Gerüchten zufolge soll das Apple iPhone 5S einen biometrischen Fingerabdruck-Scanner besitzen. Sicherheit ist mittlerweile ein großes Thema geworden. Selbst Otto Normalverbraucher weiß (oder vermutet) mittlerweile, dass seine jeden Schritte im Netz und am Rechner irgendwie überwacht und ausgewertet werden. Das betrifft nicht nur die NSA, sondern auch Konzerne wie Apple und Google, die mit Big Data bereits heute Big Business machen.
Data-Mining mag den Durchschnittsverbraucher nicht auf die Palme bringen (er habe ja nichts zu verbergen), doch bringt es dennoch ein erhebliches Sicherheitsrisiko mit. Ungewollte Leaks von Kundendaten und Sicherheitslecks sind die Folge der Akkumulation sensibler Daten, die Angreifer anlocken und oftmals durch patzigen Umgang in die falschen Hände gelangen. Nicht überall können wir nachprüfen, was tatsächlich anonymisiert wird, wie sicher eine Verschlüsselung ist, wie es auf den Cloud-Servern eines Anbieters aussieht, ob es Backdoors in den Betriebssystemen oder Konstanten in den Zufallsgeneratoren gibt.
Meine Empfehlungen für dich
Die 4-Stunden-Woche - Mehr Zeit, mehr Geld, mehr Leben | Der Welt-Besteller für eine geniale Work-Life-Balance, ortsunabhängiges Arbeiten und ein fantastisches Leben.
Bestes iPhone Leder-Case - Eleganter kannst du dein iPhone nicht gegen Schmutz und Kratzer schützen. Das 2in1 Leder-Case von Solo Pelle ist abnehmbar, kommt mit Kartenfächern daher und sieht einfach nur mega aus.
Mein liebster Arbeitsstuhl - Ohne den Swopper Air hätte ich sicherlich mehr Rückenschmerzen. Er fördert trotz Sitzposition eine bewegliche Wirbelsäule und hält mich beim Arbeiten aktiv. Das ist ein riesiger Vorteil zum stink normalen Bürostuhl.
Jetzt will die NSA auch noch meinen Daumenabdruck? Wo ist mein Aluhut?
Gerade jetzt, wo Verbraucher um die Sicherheit ihrer persönlichen Daten und sensibler Fotos auf ihren Smartphones besorgt sind, soll Apple auf Biometrie setzen? Fingerabdruckscanner haben eine lange Historie der Überwindbarkeit, die im einfachsten Falle bereits mit ein bisschen Klebeband zu bewerkstelligen ist. Etwas sophistizierter geht es mit einem künstlichen Finger zu, oder mit der echten Person und etwas "Überzeugung". Viel problematischer werden aber Datenschützer die Tatsache sehen, dass die relevante Biometrie irgendwie auch lokal auf dem Gerät gespeichert sein muss, damit überhaupt ein Vergleich möglich ist.
Andererseits will aktuell fast jeder Bürger seine Daten zusätzlich absichern. In Kombination mit starker Verschlüsselung und PFS wäre der Fingerabdrucksensor vielleicht sogar eher ein Kaufgrund, als ein Paranoia-Auslöser.
Woher kommt das Gerücht mit dem Fingerabdruckscanner?
Apple hat für eine saftige Summe im Juli 2012 das Unternehmen AuthenTec im Wert von etwa 356.000.000 US-Dollar gekauft, das ohne Zweifel eine Menge Erfahrungen in Punkto Sicherheit für PC und Mobile mitbrachte.
De Fakto war es einer der größten Merger aller Zeiten für Apple. Die Herrschaften bei AuthenTec sprachen bereits Ende 2011 diverse führende Unternehmen an, ob nicht einer Lust hätte eine neue Technologie mit ihnen weiterzuentwickeln. Apple war letztlich der passende Partner, nach zuerst gescheiterten Verhandlungen ging AuthenTecs intellektuelles Eigentum in den Besitz des Cupertino-Giganten über.
Wofür könnte ein Fingerabdrucksensor nützlich sein?
Eine AuthenTec-Erfindung aus dem Mai 2012 ist ein smarter Fingerabdruck-Sensor, der insbesondere auf sicheres NFC-Shopping unterwegs ausgelegt ist. Der AES, RSA und SHA unterstützende Sensor generiert sogenannte One Time Passwords (OTP), quasi Einwegkennwörter mit erhöhter Sicherheit. Bei 192 Pixel Breite (mit 13,5 mm in der physischen Breite) und 8 Pixel Höhe ist klar: Der Sensor wäre schlitzförmig, vielleicht nicht ganz passend zu den überall angedeuteten Leuchtkreisen, aber durchaus in einem Homebutton unterzubringen.
Es ginge also um Bezahlung und Authentifizierung. Angesichts der schleppenden Einführung von Passbook und NFC-Checkpoints in unseren Gefilden wäre ersterer Umstand keine sehr spannende Angelegenheit.
Authentifizierung ist hingegen schon spannender. Ein Daumenwischer kann nicht mit einem Schulterblick erspäht werden und das Gerät in Windeseile entsperren. Auch als zusätzliche Sicherheitsebene oder als Kinderschutz wäre biometrische Sicherheit durchaus nützlich im Alltag.
Aber das ist doch nicht sicher? Was passiert zum Beispiel, wenn einer meinen Finger und mein iPhone hat?
Wir kennen alle die Szenen aus Actionstreifen, in denen Augäpfel, Hände und Finger für Retina-Scanner "entwendet" werden, um sich Zugriff zu Lagerräumen und Geheimlabors zu verschaffen. Wird der "Daumendiebstahl" folglich irgendwann der einzige Weg für Smartphonediebe, die immer besser werdende Diebstahlsicherung zu umgehen? Ich glaube fast, wir müssen hier noch nicht in dystopische Sci-Fi-Welten abtauchen. Zumindest nicht in dieser Generation.
Wired stellt trotzdem eine interessante Frage: Ließe sich ein vermeintlich sicherer Fingerabdrucksensor nicht vielleicht doch hacken? Oder irgendwie umgehen? Stellt ein solcher Sensor nicht eine IT-sicherheitstechnische Achilles-Sehne dar? Der bärtige Bruce Schneier ist der Autor des Artikels und durchgängig bewandert in Punkto IT-Sicherheit, angewandter Kryptografie und allgemeiner Informatik.
Das beste System, das Bruce je sah, wurde an den Eingangstoren einer staatlichen Einrichtung eingesetzt. Ein falscher Finger wäre hier vielleicht eine Option gewesen, aber ein daneben postierter Marine-Wachmann hätte das zu verhindern gewusst. Prinzipiell sind zwei Versagenswege bei einem Authentifikationssystem möglich: Die falsche Person kommt rein, oder die richtige Person kommt nicht rein. Ersterer Fall ist ziemlich böse, vor allem wenn rudimentäre Mittel á la Drucker bereits für eine Fälschung ausreichen würden. Stellt Euch mal vor, was ein Dieb mit Eurer "Unterschrift" und dem Smartphone voller zahlungskräftiger Apps anstellen könnte. PayPal inklusive. Zweiterer Fall ist bei einem Privatgerät aber fast schlimmer, insbesondere in dringlichen Fällen und bei flottem Informationsbedarf.
Der falsche Finger zum richtigen Zeitpunkt
Das Hauptrisiko liegt aber in der (i)Cloud, wie Bruce es formuliert: Apples System wird mit hoher Wahrscheinlichkeit auf lokale Authentifizierung setzen. Aber eine Anbindung zu iCloud, das wäre brisant, wenn sie denn eine (teil-)zentralisierte Datenbank mit Fingerabdrücken implizieren würde. Das ist wie gesagt ziemlich unwahrscheinlich, aber es bleibt nicht undenkbar, dass so etwas irgendwann folgen könnte. Denn wie wir mit recht hoher Wahrscheinlichkeit vermuten dürfen, war Apple im Bettchen mit den Feds, mal ganz abgesehen von externen Angreifern und Patzern.
Angesichts der Traktierbarkeit von biometrischen Systemen bleibt eigentlich nur eine Vermutung offen: Wenn der Sensor kommt, dann entweder als Gimmick für semi-sensible Daten oder als Teil einer Zwei-Faktor-Lösung.
Was meint Ihr? Würdet Ihr sensible Daten hinter einem biometrischen Schutz lagern? Seht Ihr diese Vorhaben als leichtsinnig an? Ist der Fingerabdrucksensor vielleicht nur Hype und der Home-Button kommt lediglich als kapazitive, langlebige Variante zurück?
Artikelcover: Davids Finger aus Prometheus (20th Century Fox)
Noch kein Fan? Folge WEBLOGIT auf Facebook oder Twitter, um nichts zu verpassen! ↵
