörter halte ich zumindest für sicherer als meinen Fingerabdruck. Das Problem ist, dass man Fingerabdrücke überall hinterlässt, dass Gesichter unbemerkt fotografiert werden können. Mein Passwort ist in meinem Kopf, und wenn ich bei der Eingabe vorsichtig bin, bleibe ich auch der Einzige, der es kennt.

Zeit Online: Welche biometrischen Daten wären geeignet, um eine Zugangskontrolle einzurichten?

Krissler: Es gibt Merkmale, die besser und Merkmale, die schlechter geeignet sind. Zu den besseren gehören solche, die man nicht überall hinterlässt, beziehungsweise die nicht einfach und unbemerkt abgenommen werden können. Also Merkmale, die man tatsächlich nur an dem passenden Sensor auslesen kann. Das Venenmuster ist dafür ein gutes Beispiel. Ich hatte auch angenommen, dass Apple so etwas einsetzt. Immerhin wurde bei der Vorstellung des iPhones erklärt, der Scanner habe eine subepidermale Fingererkennung, also eine, die nicht allein auf Fingerlinien an der Oberfläche setzt. Ehrlich gesagt, war ich schockiert, dass es so einfach war, ihn zu überwinden.

Aber auch bei anderen Verfahren wie Venenmustern muss klar sein: Kommt jemand an ein solches Merkmal, wird er eine Möglichkeit finden, es nachzubilden und so das System zu überwinden.

Es ist ein Problem, dass sich so alle an Biometrie gewöhnen

Zeit Online: Warum wird Biometrie dann derzeit so stark als Sicherheitsinstrument propagiert?

Krissler: Da steht eine große Industrie dahinter, und in der Theorie ist Biometrie auch geeignet, Menschen zu erkennen.

Zeit Online: Aber ist es nicht so, dass Biometrie zwar prima funktioniert, um jemanden eindeutig zu identifizieren, aber nicht so gut taugt, um etwas damit zu sichern?

Krissler: Man kann Systeme recht gut anpassen, wenn sie nur wenige Menschen voneinander unterscheiden sollen. Die Fehlerraten sind dann gering. Sobald man aber die gesamte Menschheit, oder eben alle iPhone-Nutzer, als Zielgruppe hat, wird das nahezu unmöglich. Weil deren Merkmale einfach zu stark variieren. Biometrie hat eben auch ihre Schwächen. Anders als bei Passwörtern, die entweder falsch oder richtig sind, gibt es immer nur eine gewisse Wahrscheinlichkeit der Übereinstimmung. Der TouchID-Scanner ist daher nicht wirklich ein Sicherheitsverfahren, er ist ein bequemes Verfahren. Apple hätte das Ganze bestimmt auch sicher machen können. Aber dann wären bei dem Versuch, ihr iPhone anzuschalten, zu viele Menschen zu oft zurückgewiesen worden.

Viele nutzen gar keinen Passcode bei ihrem Smartphone, da ist ein Fingerabdruck immer noch besser als gar nichts - wie auch Apple bei der Vorstellung sagte. Aber es geht hier ganz offensichtlich um Bequemlichkeit und leichte Bedienbarkeit, nicht um Sicherheit. Daher würde ich TouchID im Zusammenhang mit sicheren Verfahren auch gar nicht bewerten wollen.

Zeit Online: Das iPhone hat einen hohen Status, viele finden es toll. Ist es ein Problem, wenn ein so beliebtes Gerät auf Biometrie setzt und damit ein, sagen wir, problematisches Sicherheitsverfahren verbreitet?

Krissler: Das hat ja schon mit den Fingerabdrücken im Personalausweis und im Pass angefangen. Damit wurden Verfahren, die eigentlich dazu gedacht waren, Straftäter zu identifizieren, in die Allgemeinheit getragen. Das ist natürlich problematisch. Einerseits, weil dabei Daten anfallen, die nicht anfallen müssten und die für andere Dinge missbraucht werden könnten. Andererseits, weil sich so alle an Biometrie gewöhnen und sie für alle möglichen Anwendungen einsetzen. Das beste Beispiel dafür ist Hamburg. Dort mussten an einer Schule alle Schüler ihre Fingerabdrücke abgeben, um ihr Mittagessen zu bekommen.

Das Interview wurde schriftlich via Jabber geführt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • ohne Tracking
  • mit ausgeschaltetem Javascript


Anzeige
Top-Angebote
  1. (u. a. Stirb Langsam 1 - 5, Kingsamn 2-Film-Collection, Fight Club, Terminator)
  2. 39,09€
  3. 59,00€ (Bestpreis!)
  4. (u. a. Riotoro Enigma G2 750-W-Netzteil Gold Plus für 69,99€, Acer Nitro 27-Zoll-Monitor für...

supersu 30. Sep 2013

Selbst wenn es nur aus Bequemlichkeit ist, ich finde es super angenehm, es geht shr...

Peter Brülls 28. Sep 2013

Nein. Bist Du nicht.

User_x 27. Sep 2013

.

User2 27. Sep 2013

Ich find es gut das man hier noch Ehrlich die User aufklärt :-) Auch wenn einige sich...

Ork 27. Sep 2013

Das ist schon ein Hack. Hacks haben ja nicht zwangsweise etwas mit Programmierung...


Folgen Sie uns
       


Nintendo Ring Fit Adventure angespielt

Mit Ring Fit Adventure können Spieler auf der Nintendo Switch einen Drachen bekämpfen - und dabei gleichzeitig Sport machen.

Nintendo Ring Fit Adventure angespielt Video aufrufen
DSGVO: Kommunen verschlüsseln fast nur mit De-Mail
DSGVO
Kommunen verschlüsseln fast nur mit De-Mail

Die Kommunen tun sich weiter schwer mit der Umsetzung der Datenschutz-Grundverordnung. Manche verstehen unter Daten-Verschlüsselung einen abschließbaren Raum für Datenträger.
Ein Bericht von Christiane Schulzki-Haddouti

  1. Digitale Versorgung Viel Kritik an zentraler Sammlung von Patientendaten
  2. Datenschutz Zahl der Behördenzugriffe auf Konten steigt
  3. Verschlüsselung Regierungen wollen Backdoors in Facebook für Untersuchungen

Gardena: Open Source, wie es sein soll
Gardena
Open Source, wie es sein soll

Wenn Entwickler mit Zeitdruck nach Lösungen suchen und sich dann für Open Source entscheiden, sollte das anderen als Vorbild dienen, sagen zwei Gardena-Entwickler in einem Vortrag. Der sei auch eine Anleitung dafür, das Management von der Open-Source-Idee zu überzeugen - was auch den Nutzern hilft.
Ein Bericht von Sebastian Grüner

  1. Linux-Kernel Machine-Learning allein findet keine Bugs
  2. KernelCI Der Linux-Kernel bekommt einheitliche Test-Umgebung
  3. Linux-Kernel Selbst Google ist unfähig, Android zu pflegen

Death Stranding im Test: Paketbote trifft Postapokalypse
Death Stranding im Test
Paketbote trifft Postapokalypse

Seltsam, aber super: Der Held in Death Stranding ist ein mit Frachtsendungen überladener Kurier und Weltenretter. Mit ebenso absurden wie erstklassig umgesetzten Ideen hat Hideo Kojima ein tolles Spiel für PS4 und Windows-PC (erst 2020) geschaffen, das viel mehr bietet als Filmspektakel.
Von Peter Steinlechner

  1. PC-Version Death Stranding erscheint gleichzeitig bei Epic und Steam
  2. Kojima Productions Death Stranding erscheint auch für Windows-PC

    •  /