/Smartphone

Fingerabdruck, Iris- und Gesichtserkennung – Was kann Biometrie?

Anna Schughart 06.10.2017 Lesezeit 4 Min

Apples Face ID ist noch lange nicht das Ende der Möglichkeiten: Viele Merkmale eignen sich zur biometrischen Authentifizierung. Lösen biometrische Merkmale bald die Passwörter ab?

Die Fingerabdrücke eines Menschen sind einzigartig. Das Gesicht auch, ja sogar die Ohren oder die Venenstruktur der Hand unterscheiden sich von Mensch zu Mensch. Alle diese biometrischen Merkmale können genutzt werden, um beispielsweise einem Handy zu sagen: Ich bin wirklich ich, lass mich an meine Daten. Immer mehr Unternehmen setzen deshalb auf biometrische Authentifizierung.

Denn Passwörter haben ein Problem. Sie sind unpraktisch, werden schlecht vergeben oder die Nutzer ändern sie nicht. „Oft verwenden Menschen auch immer die gleichen Passwörter“, sagt Chris Wojzechowski, vom Institut für Internet-Sicherheit an der Westfälischen Hochschule. Menschen tendieren dann dazu, sich die Sache leichter zu machen – und schaffen so Sicherheitslücken.

Genau das ist der große Vorteil der biometrischen Authentifizierung: Sie ist komfortabel. „Die Menschen mögen sie, weil sie einfach ist“, sagt Stephanie Schuckers von der Clarkson University. Um beispielsweise mit Appels neuer Face ID auf das Telefon zu zugreifen, muss man sich das iPhone nur vor das Gesicht halten.

Iris, Fingerabdrücke und Gesicht gehören zu den bekanntesten biometrischen Merkmalen. Doch damit sind die Möglichkeiten noch nicht ausgeschöpft. Ein Nutzer oder eine Nutzerin lassen sich beispielsweise auch an ihrem Verhalten identifizieren: Wie sie die Maus bewegt oder er die Tastatur benutzt – auch das ist ziemlich einzigartig. Die Stimme ist ebenfalls ein individuelles Merkmal. Die Anwendung der verschiedenen biometrischen Möglichkeiten hängt dann stark vom Kontext ab, ein Hand-Venenscanner ist zwar schwer zu täuschen, im Smartphone aber eher unpraktisch. „Aus der Sicherheitsperspektive ist die Vielfalt gut“, sagt Schuckers.

Aber wie sicher ist die biometrische Authentifizierung? „Eine hundertprozentige Sicherheit – ob bei Passwörtern oder biometrischen Merkmalen – ist sehr schwer zu erreichen“, sagt Wojzechowski. Ein Passwort kann man erraten, ein Fingerabdruck kann nachgebildet werden. Der Scanner von Samsungs Galaxy S8 ließ sich zum Beispiel mit Hilfe eines Fotos und Kontaktlinsen überlisten. Die Technik sei aber in den vergangenen Jahren schon weit fortgeschritten, sagt Wojzechowski. Heißt: Sie lässt sich immer schlechter täuschen.

Face ID erstellt mit Hilfe eines Infrarotscanners ein Profil des Gesichts. Laut Apple kann man das Telefon nicht mit einem Foto oder einer Maske austricksen. Zum Freischalten hat man fünf Versuche, danach muss man die PIN eingeben. Die Wahrscheinlichkeit, dass jemand sich das Smartphone vor das Gesicht hält und fälschlicherweise als Besitzer identifiziert wird, liegt bei eins zu einer Millionen, behauptet das Unternehmen. Bei der TouchID lag die Wahrscheinlichkeit bei eins zu 50.000. „Man muss sehen, wie sich die Technik im Alltag bewährt“, sagt Wojzechowski.

Die Herausforderung bestehe darin, sagt Schuckers, den Maschinen den Unterschied zwischen einem lebenden und einem toten Menschen (beziehungsweise einem Fingerabdruck auf Gummi oder Ähnlichem) beizubringen. Sie sagt aber auch: Das Problem wird vor allem als solches empfunden. Wirklich häufig passiere es nicht, dass jemand versuche, die biometrische Authentifizierung auszutricksen. Kritiker befürchteten aber auch, dass ein Dieb oder die Polizei das Handy dem Besitzer vor das Gesicht halten könnten, um Zugriff zu erhalten.

Fingerabdrücke, Gesichtsprofil oder Iris – das sind sehr persönliche Daten. Nicht nur die Daten auf dem Telefon, sondern auch die biometrischen Daten selbst, sollten deshalb vor fremden Zugriffen geschützt sein. Derzeit speichert Apple die biometrischen Daten ausschließlich auf dem jeweiligen Gerät, sodass eigentlich niemand Zugriff auf sie hat. „Mich würde das abschrecken, wenn ich wissen würde, dass beispielsweise mein Fingerabdruck auf den Servern von Apple liegt“, sagt Wojzechowski. Ein findiger Hacker, großer Datendiebstahl und plötzlich sind die eigenen Fingerabdrücke im Darknet zu haben.

Doch bleiben die biometrischen Daten auch in Zukunft ausschließlich auf den Geräten? In einer Welt, in der die Cloud immer wichtiger wird und in der man in einem vernetzten Haushalt nicht jedes Gerät einzeln aufsetzen möchte? Sollte man biometrische Daten doch irgendwann in der Cloud speichern, müsste man auf jeden Fall dafür sorgen, dass sie sehr gut gesichert sind, sagt Wojzechowski.

Biometrische Merkmale, glauben die Experten, werden in nächster Zeit immer häufiger genutzt werden. Ganz auf sie sollte man sich aber nicht verlassen, sagt Wojzechowski. „Sie sollten als Faktor hinzukommen.“ Wenn man neben der Gesichtserkennung noch einen langen, komplizierten PIN-Code nutze, „dann sind Sie eigentlich auf der sicheren Seite.“ Nur, wirklich komfortabel ist das wieder nicht.

„Beim Vorstoß der biometrischen Merkmale geht es nicht darum, die Passwörter alleine durch Biometrie zu ersetzen“, sagt Schuckers. Sondern das ganze System sollte neu gedacht werden, sodass zum Beispiel Banküberweisungen oder Online-Shopping – authentifiziert durch biometrische Merkmale oder nicht – sicherer werden.