Sicherheit per Bimoetrie Wettlauf mit den Hackern
München · Zur Erkennung der Nutzer werden biometrische Verfahren wie Gesichts- oder Fingerabdruck-Erkennung immer beliebter. Hacker liefern sich mit den Herstellern einen Rennen darum, Geräte trotzdem zu knacken.
(dpa) Für viele Computer- und Handynutzer ist es längst Routine: Kurz mit dem Finger über die Fläche fahren oder den Daumen auf das runde Feld drücken, schon ist der Bildschirm entsperrt. Besitzer neuerer Geräte können zur Freischaltung auch in eine 3D-Kamera gucken, in der ein Sensor das Auge oder das ganze Gesicht erfasst. Solche biometrischen Authentifizierungs-Systeme sind praktisch. Und sie werden immer sicherer. Der Münchner Chiphersteller Infineon etwa verbaut Sensoren mit der sogenannten Time-of-Flight-Technologie in Handys des Herstellers LG. Der Chip erfasst Infrarotlicht, das vom gescannten Objekt reflektiert wird. Auf diese Weise wird ein 3D-Bild des Gesichts erstellt. Mit einem schlichten 2D-Foto des Besitzers lässt sich das Handy damit nicht mehr knacken. Zuvor hatte Apple bereits eine noch etwas aufwändigere Variante der Gesichtserkennung („FaceID“) für das iPhone entwickelt.
„Einfache Systeme wie 2D-Kameras oder Fingerabdrucksensoren konnten überlistet werden“, sagt Peter Laackmann, Sicherheitsstratege des Bereichs digitale Sicherheitslösungen beim Münchner Chiphersteller Infineon. „Neuere Verfahren wie die dreidimensionale Gesichtserkennung bieten weitaus höhere Sicherheit.“ Doch hundertprozentig lässt sich diese mit keinem System garantieren.
Erst Ende vergangenen Jahres tricksten Hacker des Chaos Computer Clubs (CCC) einen Sensor aus, der die Venenstruktur unter der Hand erkennt und zuordnen kann, auch wenn es sich aus Sicht von Experten um ein veraltetes Gerät gehandelt hatte, das nicht auf dem neuesten Stand der Technik war.
Dennoch finden biometrische Authentifizierungsverfahren auch in Deutschland immer mehr Anklang, denn sie versprechen Komfort und Sicherheit. Fast 90 Prozent der Bundesbürger würden etwa bargeldlose Bezahlungen per Fingerabdruck autorisieren, hat der Digitalverband Bitkom vor einigen Tagen in einer Umfrage ermittelt. Im Vorjahr waren es 80 Prozent. Und diese Verfahren sind auch in der Wirklichkeit angekommen. Bezahlverfahren wie Apple Pay, Google Pay oder in Banken-Apps setzen längst auf eine biometrische Freigabe der Transaktionen.
Die Sensoren können mehr messen als Fingerabdrücke, Gesichter und Augen. Längst können sie auch Menschen anhand ihres Gangs oder ihrer Bewegungen identifizieren. Besagte Venenscanner wiederum erkennen mittlerweile auch, ob Blut durch diese Venen fließt, oder ob ihnen jemand eine leblose Handattrappe hinhält. Man habe alle körperlichen Merkmale erforscht und zumindest versuchsweise auch erfasst, sagt Florian Kirchbuchner, Leiter der Abteilung Smart Living & Biometric Technologies beim Fraunhofer-Institut für Grafische Datenverarbeitung (IGD) in Darmstadt. Auf diese Weise lassen sich Menschen im Idealfall eindeutig identifizieren. Mitarbeiter einer Firma etwa, die, einmal am Gang erkannt, Zugang zu ihrem Arbeitsplatz erhalten. Doch die dabei anfallenden Daten sind sensibel. Mit den so gewonnenen Bewegungsmustern ließen sich auch Rückschlüsse auf unser Verhalten, unsere Vorlieben, oder sogar unsere Emotionen ziehen, sagt Kirchbuchner. Vor allem dann, wenn solche Techniken im Heimbereich installiert werden – sei es zum Schutz vor Einbrechern, oder zu medizinischen Zwecken, etwa zur Überwachung von pflegebedürftigen Bewohnern.
Der Schutz dieser Daten müsse gewährleistet sein, sagt Kirchbuchner. Eine wichtige Maßnahme sei etwa, keine Rohdaten zu speichern, also keine Fotos oder Audioaufnahmen der Stimme. Apple etwa speichert bei seinen „TouchID“-System keine Bilder der Fingerabdrücke, sondern lediglich mathematische Darstellungen davon. Ein tatsächlicher Fingerabdruck kann aus diesen Daten nicht hergeleitet werden.
