Fingerabdruckscanner in technischen Geräten sind keine neue Erfindung und das Gerücht ging ja schon lange vor dem Launch rum, dass Apple im iPhone 5S auf eine solche Technik setzen würde. Es gibt aber unterschiedliche Ansichten darüber, ob es sich dabei aber wirklich um eine gute Idee handelt.

iPhone 5S: Fingerabdruckscanner – ein guter Kompromiss oder schlechte Idee?

Apple selbst ist natürlich davon überzeugt, dass es eine gute Idee wäre, besser auf jeden Fall als ein iPhone komplett ohne jeden Schutz – wobei das Schutzniveau eines vierstelligen Zahlencodes schon fragwürdig ist – zu benutzen. Und immerhin rund die Hälfte der iPhone-Nutzer verzichten bislang zumeist aus Bequemlichkeit auf die Codesperre. Für genau diese hat Apple den Fingerabdrucksensor eingebaut und es klingt natürlich nach einer Lösung, die mehr Sicherheit ohne Einschränkungen beim Komfort bietet. Zumindest in der Theorie. Auch Bruce Schneier bezeichnet diese Art der Authentifizierung als einen guten Kompromiss zwischen Sicherheit und Bequemlichkeit.

Also eine prima Idee? Nicht so wirklich, zumindest nicht nach Ansicht von Hamburgs Datenschutzbeauftragten Johannes Caspar und Anwalt Udo Vetter. Gegenüber dem Spiegel sprach sich der Datenschützer aus Hamburg ganz klar gegen solche Techniken aus:

Biometrische Merkmale kann man nicht löschen. Sie begleiten uns das Leben lang. Fingerabdrücke sollte man daher nicht für alltägliche Authentifizierungsverfahren abgeben, insbesondere wenn sie in einer Datei gespeichert werden.

Das ist schon eine grundsätzliche Absage, bei der es an sich gar keine weiteren Argumente braucht, wie die Frage danach, wo die Fingerabdrücke – bzw. die daraus erzeugten eindeutigen IDs – am Ende landen. Apple sagt, dass sie nur auf dem Gerät gesichert werden und keine App Zugriff darauf hat. Aber selbst wenn es anders wäre und irgendein US-Geheimdienst diese Daten bekäme, dann dürfte Apple das wohl kaum ausplaudern.

Darauf macht auch Udo Vetter aufmerksam, aber als Strafverteidiger fallen ihm natürlich noch andere Argumente gegen biometrische Authentifizierung für Smartphones ein:

Jeden Tag beschlagnahmen deutsche Kriminalbeamte hunderte, wenn nicht tausende Mobiltelefone. Sogar ohne richterlichen Beschluss dürfen sie in vielen Fällen die gesamten Geräteinhalte unter die Lupe nehmen. Für Fingerabdrücke gibt es keine Ausnahme.

Wer so ein mögliches Beweismittel selbst aus der Hand gibt, um sein Handy bequemer aktivieren zu können, kann sich später nicht auf Verwertungsverbote berufen. Die Fingerabdrücke sind noch nicht mal Kommunikationsdaten im engeren Sinn, für welche die kargen Reste des Telekommunikationsgeheimnisses gelten.

Darüber hinaus muss man zwar als Beschuldigter (und schon gar nicht als Zeuge) seine Passwörter heraus geben, aber die Fingerabdrücke können auch ohne Mitwirkung eines Beschuldigten abgenommen werden. Und auch andere, die sich nicht an gewisse Vorschriften gebunden sehen tun sich mit Sicherheit leichter jemanden zum Auflegen des Fingers auf einen Sensor zu nötigen als ihn zum Verraten eines Passworts oder eines Sperrcodes zu zwingen.

Als wäre das nicht genug gibt es noch ein gewichtiges Argument gegen die Nutzung der Funktion:

Wer die Fingerabdruck-Sperre nutzt, akzeptiert gleichzeitig eine faktische Umkehr der Beweislast, wenn sein Mobiltelefon für ein krummes Ding genutzt worden sein soll. Ein biometrisches Datum hat bei der Frage, wer das Handy genutzt hat, natürlich erst mal einen wesentlich höheren Stellenwert als ein Vierzahlen-Code. Die Folge: Der mögliche Rechtfertigungsdruck auf den Telefonbesitzer steigt.

Immerhin kann Udo Vetter dem Feature noch etwas Positives abgewinnen: Er erhofft sich ein gesteigertes Problembewusstsein durch die jetzt laufende Diskussion. Am Ende muss es jeder für sich selbst entscheiden, ob er so ein Feature – welches in Zukunft mit Sicherheit auch in anderen Smartphones und Tablets integriert werden wird – nutzen möchte oder nicht. Man sollte vor der Aktivierung auf jeden Fall ein bisschen über die möglichen Folgen nachdenken.

Newsletter abonnieren

RSS-Icon Immer auf dem Laufenden bleiben? Dann abonniere unseren RSS-Feed!
  • Philipp Friedrich

    Ich möchte es einfach als nette Spielerei und eine praktische Sicherung des iPhones einstufen.
    Und bevor das Gemecker losgeht,dass das viel zu leicht zu knacken ist, will ich sagen,dass alles zu knacken ist wenn man unbedingt will.

    Ansonsten will ich über den Device nicht so viele Worte verlieren.

  • Wastl

    Schonmal in den USA gewesen? Dann haben die Amerikaner die Fingerabdrücke eh schon. Genauso wie viele andere Ländern darf man den bei der Einreise abgeben.

    Und zum Thema Schutzniveau: meine Hypothese ist, dass es da ein globales Maximum gibt. Steigert man die Schutzmechanismen, werden komfortable Umgehungslösungen gesucht und das Schutzniveau sinkt wieder. Und genau deshalb vermute ich den Fingerabdruckscanner sonstigen aktuell verwendeten Techniken meilenweit überlegen!

    • Patrick Blumberg

      Und du denkst, dass es nicht möglich wäre einem Handy einen Virus/Trojaner einzuspeisen, der hier im Falle des 5S den Fingerabdruck “Hash” abfängt und auf Wunsch des Virusprogrammierers an anderer Stelle (zB wenns um Onlinebanking geht) eben diesen nutzt um zB Zugriff auf das Bankkonto des gehackten zu gelangen?

      Und noch etwas: Dank des Fingerabdruckscanners ist es theoretisch möglich, wenn das Handy jedesmal nen Fingerabdruckscan macht wenn der Homebutton benutzt wird, jederzeit nachvollziehen zu können wann der Eigentümer des Handys selbst(!) auf Internetseiten, Apps etc zugriff genommen hat. Nicht so wichtig? Na, bisher ist zB nicht beweisbar, ob auch wirklich der Eigentümer das Handy zu diesem Zeitpunkt benutzt hat oder obs jemand anders war. Mit dem Fingerabdruck der zu jeder Zeit belegen könnte ob es der Eigentümer war oder nicht ist sowas viel leichter…

      • Brustfetischist

        Das erste Argument ist irgendwie unsinnig. Wenn es jemand schafft diesen Hash abzufangen, der ja nichtmal gesendet wird, dann schafft es derjenige aber auch wesentlich leichter die Zugangsdaten, welche eben ja immer gesendet werden, abzufangen.

        Zudem bringt der Hash doch nichts. Schliesslich kann die Banksoftware nichts damit anfangen, diese greift ja nur auf ein “true” oder “false” vom System zu. Was sollte der Hacker also mit dem Hash anfangen?

        Das zweite ist dann schon bedenklicher, allerdings ist das seeehr theoretisch. Scheinbar muss man ja eh den Finger etwas länger drauflassen damit er gelesen wird. Beim normalen Betätigen dürfte es auch technisch zu kurz sein um den Abdruck zu registrieren. Vorraussetzung wäre ja zusätzlich noch ein enormes Misstrauen in Apple, die das alles ja speziell für die NSA machen müssten, da sie selbst nichts davon haben. Zudem sollte man die Tätigkeit des Sensors relativ einfach nachprüfen können.

        Für das eigentliche entsperren ist das zu kurz gedacht. Wer weiß denn ob mich nicht jemand gezungen hat den Fingerabddruck drauf zu legen? Wer weiß denn ob ich mein Handy nicht aus der Hand gegeben habeß EInmal entsperrt bleibt es ja benutzbar. Wer weiß denn ob ich die Code Abfrage nicht auf 5 Minuten, 15 Minuten, 1 Stunde oder 4 Stunden gestellt habe? Oder ganz aus hatte? Das müsste ja auch alles noch zusätzlich gespeichert werden um immerhin auf eine hohe Wahrscheinlichkeit zu kommen (ein Beweis ist das auch dann nicht).

        • Patrick Blumberg

          Naja vielleicht ist das Beispiel mit dem Onlinebanking (noch) nicht so gut. Aber denkbar ist es schon, dass durch einen Trojaner eben diese Abdruckdaten abgefangen werden können und dann hat man nicht mal eben ein einfaches Passwort was man ersetzen kann verloren sondern seinen einzigartigen Fingerabdruck,…

          • Brustfetischist

            Die Abdruckdaten sind aber ja verschlüsselt, egal wie leichtgläubig oder paranoid man ist. Wer den abfangen kann, der kann auch einen PIN abfangen oder braucht weder das eine noch das andere.

            Sollte es irgendwann mal vorkommen das Fingerabdrücke im großen Stil mißbraucht werden, kann man auch immer noch wieder auf einen PIN setzen. Da ist also Nullkommanull Unterschied zur jetzigen Situation. Wo ist also der Nachteil?

            Zumal in deinem Beispiel der Bankkontozugang das fragwürdige ist. Woher der Fingerabdruck stammt ist doch zweitrangig.

            Zum zweiten Teil: Nein, das man den Fingerabdruck nicht ablesen kann, darin vertraue ich bestimmt nicht. Das die Daten nicht an Apple gesendet werden, ja daran glaube ich:

            1) Weil Apple es quasi freiwillig versichert, sie würden nicht merklich weniger Geräte verkaufen (wenn überhaupt, den Sensor muss man ja nicht nutzen) wenn sie einfach wie immer nichts sagen würden.
            2) Es kann und wird spätestens wenn der JB draussen ist von allen Seiten nachgeprüft werden. Und dann kommt wieder Punkt 1 ins Spiel. Wenn es rauskommt das etwas gesendet wird macht diese Aussage einen enormen Unterschied. Dann ist es keine Datenschutzverletzung (wenn überhaupt, nach US Recht), sondern eine vorsätzliche Falschbehauptung die für Apple sowohl Klagemäßig als auch Imagemäßig (diesmal bei Apple Usern, nicht wie sonst bei Apple Hassern) eine nie dagewesene Dimension erreichen würde. Wofür?
            3) Sie gar keinen Bedarf für den Abdruck haben. Was sollten SIE damit anfangen? Für sie sind die Abdrücke wirklich absolut wertlos. Selbst Datenkracken wie Google oder FB könnten wohl kaum irgendeine nützliche Information daraus ziehen. Schon gar nicht wenn mehrere Abdrücke ohne personenbezogene Daten eingespeichert werden können
            4) Die NSA (und Co) sicherlich auf alle verfügbaren Daten zugreifen können, aber eben nicht die Firmen dazu zwingen können bestimmte Daten zusätzlich zu erheben. Vor allem durch Punkt 1 und 2 wäre DAS dann ein unvermeidbarer bewusster wirtschaftlicher Schaden, wovon auch die NSA nichts hat. Zumal sie ja eh die Fingerabdrücke von jedem hat der mal in den USA hat oder nur einen Reisepass besitzt. Und da auch wirklich nicht nur der Hash und vor allem auch personenbezogen.

            Was ist daran also naiv?

          • Patrick Blumberg

            Ich zitier mich mal selbst was daran so schlimm ist: “dann hat man nicht mal eben ein einfaches Passwort was man ersetzen kann verloren sondern seinen einzigartigen Fingerabdruck,…”

            Und zum Thema was man mit dem Fingerabdruck anfangen will: Meinst du das iPhone wird das letzte sein wo man mit dem Fingerabdruck seine Identität bestätigt? Denk doch mal weiter… Und wenn du das alles für übertriebene Paranoia hälst ist dir nicht zu helfen. Ist doch logisch dass früher oder späte jede noch so sichere Verschlüsselung mal geknackt wird…

          • Brustfetischist

            Also, wenn der Fingerabdruck nichts mehr Wert ist, nimmt man einen PIN. Kommt also auf exakt das selbe raus als wenn man direkt einen PIN nimmt, weil man nie das Risiko eingehen will das man in die Situation kommt das der Fingerabdruck nicht mehr sicher ist. Paradox, oder?

            Nein, das iPhone wird nicht das letzte sein. Für weitere Anwendungsmöglichkeiten mache ich mir auch Sorgen. Doch hat das im grunde nichts mit dem iPhone zu tun. Denn das Szenario das du beschrieben hast macht hier keinen Sinn. Wer einen Fingerabdruck abfangen kann, der kann auch PINs abfangen. Oder eben den Fingerabdruck woanders abfangen.

            Es geht hier ja nicht darum das ich einer Verschlüsselung vertraue. Sondern der Umsetzung, eben aus dem Grund das man die Art und Weise nachprüfen kann und es keinen Sinn ergibt das Hersteller und NSA und Co. (wenn man Aufwand, Ergebnis und Alternativen betrachtet!) den großen Lauschangriff starten.

            Und das hat nichts mit “passiert doch schon nix” zu tun. Ich bin selber ein großer Anhänger des Datenschutzes. Und ich sage auch ganz ehrlich, wenn ich nicht eh schon meinen Fingerabdruck beim Pass und bei diversen USA Einreisen hätte abgeben müssen, dann würde ich den Sensor auch nicht nutzen (sofern ich das 5s überhaupt kaufen würde). Das liegt dann auch nicht an der heutigen Situation, sondern daran das ich nicht möchte das er überhaupt irgendwo hinterlegt ist, ganz egal ob personifziert oder nicht. Da bin ich also sogar eher paranoid.

            Der Zug ist aber nunmal abgefahren. Und man muss eben auch mal betrachten welche Informationen etwas Wert sind und welche nicht. Apple, Google und alle anderen haben davon einfach keinen vorstellbaren Nutzwert. Obwohl Goolge und FB sonst jeden kleinen Fetzen verwerten können.

            Und NSA und Co. haben eben den Zugriff auf die Daten im Pass und erst Recht von der Einreise. Da hat man auch personfiziert Daten und nicht wie beim iPhone mehrere Abdrücke die nur an einen Account, sprich an eine Emailadresse im ungünstigsten Fall, gekoppelt sind. Vorrausgesetzt man ist sich der Verschwörung (auf Grund der Indizien, Motive und der Nachprüfbarkeit muss man es in dem Fall sogar wirklich so nennen) sicher das hier die Geheimdienste Apple dazu auffordern die Daten extra für sie zu sammeln.

      • Kim Weigand

        Wird der Abgleich nicht Offline durchgeführt und bei Übereinstimmung Online grünes Licht gegeben?

        • Patrick Blumberg

          Theoretisch ja, weil angeblich das ja nur im iPhone selbst entschlüsselt wird. Nunja, selbst dann ist es möglich sowas durch einen Trojaner abzufangen (der dann “nach Hause telefoniert” sobald man online geht).

          • Kim Weigand

            Ich glaube es gab in der Geschichte von iOS noch nie einen Trojaner, oder zumindest keinen ernst zu nehmenden, der überhaupt nach Hause telefoniert hat. Korrigiert mich, wenn ich damit falsch liege?

  • Stubber2

    Ich finde die Darstellung hier sehr gut! Ganz anders geht es derzeit auf einschlägigen Blogs zu. Da werden der Datenschutz und die Datenschutzbeauftragte gern auch mal ins Lächerliche gezogen.

    Hoffentlich sieht man bei Apple genauso kritisch hin wie bei anderen Unternehmen, dass der Fall gewesen wäre (Samsung).

  • Brustfetischist

    “Sogar ohne richterlichen Beschluss dürfen sie in vielen Fällen die
    gesamten Geräteinhalte unter die Lupe nehmen. Für Fingerabdrücke gibt es
    keine Ausnahme”

    Die Datenschutzsorgen in allen Ehren, aber die Aussage ist doch in vielerlei hinsicht Bullshit.

    1) Es werden ja anscheinend nur “Hashs” gespeichert, keine ganzen Fingerabdrücke

    2) Die simplen Fingerabdrücke sind doch eh überall am Gerät, nicht nur beim 5s

    3) Es geht hier doch nicht um eine primitive Datei. Die Polizei müsste hier ja einen mit Sicherheit sehr schweren Verschlüsselungscode knacken. Das dürfte rechtlich wieder ganz anders aussehen.

    4) Es können mehrere Abdrücke gesichert werden. Angenommen die Polizei kann etwas mit den Hahs anfangen und kommt sogar dran, woher weiß sie dann wem welcher Abdruck gehört?

    5) Fast jeder Bundesbürger hat beim Reisepass eh schon seinen Fingerabdruck hinterlegt. Da wird sich für diesen verschlüsselten Hash (der nichtmal zweifelsfrei zugeweisen kann) auf dem Handy also keine Sau für Interessieren.

    Ausserdem:

    “Ein biometrisches Datum hat bei der Frage, wer das Handy genutzt hat,
    natürlich erst mal einen wesentlich höheren Stellenwert als ein
    Vierzahlen-Code. Die Folge: Der mögliche Rechtfertigungsdruck auf den
    Telefonbesitzer steigt.”

    Dafür müsste die Polizei erstmal nachweisen dass das Gerät zu dem Zeitpunkt des krummen Dings auch einen eingeschalteten Schutz hatte. Das wird wohl kaum irgendwo gespeichert sein. Und es wird noch aussageloser wenn mehrere Abdrücke hinterlegt sind.

    Das Argument setzt irgendwie vorraus das jedes 5s nur einem einzigen Abdruck entsperrt werden kann und die Sperre nicht ausschaltbar ist und bei jedem User zwangsweise auf “sofort” steht.

  • leosmutter

    “Darüber hinaus muss man zwar als Beschuldigter (und schon gar nicht als Zeuge) seine Passwörter heraus geben”

    Da fehlt das “nicht” genau wie in der nun korrigierten Version des Originaltextes vom lawblog.

  • two

    Ich sehe an dem ganzen Konzept genau 2 Probleme:
    1. Wenn mein Fingerabdruck (oder ein ausreichend umfangreiches Template, was hier gern Hash genannt wird, aber eigentlich nur ein auf X Punkte reduzierter Abdruck ist) irgendwann mal in einer Sammlung irgendwelcher Diebe landet, dann bin ich auf Lebenszeit von jeglichen Fingerabdruck-Systemen ausgeschlossen, denn meinen Fingerabdruck kann ich niemals wechseln. Und nein: Plastik-Finger gehen mit dem Apple-System auch nicht mehr.

    2. Apple hat das Konzept bisher nicht offen gelegt, und wer in den letzten Monaten mal Zeitung gelesen hat, dem sollten hier bereits die Haare zu Berge stehen. Man kann sich mit ein bisschen paranoider Kreativität ganz schnell Szenarien überlegen, wie die NSA sich einen ablacht, da sie jetzt (paranoid-theoretisch) jederzeit die Kombination aus eindeutiger Identifikation von Personen plus deren exaktem Aufenthaltsort abfragen kann.
    Hier müsste eigentlich jeder mit technischem Verständnis von Apple fordern, dass der komplette Weg den die Fingerabdruck-Daten nehmen offen gelegt wird, stattdessen ist aber der generelle Tenor immer noch: “Ach die ham ja gesagt ist sicher, dann ist es bestimmt auch sicher.”

    Da frag ich mich was eigentlich noch passieren muss, bis diese “Experten” mal aufwachen.

    • Patrick Blumberg

      So seh ich das auch.

  • P.H.

    In Notebooks ist diese Technik schon lange integriert und man hat nicht halb soviele Hater Beiträge und Seiten gefunden.
    Zudem stimmt der Punkt mit der umgekehrten Beweislast überhaupt nicht, denn man kann das Gerät auch weiterhin mit einem vierstelligen Passwort UND gleichzeitig einem Fingerprint schützen. Bitte keine Märchen erzählen Sie kluger Herr Datenschützer… Und nochwas, in der IT dürfte ein Befürworter dieses beitrags NIEMALS arbeiten. Für jedes gut gesichertes RZ werden biometrische Daten für den Zugang erfasst. :)

Trackbacks & Pingbacks