Ob Online-Banking oder Handybildschirm: Fingerabdrucksensoren und Gesichtsscans gehören längst zum Alltag vieler Smartphone-Besitzer. Aber wie sicher sind sie?
Chats unter Verschluss halten: Das geht bei WhatsApp seit einigen Monaten. Wer besonders pikante Gespräche auf dem eigenen Handy sichern will, kann sie mit wenigen Klicks "sperren". Dann ist ein Passwort, Fingerabdruck oder Gesichtsscan nötig, um die Unterhaltung aufzurufen.
Bei vielen anderen Diensten läuft es ähnlich, wenn es um sensible Daten geht. Wer online Geld überweist, kann Transaktionen per Fingerabdruck autorisieren. Die Entsperrung des Handy-Displays funktioniert nicht nur über eine PIN, sondern auch per Fingerabdruck oder Gesichtsscan.
Das scheint auf den ersten Blick besonders sicher. Passwörter oder Zahlenkombinationen können gestohlen werden, Fingerabdrücke und Gesichter nicht - so zumindest die gängige Meinung. "Ganz richtig ist das allerdings nicht", sagt Anna Lena Fehlhaber im Gespräch mit CHIP.
Miese Facebook-Masche: Wer diese Nachricht erhält, muss aufpassen
Zum Download: Sophos Intercept X for Mobile
- Sophos Intercept X for Mobile - Android App 9.71Sophos Intercept X for Mobile - Android App 9.7Version 1.2.39"Sophos Intercept X for Mobile" schützt Ihr Android-Gerät vor bösartiger Software und Datenklau. CHIP Bewertung: Sehr gutzum Download
Fingerabdrücke stehlen: Das gab es schon einmal
Die Sicherheitsforscherin, die an der Leibniz Universität Hannover Seminare zum Thema "Human Factors in Cybersecurity" gibt, erinnert an einen Vorfall aus dem Jahr 2014. Damals gelang es IT-Experten des Chaos Computer Clubs (CCC), an den Fingerabdruck von Ursula von der Leyen zu kommen, der jetzigen EU-Kommissionschefin.
Nötig war lediglich ein Bild von der Bundespressekonferenz, das den Daumen der Politikerin zeigte. Jan Krissler vom CCC erklärte beim 31. Kongress des Vereins, er habe für die Fingerabdruck-Fälschung eine spezielle Software benutzt. Das Ganze wäre aber auch manuell möglich gewesen, heißt es in einem Bericht des "Tagesspiegel".
Der Coup liegt inzwischen zwar fast zehn Jahre zurück. Wichtig sind die Erkenntnisse aber auch heute noch. 2014 kamen soziale Netzwerke in Schwung, heute sind sie aus dem Alltag der meisten Menschen kaum noch wegzudenken.
Das birgt Gefahrenpotenzial. Viele Nutzer teilen private Fotos und Videos auf Instagram, Facebook oder TikTok. An Aufnahmen der Hände oder des Gesichts zu kommen, ist keine große Herausforderung mehr - eher im Gegenteil. Obendrein sind die Bilder oft schärfer als vor zehn Jahren, bilden sensible Merkmale also noch genauer ab.
Wer einen Virenscanner fürs Handy sucht: Gratis-App bietet den besten Schutz
Studie zeigt: Fingerabdrücke können "abgehört" werden
Dazu kommt: Nicht nur Fotos können Nutzern gefährlich werden. Forscher aus den USA und China fanden heraus, dass sich Fingerabdrücke "abhören" lassen. Über das Mikrofon eines Handys konnten sie wesentliche Eigenschaften von Fingerabdrücken herausfinden.
Das geht aus einer gerade erst veröffentlichten Studie mit dem Titel "PrintListener: Uncovering the Vulnerability of Fingerprint Authentication via the Finger Friction Sound" hervor. Eine Kombination aus mehreren Algorithmen, der sogenannte "PrintListener", machte das "Abhören" möglich.
Nutzer tippen schließlich nicht nur zum Entsperren auf ihren Handys herum, sondern auch während der Nutzung einzelner Apps. Wenn das Mikrofon aktiviert ist - zum Beispiel bei Skype, Microsoft Teams oder Discord -, lassen sich Rückschlüsse auf den Fingerabdruck ziehen, so die Forscher.
Dozentin Fehlhaber hat die Studie gelesen. Sie sagt: "Sensoren können - aus Cybersicherheitsperspektive - problematisch sein. Der Beschleunigungssensor, der in vielen Smartphones verbaut ist, kann zum Beispiel auch als Keylogger, also zum Aufzeichnen der Tastatureingaben, missbraucht werden."
Allerdings, so erklärt es die Sicherheitsforscherin, sind Bedrohungsszenarien wie das Fingerabdruck-Abhören oder die Fälschung per Foto nicht alltäglich. Solche Daten zu gewinnen und sie dann auch noch - aus der Ferne - zum Entsperren eines Handys einzusetzen, ist kaum oder nur mit sehr viel Aufwand möglich.
- Gratis, aber gefährlich: Diese VPN-Apps können Ihr Smartphone infizieren
Gesichtserkennung war viel Kritik ausgesetzt
Nicht nur über Fingerabdrücke, auch über die Identitätsprüfung per Gesichtsscan wurde in den vergangenen Jahren heftig diskutiert. Grund dafür waren Medienberichte, die kein gutes Licht auf die Technologie warfen.
2019 zum Beispiel fanden niederländische Verbraucherschützer der Organisation Consumentenbond Besorgniserregendes heraus. 42 von 100 getesteten Smartphones ließen sich damals durch einfache Fotos austicksen. Darunter Handys vieler bekannter Hersteller wie Samsung, Huawei, Sony und Nokia. Das ist jetzt rund fünf Jahre her.
Eine klare Antwort, was sich seitdem verbessert hat, gibt es von Samsung trotzdem nicht. Das Unternehmen schreibt auf CHIP-Anfrage lediglich, Nutzer hätten die Möglichkeit, ihre Galaxy-Geräte per Fingerabdruck oder Gesichtserkennung zu entsperren. Weiter heißt es im schriftlichen Statement:
"Die Entsperrung des Smartphones mittels Gesichtserkennung stellt dabei die komfortabelste Möglichkeit dar. Wenn Nutzer ihr Gerät mit dem höchstmöglichen Schutz versehen möchten, empfiehlt es sich, das Gerät via Fingerabdruck zu entsperren."
In einem Nebensatz räumt Samsung also ein, dass die Identitätsprüfung per Gesichtsscan nicht ganz so sicher ist wie die per Fingerabdruck. Ob und wenn ja, was genau sich seit 2019 verbessert hat, bleibt unklar.
Auch Google stand in der Vergangenheit wegen der Sicherheit der Gesichtserkennung bei Pixel-Geräten in der Kritik. Zwar soll sich die Technologie inzwischen verbessert haben. Eine Anfrage dieser Redaktion, was genau angepasst wurde, blieb allerdings unbeantwortet.
Mini-Abbuchungen vom Konto: Darum sollten Verbraucher sofort reagieren
Biometrische Daten nicht so leicht zu stehlen
Privatnutzer können am Ende trotzdem beruhigt sein. Ein Handy per Gesichts-Foto oder durch eine andere Person zu entsperren, mag zwar möglich sein. Dazu bräuchte ein Angreifer aber in aller Regel physikalischen Zugriff auf das jeweilige Smartphone.
Dazu kommt: Eingelesene Fingerabdrücke und Gesichtsscans lassen sich nicht so einfach stehlen. Das liegt auch daran, wie sie gespeichert und verwertet werden. "Übrig bleibt am Ende ein 'biometrisches Template', das ist eine mathematische Interpretation des Fingerabdrucks oder Gesichts", sagt Fehlhaber.
"Das Template ist in sich verschlüsselt und kann nicht ohne Weiteres ausgelesen oder verändert werden." Selbst, wenn ein Angreifer im Besitz eines Schlüssels wäre, könnte er daraus nicht das ursprüngliche Bild - also zum Beispiel das Gesicht eines Nutzers - rekonstruieren, so die Sicherheitsforscherin.
Bank-Kunden aufgepasst: Mit diesen Tricks entlarven Sie Phishing-Nachrichten sofort
Umfrage zeigt: Viele Deutsche verwenden oft das gleiche Passwort
Generell schneidet Biometrie, was die Sicherheit bei der Authentifizierung angeht, besser ab als andere Methoden. "Ein großer Vorteil ist, dass wir unseren Fingerabdruck oder unser Gesicht immer bei uns tragen", sagt Fehlhaber. Passwörter werden vergessen, erraten, gestohlen - oder bei mehreren Diensten gleichzeitig verwendet.
Dass das ein Problem ist, zeigt eine Umfrage, die das Marktforschungsunternehmen Bilendi & respondi für den E-Mail-Anbieter web.de durchgeführt hat. 63 Prozent der Befragten gaben an, für einige oder sogar alle Online-Dienste das gleiche Passwort zu verwenden.
Ein Allheilmittel sind Fingerabdruck- oder Gesichtsscans aber nicht. Fehlhaber sagt: "Wenn ein biometrischer Faktor einmal kompromittiert wurde, kann man ihn nicht ersetzen." Wie auch: Fingerabdrücke oder Gesichtsmerkmale lassen sich nicht einfach verändern.
Am Ende gilt also: Biometrische Merkmale als Entsperr-Instrument sind relativ sicher. Sicherer jedenfalls, als schwache Passwörter. Und die kursieren weiterhin. Die Umfrage von Bilendi & respondi zeigt nämlich auch, dass nur jeder Zehnte einen Passwort-Generator oder ähnliche Software nutzt.
Andere Leser interessiert auch:
- Massenhaft genutzt: So verhindern Sie, über beliebtes Verfahren gehackt zu werden
- Kündigung erhalten? Wer nicht reagiert, hat Pech
- Werbung, "lächerlich schlechtes Menü": So groß ist der Unmut über Windows 11