Image Image Image Image

Schlechtes Timing bei Apple? Fingerabdrücke und Sicherheitswahn

Schlechtes Timing bei Apple? Fingerabdrücke und Sicherheitswahn

Gerüchten zufolge soll das Apple iPhone 5S einen biometrischen Fingerabdruck-Scanner besitzen. Sicherheit ist mittlerweile ein großes Thema geworden. Selbst Otto Normalverbraucher weiß (oder vermutet) mittlerweile, dass seine jeden Schritte im Netz und am Rechner irgendwie überwacht und ausgewertet werden. Das betrifft nicht nur die NSA, sondern auch Konzerne wie Apple und Google, die mit Big Data bereits heute Big Business machen.

Data-Mining mag den Durchschnittsverbraucher nicht auf die Palme bringen (er habe ja nichts zu verbergen), doch bringt es dennoch ein erhebliches Sicherheitsrisiko mit. Ungewollte Leaks von Kundendaten und Sicherheitslecks sind die Folge der Akkumulation sensibler Daten, die Angreifer anlocken und oftmals durch patzigen Umgang in die falschen Hände gelangen. Nicht überall können wir nachprüfen, was tatsächlich anonymisiert wird, wie sicher eine Verschlüsselung ist, wie es auf den Cloud-Servern eines Anbieters aussieht, ob es Backdoors in den Betriebssystemen oder Konstanten in den Zufallsgeneratoren gibt.

Jetzt will die NSA auch noch meinen Daumenabdruck? Wo ist mein Aluhut?

Gerade jetzt, wo Verbraucher um die Sicherheit ihrer persönlichen Daten und sensibler Fotos auf ihren Smartphones besorgt sind, soll Apple auf Biometrie setzen? Fingerabdruckscanner haben eine lange Historie der Überwindbarkeit, die im einfachsten Falle bereits mit ein bisschen Klebeband zu bewerkstelligen ist. Etwas sophistizierter geht es mit einem künstlichen Finger zu, oder mit der echten Person und etwas "Überzeugung". Viel problematischer werden aber Datenschützer die Tatsache sehen, dass die relevante Biometrie irgendwie auch lokal auf dem Gerät gespeichert sein muss, damit überhaupt ein Vergleich möglich ist.

Andererseits will aktuell fast jeder Bürger seine Daten zusätzlich absichern. In Kombination mit starker Verschlüsselung und PFS wäre der Fingerabdrucksensor vielleicht sogar eher ein Kaufgrund, als ein Paranoia-Auslöser.

Der Aluhut. Macht die Birne abhörsicher.

Woher kommt das Gerücht mit dem Fingerabdruckscanner?

Apple hat für eine saftige Summe im Juli 2012 das Unternehmen AuthenTec im Wert von etwa 356.000.000 US-Dollar gekauft, das ohne Zweifel eine Menge Erfahrungen in Punkto Sicherheit für PC und Mobile mitbrachte.

De Fakto war es einer der größten Merger aller Zeiten für Apple. Die Herrschaften bei AuthenTec sprachen bereits Ende 2011 diverse führende Unternehmen an, ob nicht einer Lust hätte eine neue Technologie mit ihnen weiterzuentwickeln. Apple war letztlich der passende Partner, nach zuerst gescheiterten Verhandlungen ging AuthenTecs intellektuelles Eigentum in den Besitz des Cupertino-Giganten über.

Wofür könnte ein Fingerabdrucksensor nützlich sein?

Eine AuthenTec-Erfindung aus dem Mai 2012 ist ein smarter Fingerabdruck-Sensor, der insbesondere auf sicheres NFC-Shopping unterwegs ausgelegt ist. Der AES, RSA und SHA unterstützende Sensor generiert sogenannte One Time Passwords (OTP), quasi Einwegkennwörter mit erhöhter Sicherheit. Bei 192 Pixel Breite (mit 13,5 mm in der physischen Breite) und 8 Pixel Höhe ist klar: Der Sensor wäre schlitzförmig, vielleicht nicht ganz passend zu den überall angedeuteten Leuchtkreisen, aber durchaus in einem Homebutton unterzubringen.

Es ginge also um Bezahlung und Authentifizierung. Angesichts der schleppenden Einführung von Passbook und NFC-Checkpoints in unseren Gefilden wäre ersterer Umstand keine sehr spannende Angelegenheit.

Authentifizierung ist hingegen schon spannender. Ein Daumenwischer kann nicht mit einem Schulterblick erspäht werden und das Gerät in Windeseile entsperren. Auch als zusätzliche Sicherheitsebene oder als Kinderschutz wäre biometrische Sicherheit durchaus nützlich im Alltag.

Aber das ist doch nicht sicher? Was passiert zum Beispiel, wenn einer meinen Finger und mein iPhone hat?

RCe1GaQWir kennen alle die Szenen aus Actionstreifen, in denen Augäpfel, Hände und Finger für Retina-Scanner "entwendet" werden, um sich Zugriff zu Lagerräumen und Geheimlabors zu verschaffen. Wird der "Daumendiebstahl" folglich irgendwann der einzige Weg für Smartphonediebe, die immer besser werdende Diebstahlsicherung zu umgehen? Ich glaube fast, wir müssen hier noch nicht in dystopische Sci-Fi-Welten abtauchen. Zumindest nicht in dieser Generation.

Wired stellt trotzdem eine interessante Frage: Ließe sich ein vermeintlich sicherer Fingerabdrucksensor nicht vielleicht doch hacken? Oder irgendwie umgehen? Stellt ein solcher Sensor nicht eine IT-sicherheitstechnische Achilles-Sehne dar? Der bärtige Bruce Schneier ist der Autor des Artikels und durchgängig bewandert in Punkto IT-Sicherheit, angewandter Kryptografie und allgemeiner Informatik.

Das beste System, das Bruce je sah, wurde an den Eingangstoren einer staatlichen Einrichtung eingesetzt. Ein falscher Finger wäre hier vielleicht eine Option gewesen, aber ein daneben postierter Marine-Wachmann hätte das zu verhindern gewusst. Prinzipiell sind zwei Versagenswege bei einem Authentifikationssystem möglich: Die falsche Person kommt rein, oder die richtige Person kommt nicht rein. Ersterer Fall ist ziemlich böse, vor allem wenn rudimentäre Mittel á la Drucker bereits für eine Fälschung ausreichen würden. Stellt Euch mal vor, was ein Dieb mit Eurer "Unterschrift" und dem Smartphone voller zahlungskräftiger Apps anstellen könnte. PayPal inklusive. Zweiterer Fall ist bei einem Privatgerät aber fast schlimmer, insbesondere in dringlichen Fällen und bei flottem Informationsbedarf.

Der falsche Finger zum richtigen Zeitpunkt

Das Hauptrisiko liegt aber in der (i)Cloud, wie Bruce es formuliert: Apples System wird mit hoher Wahrscheinlichkeit auf lokale Authentifizierung setzen. Aber eine Anbindung zu iCloud, das wäre brisant, wenn sie denn eine (teil-)zentralisierte Datenbank mit Fingerabdrücken implizieren würde. Das ist wie gesagt ziemlich unwahrscheinlich, aber es bleibt nicht undenkbar, dass so etwas irgendwann folgen könnte. Denn wie wir mit recht hoher Wahrscheinlichkeit vermuten dürfen, war Apple im Bettchen mit den Feds, mal ganz abgesehen von externen Angreifern und Patzern.

Angesichts der Traktierbarkeit von biometrischen Systemen bleibt eigentlich nur eine Vermutung offen: Wenn der Sensor kommt, dann entweder als Gimmick für semi-sensible Daten oder als Teil einer Zwei-Faktor-Lösung.

Was meint Ihr? Würdet Ihr sensible Daten hinter einem biometrischen Schutz lagern? Seht Ihr diese Vorhaben als leichtsinnig an? Ist der Fingerabdrucksensor vielleicht nur Hype und der Home-Button kommt lediglich als kapazitive, langlebige Variante zurück?

Artikelcover: Davids Finger aus Prometheus (20th Century Fox)


Übrigens: Wenn Du keine Neuigkeiten, Produkt-Tests oder Artikel von uns verpassen willst, dann folge uns am besten auf Facebook oder Twitter.



Hier kannst Du Deine Meinung loswerden:

  • Syndicate

    Ich finde das mittlerweile etwas übertrieben. Als wäre es nicht klar gewesen, dass wenn Personen (ob NSA oder andere) Daten/Informationen etc. haben wollen sie nicht bekommen würde.
    Ich würde die Idee aber ganz gut finden und ich denke das es auch eine neue Ära in der Smartphone-Sicherheit sein würde. Ich denke effektiv wäre es noch die ein oder andere Sicherheitsabfrage wie Passcode/Passwort oder wie es bei Android ist mit einem Bildscann/Gesichtsscann. So wäre das System noch weniger umgänglicher und könnte auch bei einem Diebstahl helfen den Täter zu identifizieren.

  • ast1

    Wenn man einmal in die USA einreist, werden sowieso alle (!) Fingerabdrücke genommen und gespeichert, was solls…

  • ast1

    Wenn man einmal in die USA einreist, werden sowieso alle (!) Fingerabdrücke genommen und gespeichert, was solls…

  • mcp

    Leute, Leute, Leute…
    Was für eine Ironie, alle Smartphonebesitzer machen sich Sorgen um Ihre Daten, sollte es mal geklaut werden… lol aber das vorher sogar Fingerabdrücke gespeichert werden, ist dann egal… denn wenn man in die USA einreist, werden die ja sowieso gespeichert…. hirni! Dann gib mir doch gleich Dein Onlinebanking-Zugang und Tan`s, oder denkst Du etwa so naiv, dass nur Du diese kennst?



← Menü öffnen weblogit.net | Home