Original-URL des Artikels: https://www.golem.de/news/iphone-5s-fingerabdruckscanner-es-ging-apple-um-bequemlichkeit-nicht-um-sicherheit-1309-101814.html    Veröffentlicht: 26.09.2013 15:33    Kurz-URL: https://glm.io/101814

iPhone-5S-Fingerabdruckscanner

"Es ging Apple um Bequemlichkeit, nicht um Sicherheit"

Jan Krissler hatte wenig Mühe, den Fingerabdruckscanner im iPhone 5S zu überwinden. Im Interview erklärt er, warum Passwörter meist besser sichern als Biometrie.

Zeit Online: Du hast den Fingerabdruckscanner des iPhone 5S gehackt, warum?

Jan Krissler: Ich beschäftige mich seit mehr als zehn Jahren mit der Sicherheit von biometrischen Systemen, insbesondere mit deren Überwindung. Ab und zu, wenn ein neues Produkt auf den Markt kommt, guck ich mir das an, schaue, ob die alten Techniken zur Überwindung noch funktionieren, oder ob es neue Herausforderungen gibt. Beim Touch-ID-Sensor ging ich von einer Herausforderung aus, wurde aber leider enttäuscht.

Zeit Online: Eignen sich Fingerabdrücke überhaupt, um ein Telefon, eine Tür oder andere Dinge zu sichern?

Krissler: Wie bei allen biometrischen Systemen muss man sich die Frage stellen, welche Daten oder Dinge man damit schützen will. Wenn deren Wert den Aufwand übersteigt, ein System zu knacken, ist die einfach zu überwindende Biometrie vielleicht nicht die beste Wahl.

Zeit Online: Das heißt, Biometrie ist einfacher zu überwinden als beispielsweise ein Passwort?

Krissler: Das hängt vom Passwort und vom Umgang des Benutzers damit ab, und natürlich auch vom biometrischen System. Meine Passwörter halte ich zumindest für sicherer als meinen Fingerabdruck. Das Problem ist, dass man Fingerabdrücke überall hinterlässt, dass Gesichter unbemerkt fotografiert werden können. Mein Passwort ist in meinem Kopf, und wenn ich bei der Eingabe vorsichtig bin, bleibe ich auch der Einzige, der es kennt.

Zeit Online: Welche biometrischen Daten wären geeignet, um eine Zugangskontrolle einzurichten?

Krissler: Es gibt Merkmale, die besser und Merkmale, die schlechter geeignet sind. Zu den besseren gehören solche, die man nicht überall hinterlässt, beziehungsweise die nicht einfach und unbemerkt abgenommen werden können. Also Merkmale, die man tatsächlich nur an dem passenden Sensor auslesen kann. Das Venenmuster ist dafür ein gutes Beispiel. Ich hatte auch angenommen, dass Apple so etwas einsetzt. Immerhin wurde bei der Vorstellung des iPhones erklärt, der Scanner habe eine subepidermale Fingererkennung, also eine, die nicht allein auf Fingerlinien an der Oberfläche setzt. Ehrlich gesagt, war ich schockiert, dass es so einfach war, ihn zu überwinden.

Aber auch bei anderen Verfahren wie Venenmustern muss klar sein: Kommt jemand an ein solches Merkmal, wird er eine Möglichkeit finden, es nachzubilden und so das System zu überwinden.

Es ist ein Problem, dass sich so alle an Biometrie gewöhnen

Zeit Online: Warum wird Biometrie dann derzeit so stark als Sicherheitsinstrument propagiert?

Krissler: Da steht eine große Industrie dahinter, und in der Theorie ist Biometrie auch geeignet, Menschen zu erkennen.

Zeit Online: Aber ist es nicht so, dass Biometrie zwar prima funktioniert, um jemanden eindeutig zu identifizieren, aber nicht so gut taugt, um etwas damit zu sichern?

Krissler: Man kann Systeme recht gut anpassen, wenn sie nur wenige Menschen voneinander unterscheiden sollen. Die Fehlerraten sind dann gering. Sobald man aber die gesamte Menschheit, oder eben alle iPhone-Nutzer, als Zielgruppe hat, wird das nahezu unmöglich. Weil deren Merkmale einfach zu stark variieren. Biometrie hat eben auch ihre Schwächen. Anders als bei Passwörtern, die entweder falsch oder richtig sind, gibt es immer nur eine gewisse Wahrscheinlichkeit der Übereinstimmung. Der TouchID-Scanner ist daher nicht wirklich ein Sicherheitsverfahren, er ist ein bequemes Verfahren. Apple hätte das Ganze bestimmt auch sicher machen können. Aber dann wären bei dem Versuch, ihr iPhone anzuschalten, zu viele Menschen zu oft zurückgewiesen worden.

Viele nutzen gar keinen Passcode bei ihrem Smartphone, da ist ein Fingerabdruck immer noch besser als gar nichts - wie auch Apple bei der Vorstellung sagte. Aber es geht hier ganz offensichtlich um Bequemlichkeit und leichte Bedienbarkeit, nicht um Sicherheit. Daher würde ich TouchID im Zusammenhang mit sicheren Verfahren auch gar nicht bewerten wollen.

Zeit Online: Das iPhone hat einen hohen Status, viele finden es toll. Ist es ein Problem, wenn ein so beliebtes Gerät auf Biometrie setzt und damit ein, sagen wir, problematisches Sicherheitsverfahren verbreitet?

Krissler: Das hat ja schon mit den Fingerabdrücken im Personalausweis und im Pass angefangen. Damit wurden Verfahren, die eigentlich dazu gedacht waren, Straftäter zu identifizieren, in die Allgemeinheit getragen. Das ist natürlich problematisch. Einerseits, weil dabei Daten anfallen, die nicht anfallen müssten und die für andere Dinge missbraucht werden könnten. Andererseits, weil sich so alle an Biometrie gewöhnen und sie für alle möglichen Anwendungen einsetzen. Das beste Beispiel dafür ist Hamburg. Dort mussten an einer Schule alle Schüler ihre Fingerabdrücke abgeben, um ihr Mittagessen zu bekommen.

Das Interview wurde schriftlich via Jabber geführt.  (zeit-kb)


Verwandte Artikel:
Touch-ID deaktivieren: iOS 11 bekommt Polizei-Taste   
(18.08.2017, https://glm.io/129552 )
Apple iPhone 5s: Hacker veröffentlicht Secure-Enclave-Key für alte iPhones   
(18.08.2017, https://glm.io/129562 )
Apple: iPhone-5S-Teile sind rund 200 US-Dollar wert   
(26.09.2013, https://glm.io/101798 )
iPhone 5S: Chaos Computer Club überwindet Apples Touch ID   
(22.09.2013, https://glm.io/101735 )
iPhone 5S im Test: Schnelle Technik ohne Wow-Effekt   
(20.09.2013, https://glm.io/101725 )

© 1997–2020 Golem.de, https://www.golem.de/