Smartphone-SicherungIris-Scanner wiegen in falscher Sicherheit
Biometrische Daten sollen Passwörter überflüssig machen und erst noch sicherer sein. Doch sind Iris-Scanner wirklich schwieriger zu knacken? Nein, sagen Experten.
- von
- swe
Die Iris eines Menschen ist einzigartig. Daher eignet sie sich ideal für eine sichere Authentifizierung. Zumindest sollte man das meinen.
Wie auch bei Fingerabdrücken nimmt ein biometrisches Sicherheitssystem die einzigartigen Daten zwar auf, wandelt sie anschliessend aber wieder in einen normalen Datenstrom um. Somit wird im Prinzip nur ein Passwort übermittelt.
Hinzu kommt, dass biometrische Merkmale im Gegensatz zu einem Passwort nicht geheim sind. An einem Glas in einer Bar hinterlässt man zum Beispiel schnell einmal seinen Fingerabdruck. Hinzu kommt: Wenn biometrische Daten einmal von einem Dritten abgegriffen wurden, können sie nicht wie ein Passwort geändert werden.
In einer digital vernetzten Welt wird es immer wichtiger, persönliche Inhalte zu schützen. Im Sicherheitsbereich sind biometrische Daten deshalb schon länger ein Thema, aber auch im Alltag finden sie immer mehr Akzeptanz. So haben heute viele Smartphones einen Fingerabdruckscanner eingebaut. Neuere Geräte wie das Samsung Galaxy Note 7 oder das ZTE Axon Elite verfügen gar über einen Iris-Scanner.
Da biometrische Merkmale bei jedem Menschen einzigartig sind, sollte man meinen, dass sich diese besonders gut für eine sichere Authentifizierung eignen. Die ersten Erfahrungen zeigen jedoch, dass sich sowohl Iris- als auch Fingerabdruckscanner überlisten lassen.
Komfortable Lösung
Der IT-Sicherheitsexperten Marc Ruef von der Zürcher Scip AG sieht in den biometrischen Scannern, mit denen man das Smartphone entsperren kann, denn auch nicht primär eine Schutzfunktion: «Der grosse Vorteil ist der Gewinn an Komfort. Wer es regelmässig benutzt, möchte irgendwann nur noch ungerne darauf verzichten.»
Er selbst sei in Sachen Sicherheit jedoch skeptisch: «Das biometrische System nimmt die Daten zwar auf, wandelt diese dann aber in einen Datenstrom um. So wird im Prinzip wieder nur ein Passwort übermittelt», erklärt der Profi.
Fingerabdruck am Bierglas reicht
Hinzu kommt, dass biometrische Merkmale im Gegensatz zu einem Passwort eigentlich nicht geheim sind. «Ich kann ein hochaufgelöstes Foto Ihrer Augen aus der Entfernung schiessen. Und ich weiss, wie Ihr Fingerabdruck aussieht, wenn Sie in einer Bar ein Glas berührt haben», sagte Alvaro Bedoya, Rechtsprofessor an der Georgetown University, kürzlich gegenüber Wired.com. Das mache es einfach, solche Systeme auszutricksen.
Hinzu kommt: Wenn die biometrischen Daten tatsächlich von einem Dritten abgegriffen werden, lassen sie sich nicht einfach ändern wie ein Passwort.
Was also tun? «Als Sicherheitsspezialist wäre es unsere Empfehlung, biometrische Daten mit einem Passwort zu kombinieren, um eigenmächtig Dynamik erzeugen zu können», sagt Ruef im Interview. Natürlich würde so der bereits erwähnte Komfort verloren gehen. Deshalb müsse ein Weg gefunden werden, der sowohl sicher als auch komfortabel ist, sagt der IT-Spezialist.
Erhöhtes Risiko für bekannte Personen
Je mehr Sicherheitsmerkmale verwendet würden, desto aufwendiger werde es, diese zu knacken, sagt Ruef. Absolute Sicherheit gebe es aber trotzdem nicht: «Wir sagen unseren Kunden jeweils, man kommt in ein System entweder in zwei Minuten, zwei Stunden, zwei Tagen oder in zwei Jahren rein.»
Es sei jedoch fraglich ob jemand so viel Zeit investieren würde, um ein privates Handy zu kompromittieren. «Einer Person wie Wladimir Putin würde ich aber nicht empfehlen, sein Handy mit einem Fingerabdruck zu entsperren.»
Mit dem Note 7 hat Samsung ins Schwarze getroffen: Kein anderes Gerät ist derzeit besser aufgestellt, als das XXL-Handy mit Stift. Das hat aber seinen Preis.
Das Samsung Note 7 mit Iris-Scanner im Test. (Video: 20 Minuten)
Eine Untersuchung der Universität Warschau in Zusammenarbeit mit der Universität Notre Dame zeigte, dass Augen von einem Scanner erkannt werden können. Die Iris kann demnach auch nach dem Ableben noch für eine Authentifizierung herangezogen werden.