Apples FaceID: «Die Gesichtserkennung ist ein Schritt nach vorn»

Aus Nutzersicht so weit positiv. Ehrlich gesagt sogar etwas flüssiger als erwartet. Aus professioneller Sicht, also im Hinblick auf Sicherheitskriterien, kann ich mich bis dato nur auf die technischen Daten beziehen.

Die Technologien, die wir bis dato in Endbenutzer-Geräten gesehen haben, basierten meistens auf zweidimensionalen Vergleichsalgorithmen: Ein Bild des Gesichts, das sich vor dem Gerät befindet, wird mit Referenzmaterial verglichen. Dementsprechend reicht es in manchen Fällen, die Kamera auf das Facebook-Profilfoto des Handybenutzers zu richten, um die Entsperrung vorzunehmen. FaceID geht hier wortwörtlich weiter in die Tiefe und vergleicht, vereinfacht gesagt, ein dreidimensionales Modell mit dem Gesicht des Benutzers.

Sicher genug für eine überwältigende Mehrheit der Nutzer. TouchID, Apples vorherige Technologie mittels Fingerabdruck-Sensor, hatte auch Schwächen und konnte, mit entsprechendem Aufwand, umgangen werden. Wie viele Personen kennen Sie in Ihrem privaten Umfeld, denen das effektiv passiert ist? Wenn die Antwort «Null» lautet, sind Sie in guter Gesellschaft. Diesen Technologien gegenüber steht das, was die meisten Nutzer vorher hatten: Einfach zu erratende Passcodes wie «1234», wenn denn überhaupt einer gesetzt war. Oder Entsperrmuster, die dermassen einfach über die Schulter des Nutzers zu erspähen waren, dass sie für einen Taschendieb vermutlich kaum eine Herausforderung darstellen würden. FaceID, wie auch schon TouchID, ist im Grossen und Ganzen ein Schritt nach vorn.

Was das Sammeln angeht: Das halte ich nicht für unmöglich, aber für unwahrscheinlich. Auch weil Apple die Daten nach eigener Aussage ja nicht zentral speichert. Man kann jetzt natürlich sagen: Aber was, wenn Apple lügt? Nur muss man dann die Integrität des Geräts als Ganzes in Frage stellen und vielleicht überdenken, ob man ein Gerät mit Mikrofon und mehreren Kameras mit sich herumtragen möchte, dessen Hersteller man auf einer ganz grundlegenden Ebene nicht vertraut.

Nicht der erste Schritt, sondern einer von vielen kleinen Schritten, die nötig sind, um Sicherheit als integrativen Bestandteil eines Produkts und nicht als Bürde für den Benutzer zu etablieren. Moderne IT-Sicherheit soll nicht mehr sagen, was ein Nutzer nicht machen kann oder darf, sondern definieren, wie er etwas auf eine sichere Weise tun kann. Passwörter sind heute ein notwendiges Übel, aber sie sind so problemanfällig: Wiederverwendung, mangelnde Komplexität und so weiter. Technologien wie FaceID zeigen: Auch ein ganz normaler Benutzer kann sein Gerät weitgehend vor unberechtigtem Zugriff schützen, ohne bei jedem Entsperren Zeit mit der Passworteingabe zu verlieren.

Das Argument kann man so gelten lassen, allerdings mit vielen Einschränkungen und offenen Fragen. Zum Beispiel: Könnte ein Angreifer aus den FaceID-Daten überhaupt die Ursprungsdaten zurückrechnen? Wie würde er dann aus diesen Daten das 3-D-Modell generieren und nutzen? Wo und wie wäre die Angriffsfläche dann überhaupt vorhanden? Ich bin sicher, wir werden in diesem Bereich zeitnah viel Forschung sehen – aber auch hier: Unter Berücksichtigung der Daten, die wir heute kennen, sehe ich das Risiko hier als tragbar an. Und im Zweifelsfall gibt es immer noch die Option, FaceID einfach gar nicht zu nutzen.