| 20:00 Uhr

Biometrische Verfahren
Wenn der eigene Körper zum Passwort wird

 Gesichtserkennung bietet nur dann einen wirksamen Schutz, wenn die Handy-Kamera räumliche Bilder erfassen kann.
Gesichtserkennung bietet nur dann einen wirksamen Schutz, wenn die Handy-Kamera räumliche Bilder erfassen kann. FOTO: phoenix021/ Fotolia
Berlin. Das Handy per Gesichtserkennung oder Fingerabdruck zu entsperren, ist komfortabel, aber nicht unbedingt die sicherste Lösung. Von Martin Trappen

Wie ist das Smartphone am besten gesichert, wenn es gerade nicht verwendet wird? Smartphone-Hersteller bieten den Schutz der Geräte durch sogenannte biometrischer Daten an. Dazu registriert der Handy-Besitzer sein Gesicht, ein Vergleichsbild des Auges (Iris) oder einen Fingerabdruck auf dem Gerät. Danach genügt ein Blick in die Kamera, ein Fingerabdruck oder ein Irisscan, um das Gerät nutzen zu können. Will ein Unbefugter das Gerät verwenden, verweigert es seinen Dienst – das ist zumindest die Theorie. Doch immer wieder gibt es Berichte, dass biometrische Daten besonders leicht zu fälschen seien und sich diese vermeintlichen Sicherheitsmaßnahmen ohne größeren Aufwand aushebeln ließen.


„Es ist schwer, pauschal zu sagen, wie sicher die einzelnen Methoden sind, da viel von der Sensorik abhängt, welche die körperlichen Merkmale misst“, sagt Matteo Cagnazzo, Geschäftsführer des Unternehmens „aware7“, das sich das Thema IT-Sicherheit auf die Fahnen geschrieben hat. Dasselbe Ziel hat die Plattform Cyberschutzraum.de, welche Cagnazzo und sein Team zusammen mit dem Institut für Internet-Sicherheit der Westfälischen Hochschule betreiben. „Nutzer sollten immer Bequemlichkeit und Sicherheit gegeneinander abwägen“, sagt der Informatiker. Gerade die Gesichtserkennung sei sehr leicht zu nutzen: Einfach auf das Smartphone schauen und schon ist das Gerät entsperrt. Doch Bequemlichkeit gehe meist zu Kosten der Sicherheit. Falls die Frontkamera des Handys beispielsweise keine 3D-Bilder erkennen könne, reiche bereits ein Foto des Besitzers aus, um die Technik zu überlisten.

„Wer das Smartphone mit biometrischen Daten entsperren will, für den bietet der Fingerabdruck den besten Kompromiss aus Sicherheit und Bequemlichkeit“, erklärt Cagnazzo. Solange das eigene Smartphone ein aktuelles Modell sei – vor allem, wenn es sich um ein Flaggschiff der bekannten Hersteller handele – sei die Verriegelung des Geräts per Fingerabdruck relativ sicher. Fingerabdrücke seien auch schwieriger zu fälschen als Bilder des Gesichts oder der Iris. „Um an einen Fingerabdruck zu kommen, müsste ein Täter erhöhten Aufwand betreiben“, erläutert Cagnazzo. Für jede Methode gelte aber: „Wie sicher sie ist, hängt davon ab, wie gut das Messgerät ist, das Gesicht, Iris oder Fingerabdruck einliest.“ Sei dieses Lesegerät von geringer Qualität, lasse es sich leicht austricksen.



Vor kurzem hat dies ein Test der niederländischen Verbraucherorganisation Consumentenbond bestätigt. Die Tester kamen zu dem Ergebnis, dass sich zahlreiche Smartphones der unteren und mittleren Preisklassen mit einem Foto des Besitzers überlisten lassen. Insgesamt sind 42 von 110 getesteten Handys durchgefallen. Gut schnitten vor allem Apple-Geräte ab. Die Modelle iPhone XS, XS Max und das iPhone XR ließen sich nicht hereinlegen. Auch das Wiko View 2, das Oppo Find X sowie das Oneplus 5T und 6 bestanden den Test. Die Schlusslichter bildeten der Verbraucherorganisation zufolge Geräte von Sony und Nokia. Die Handys von LG hätten den Test nur bestanden, wenn die sogenannte erhöhte Sicherheit aktiviert gewesen sei. So bezeichnet der Hersteller eine Zusatzoption, die den Scan verbessert. Damit verringert sich die Wahrscheinlichkeit, dass sich das Lesegerät überlisten lässt. Der Nachteil: Der sicherere Vorgang dauert länger. In der Praxis würde sich der Aufwand, das Smartphone zu stehlen und dann die Sensorik zu überlisten, kaum lohnen, erklärt Cagnazzo: „Wenn jemand an die Daten bestimmter Personen kommen will, gibt es wesentlich einfachere Methoden, dies zu erreichen.“

Ein großes Problem bei der Nutzung biometrischer Merkmale wird gern vergessen: „Hat ein Angreifer ein Passwort ergattert, kann der Nutzer dieses zurücksetzen und ein neues festlegen. Bei den eigenen Fingerabdrücken geht das nicht“, erklärt der Informatiker. Zudem funktioniere das Lesen der biometrischen Daten nicht immer zuverlässig. Bei den Sensoren von Smartphones, gerade bei Billig-Geräten, komme es immer wieder zu Ausfällen. Daher empfiehlt er allen, die ganz auf Nummer sicher gehen wollen: „Die PIN sollte einem biometrischen Merkmal vorgezogen werden, vorausgesetzt diese ist lang und komplex genug.“

Darauf weist auch die Verbraucherzentrale Nordrhein-Westfalen hin. Schwaches Licht, Sonnenbrillen oder wehende Haare könnten die Entsperrung des Bildschirms verhindern. Gleiches gelte für das Lesen der Iris. Das Handy mithilfe des Fingerabdrucks zu entriegeln, könne Probleme machen, wenn sich der Nutzer am Finger verletzt habe oder dieser schmutzig sei. Die Verbraucherzentrale rät daher, mindestens zwei Fingerabdrücke auf dem Gerät zu hinterlegen und zusätzlich eine PIN oder ein Passwort zum Entsperren festzulegen. Ebenso empfehlen die Verbraucherschützer, Fingerabdrücke nur dann zu registrieren, wenn die Abdrücke verschlüsselt auf dem Gerät gespeichert und nicht an die Server des Herstellers gesendet würden.

Um die Sicherheit zu erhöhen, rät die Verbraucherzentrale, mehrere persönliche Merkmale (beispielsweise Gesichtserkennung zusammen mit Fingerabdruck) zu kombinieren. Nach wie vor stellten die altmodischen Sperrmechanismen eine gute Alternative dar. Für den Bildschirm lasse sich ebenso wie für die SIM-Karte ein Zahlencode festlegen. Nutzer dürften zudem nie dieselbe Ziffernfolge für SIM-Karte und Bildschirm wählen. Wichtig sei darüber hinaus, dass das Gerät PIN und Passwort nicht sichtbar anzeigt, während der Nutzer diese eingibt.

www.cyberschutzraum.de