CCC knackt Scanner«Apple-Hack - keine Gefahr für breite Masse»
Der Chaos Computer Club hat Apples Fingerabdruck-Scanner ausgetrickst. Ein IT-Experte ist der Meinung, dass das neue Feature dem 0815-Benutzer trotzdem mehr Sicherheit geben wird.
- von
- tob
Herr Friedli, müssen sich nun alle iPhone-5S-Besitzer Sorgen um die Sicherheit Ihrer Daten machen?
Stefan Friedli: Wohl kaum - der CCC hat zwar im Video bewiesen, dass einfache Mittel genügen, um einen Fingerabdruck zu reproduzieren, aber ob das Verfahren, etwa für einen Angreifer wirklich alltagstauglich ist, wage ich zu bezweifeln.
Wieso?
Einerseits muss ein Angreifer erst an eine gute Vorlage des Fingerabdruckes kommen und diesen abfotografieren können. Zweitens ist die anschliessende Reproduktion des Fingerprints mit Leim sehr zeitaufwendig. In dieser Zeit hat der Besitzer des Smartphones seine Daten aus der Ferne über den Cloud-Dienst schon längst gelöscht, da neu das Gerät an die Apple-ID des Besitzers gekoppelt werden kann.
Wird mit dem Fingerabdruck-Scanner nicht eine Sicherheit suggeriert, die nicht gewährleistet werden kann?
Apple versucht mit Touch ID einen einfachen, bequemen und alltagstauglichen Schutz für das Gerät zu bieten und damit den vierstelligen PIN-Code zu ersetzen. Für den durchschnittlichen Benutzer ist das Verfahren ein Schritt nach vorne.
Weshalb?
Viele Smartphone-Besitzer haben ihre Geräte nicht mit einem Passwort geschützt, oder verwenden ein simples Passwort, wie «1234», das einfach zu erraten und deshalb nicht sicher ist. Bei komplexeren Passwörtern kann ein Angreifer dem Besitzer beim Eintippen über die Schulter schauen. Doch auch andere Methoden, wie das Zeichnen eines Musters bei Android-Geräten bieten keine absolute Sicherheit. Hier reichen oft schon die Rückstände der Wischbewegungen auf dem Display, um das Muster zu erraten. Der Fingerabdruck bietet hier mehr Sicherheit.
Für den 0815-Anwender hat es also nur Vorteile?
Benutzer und Kritiker müssen in der Debatte zwischen zwei Perspektiven unterscheiden. Bei Touch ID geht es darum, dass Unbekannte nicht unerlaubt Zugriff auf private Bilder erhalten oder Mails lesen können. Touch ID wurde aber nicht konzipiert, um das Gerät von professionellen Zugriffen, etwa mit forensischen Mitteln zu schützen. Das Feature ist sicher nicht mit Highend-Security, wie etwa einem Iris-Scanner im Industriebereich zu vergleichen. Das wird am meisten missverstanden. (Anmerkung der Redaktion: Wer dem Fingerabdruck-Scanner nicht traut, kann das Feature auch komplett deaktivieren.)
Was halten Sie von Apples Plänen, dass der Fingerabdruck einst auch zum Bezahlen eingesetzt werden kann?
Laut Apple sollen die Fingerabdrücke nur auf dem Chip des Smartphones gespeichert sein und nicht an externe Server übermittelt werden. Für das Bezahlen per Fingerabdruck würde aber wohl eine Übermittlung an einen Server notwendig. Aus Datenschutzgründen wäre das bedenklich.
Glauben Sie, dass sich die Authentifizierung per Fingerabdruck zum Standard durchsetzen wird?
Mit Ausnahme von ein paar wenigen Laptop-Herstellern ist Apples Touch ID die erste massentaugliche Anwendung, die es in dieser Grössenordnung bisher gegeben hat. Ob sich dies aber als Standard durchsetzt, wird sich zeigen. (Anmerkung der Redaktion: Laut Gerüchten arbeiten mehrere Hersteller an Fingerabdruck-Scannern. So wollte Samsung bereits mit dem Galaxy Note 3 einen Finger-Scanner lancieren.)
Stefan Friedli ist seit 13 Jahren im Bereich der IT-Sicherheit aktiv und arbeitet bei der Zürcher Firma Scip AG. Sein Fokus liegt dabei auf dem sogenannten Penetration Testing. Einer umfassenden Methode zur Sicherheitsanalyse von einzelnen Geräten und Netzwerken, mit Mitteln die ein Angreifer (Hacker) anwenden würde um in das System einzudringen. Zudem ist Friedli ein aktiver Teilnehmer in verschiedenen internationalen Projekten und organisiert die Sicherheitskonferenz #hashdays.