Wie sicher sind biometrische Verfahren wie Gesichtserkennung oder Fingerabdruckscanner auf mobilen Endgeräten tatsächlich?
Die Sicherheit biometrischer Verfahren auf Smartphones ist ein zweischneidiges Schwert: Sie bieten eine hervorragende Benutzerfreundlichkeit und sind im Alltag oft sicherer als schwache PINs, weisen aber konzeptionelle Schwachstellen auf.
Hier ist eine detaillierte Analyse der gängigen Verfahren:
1. Fingerabdruckscanner
Man unterscheidet heute vor allem drei Technologien:
- Optische Scanner: Sie machen ein Foto des Fingers (meist unter dem Display). Diese sind am leichtesten zu überlisten (z. B. mit einem hochauflösenden Foto oder einem Silikonabguss).
- Kapazitive Scanner: Sie messen elektrische Spannungsunterschiede auf der Hautoberfläche. Sie sind sicherer als optische Scanner, aber auch sie können mit speziellen leitfähigen Attrappen getäuscht werden.
- Ultraschall-Scanner (z. B. Samsung S-Serie): Sie erstellen ein 3D-Modell des Fingers. Dies ist aktuell die sicherste Methode bei Fingerabdrücken, da sie auch Tiefe und Struktur erkennt.
Sicherheitsrisiko: Wir hinterlassen überall Fingerabdrücke (auf Gläsern, dem Handy-Display). Mit krimineller Energie und technischem Equipment können diese kopiert werden.
2. Gesichtserkennung
Hier gibt es gewaltige Unterschiede in der Sicherheit:
- 2D-Gesichtserkennung (viele Android-Mittelklasse-Geräte): Die Kamera macht lediglich ein Foto und vergleicht es. Vorsicht: Viele dieser Systeme lassen sich mit einem einfachen Foto oder einem Video des Besitzers austricksen. Sie dienen eher dem Komfort als der echten Sicherheit.
- 3D-Gesichtserkennung (z. B. Apples Face ID): Hier projiziert ein Infrarot-Modul tausende Punkte auf das Gesicht, um ein Tiefenprofil zu erstellen. Das ist extrem schwer zu fälschen. Selbst Masken aus dem 3D-Drucker scheitern meist daran.
Sicherheitsrisiko: Eineiige Zwillinge oder sehr ähnlich aussehende Familienmitglieder können diese Systeme manchmal überlisten.
3. Die systemische Sicherheit (Der "Safe" im Handy)
Ein wichtiger Aspekt ist, wo die Daten liegen. Moderne Smartphones speichern weder dein Foto noch deinen tatsächlichen Fingerabdruck.
- Hashing: Biometrische Merkmale werden in einen mathematischen Code (Hash) umgewandelt.
- Secure Enclave / TEE: Dieser Code wird in einem isolierten Bereich des Prozessors gespeichert, auf den das Betriebssystem keinen direkten Zugriff hat. Selbst wenn das Handy gehackt wird, gelangt der Angreifer meist nicht an die biometrischen Daten.
4. Biometrie vs. Passwort: Vor- und Nachteile
| Aspekt | Biometrie | Passwort / PIN |
|---|---|---|
| Diebstahl | Kann nicht "vergessen" oder "abgelauscht" werden. | Kann durch "Schulter-Surfen" gestohlen werden. |
| Änderbarkeit | Unmöglich. Wenn dein Fingerabdruck einmal digital kompromittiert ist, kannst du ihn nicht ändern. | Kann jederzeit geändert werden. |
| Rechtlage | In einigen Ländern (z. B. USA) können Menschen gezwungen werden, ihr Handy per Finger/Gesicht zu entsperren. Ein PIN unterliegt oft einem Zeugnisverweigerungsrecht. | Höherer rechtlicher Schutz des "Wissens" gegenüber "biometrischen Merkmalen". |
| Phishing | Sicher gegen Phishing-Websites. | Anfällig für Phishing. |
Fazit: Wie sicher sind sie wirklich?
Für den Durchschnittsnutzer sind biometrische Verfahren sehr sicher. Sie verhindern, dass Gelegenheitsdiebe oder neugierige Mitmenschen auf das Gerät zugreifen. Da sie so bequem sind, nutzen Menschen sie eher als einen 12-stelligen komplexen Code.
Für Personen mit hohem Schutzbedarf (Journalisten, Politiker, Manager) gilt:
- 3D-Gesichtserkennung oder Ultraschall-Fingerabdruck nutzen.
- 2D-Gesichtserkennung deaktivieren.
- Zusätzlich einen starken alphanumerischen Code (statt nur 4 Zahlen) als Backup verwenden.
- In unsicheren Situationen (z. B. Grenzkontrollen) die Biometrie temporär deaktivieren (bei iPhones z. B. durch schnelles 5-maliges Drücken der Seitentaste).
Zusammenfassend: Biometrie ist ein exzellentes Schloss für die Haustür, aber wer über die entsprechenden Ressourcen und direkten Zugriff auf deine physische Person hat, kann es theoretisch knacken.