Fingerabdruck-Sperren– Touch ID für iPhone-Nutzer – sollten die Lösung für dieses Problem sein. Sie sind einfach zu bedienen und beruhen auf Merkmalen, die bei jeder Person einzigartig sind. Außerdem tragen wir unsere Zeigefinger immer bei uns, sodass ein Vergessen oder Diebstahl ausgeschlossen ist. Und die Komplexität des Daktylogramms macht es nahezu unmöglich, dass Abdrücke entschlüsselt werden können.
Die Wirklichkeit sieht jedoch anders aus. Unter all den Gründen, die gegen eine Fingerabdruck-Sperre sprechen, stechen für mich drei heraus:
#1 Fingerabdrücke (und Scanner) können gehackt werden
Wir hinterlassen überall Fingerabdrücke: an Türklinken, am Geländer, an Tassen und Gläsern, auf Tastaturen, Bildschirmen, Fotos – um nur einige Beispiele zu nennen. Es gibt also viele Orte, an denen Hacker dieses vermeintlich unknackbare Passwort finden können.
Der Chaos Computer Club hat dies bereits 2008 demonstriert. Um gegen den Vorschlag eines deutschen Politikers zur Einführung biometrischer Daten zu protestieren, bildete der Club anhand eines Fotos dessen Fingerabdruck nach. 2013 stellte er mit Latex einen gefälschten Finger her, um damit eine Sperre aufzuheben. In jüngerer Zeit wurde dies mit Knetmasse und Alleskleber wiederholt, wodurch gezeigt wurde, wie einfach es ist, physische Fingerabdrücke nachzubilden.
Schlimmer noch, Fingerabdrücke können auch virtuell gehackt werden. Auf der Black Hat Convention 2015 in Las Vegas demonstrierten ein paar Sicherheitsexperten einige solcher Hacks zur Umgehung von Fingerabdruck-Sperren. Sie programmierten eine App, die die Bildschirmanzeige mit der Aufforderung zum Entsperren imitierte. Ein potenzielles Opfer aber hätte damit tatsächlich eine finanzielle Transaktion autorisiert. Sie luden Fingerabdrücke auf das Telefon, was den Zugriff dann möglich machte. Sie zeigten, wie vergleichsweise einfach es ist, einen Fingerabdruck aus der Datei, in der er gespeichert wurde, zu rekonstruieren. Und sie hackten sogar den Abdruckscanner selbst, sodass sie bei jeder Verwendung Fotos mit den Fingerabdrücken abgreifen konnten.
#2 Ihr Passwort können Sie ändern – Ihre Fingerabdrücke jedoch nicht
Diese grundlegende Tatsache wird häufig übersehen. Als mein E-Mail-Konto vor einigen Jahren gehackt wurde, habe ich das Passwort geändert und das Problem war behoben. Doch wenn jemand meinen Fingerabdruck hacken würde, hätte er diese Information für immer.
Überlegen Sie nur, was das alles bedeutet. Fingerabdrücke sind unveränderlich. Sobald sie aber in die Hände von Kriminellen gelangen, können sie sie nach Belieben verwenden oder auch weiterverkaufen. Dies ist besonders beunruhigend, wenn man bedenkt, wie viele staatliche Organisationen Fingerabdrücke sammeln und dass eine wachsende Zahl privater Firmen sie zur Authentifizierung nutzen.
Fingerabdrücke sind unveränderlich. Sobald sie aber in die Hände von Kriminellen gelangen, können sie sie nach Belieben verwenden oder auch weiterverkaufen.
#3 Die Polizei darf ohne Ihre Zustimmung ein Smartphone mit biometrischen Daten entsperren
Auch sollte man daran denken, dass wir nicht immer die Kontrolle über unsere Hände haben. Es muss Sie nur jemand dazu bringen, Ihren Finger auf den Bildschirm drücken, um Ihr Telefon zu entsperren.
So geschehen in den USA, wo ein Richter einen polizeilichen Durchsuchungsbefehl in Glendale, Kalifornien, autorisierte. Das Argument ist, dass ein Fingerabdruck ein „physischer Beweis“ ist, ähnlich einem physischen Schlüssel, der als Beweismittel erfasst oder durch gerichtliche Anordnung vorgelegt werden muss. Darüber hinaus sind Fingerabdrücke leicht verfügbar, da sie routinemäßig im Rahmen grundlegender polizeilicher und rechtlicher Verfahren erfasst werden. Und weil Fingerabdrücke physisch sind und keine „Zeugenaussage“, gilt für sie nicht der 5. Zusatzartikel bezüglich des Auskunftsverweigerungsrechts.
Bei Passwörtern und PIN-Codes liegt der Fall jedoch anders. Kein Mensch darf gezwungen werden, Informationen preiszugeben, die nur „in seinem Kopf“ vorhanden ist, was daher auch verboten ist. Große Technologieunternehmen (einschließlich AVG) argumentieren ähnlich bei Unternehmensinformationen. In einem Rechtsstreit mit dem FBI zu einer weitgehend ungelösten Frage hinsichtlich des Zugriffs auf das vom Terroristen von San Bernardino verwendete Mobiltelefon, argumentierte Apple, dass das FBI versuche, Apple zur Herausgabe von Daten zu zwingen – und dadurch gegen eigene Interessen zu handeln, was nicht statthaft ist. Das FBI ließ den Fall fallen, nachdem es eine Drittfirma dafür bezahlt hatte, dieses Mobiltelefon zu hacken. Das Anheuern eines Hackers erwies sich zwar als effektiv, jedoch auch als ziemlich kostspielig. Gegenwärtig sind solche Ausgaben meist nicht gerechtfertigt.
Dennoch liegt es im Bereich des Möglichen, dass Strafverfolgungsbehörden Hersteller dazu zwingen könnten, „Hintertüren“ zu Geräten für das Erfassen von Fingerabdrücken durch Fingerabdruck-Sperren einzubauen.
Abschließende Bemerkung zum Thema Fingerabdrücken und Sicherheit
Natürlich erwarte ich nicht, dass die Menschen diese Fingerabdruck-Sperren mehr verwenden. Dazu sind sie einfach zu bequem. Es mag richtig oder falsch sein, aber die Regierungen dürfen zunehmend mehr Informationen über unsere digitale Identität sammeln und speichern. Das Integrated Automated Fingerprint Identification System (Integriertes automatisiertes Fingerabdruckidentifizierungssystem) enthält Millionen von Abdrücken, die nicht im Zusammenhang mit Verbrechen stehen und von Militärangehörigen, Regierungsangestellten und anderen unschuldigen Personen erfasst wurden. Und im Allgemeinen sind die Daten von Regierungsbehörden nicht immer sicher. Die Datenschutzverletzung von 2015 im US Office of Personnel Management umfasste 5,6 Millionen Fingerabdrücke, was darauf hindeutet, dass diese von Hackern zu knacken sind und, wie in diesem Fall, für eine sehr lange Zeit zur Bedrohung unserer Privatsphäre missbraucht werden können.