Das viertägige biometrische Sicherheitsversprechen

Vollständige Sicherheit und der Schutz der Privatsphäre gehören in unserer digitalen Welt nicht unbedingt zum serienmäßigen Lieferumfang. Wir haben uns längst an die Entwicklung immer neuer Security Updates und technischer Verfahren zur Bewahrung unserer intimen digitalen Daten gewöhnt—wie auch an die bösen Überraschungen stets neu entlarvter Sicherheitslücken.

Vor zwei Wochen hat nun auch Samsung auf dem Mobile World Congress in Barcelona seine Version der biometrischen Smartphone-Anmeldung per Fingerabdruck vorgestellt. Leider wurde die Technologie im neuen Galaxy S5 Modell nach nur vier Tagen erfolgreich gehackt—nur einen Tag langsamer als die berüchtigte Überlistung von Apples TouchID durch den Hacker Starbug.

Ben Schlabs und seinen Kollegen vom Berliner Sicherheitsunternehmen SRLabs ist es gelungen die Technologie zu überlisten—und sich dabei auch gleich in ein fremdes PayPal-Konto einzuloggen, von wo aus sie Überweisungen hätten vornehmen können. Mit dem inzwischen bewährten Holzleim-Hack und anderen Tricks konnten sie auch das Finger-ID-Verfahren des südkoreanischen Unternehmens austricksen, welches serienmäßig in einem der wohl schon bald meist verkauften Handys der Welt verbaut ist.

Dass Fingerabdrucksensoren relativ einfach zu überlisten sind, ist in Sicherheitskreisen zwar schon lange kein Geheimnis mehr, aber neue Updates und die selbstformulierten Ansprüche großer Firmen stellen der White Hat Hacker Ben Schlabs und seine Kollegen gerne auf die Probe: „Solche Versprechen wecken natürlich schon den Forscherdrang."

Zwar hat nicht jeder wohl mal eben auf die schnelle einen Abdruck in eine Leiterpalatte geätzt. Ob deshalb die Beschwichtigungen von Befürwortern des angeblichen Passwortersatz der Zukunft gerechtfertigt sind, ist jedoch im Angesicht der letztlich simplen Mittel, die Ben Schlabs und Kollegen nutzen dennoch zweifelhaft.

Spätestens seit Apples TouchID-Verfahren erreicht die Anmeldung per Fingerabdruck auch Geräte von Endnutzern. Die Idee biometrischer Sicherung individueller und sensibler Geräte klingt zumindest in der Theorie vielversprechend: Fingerabdruck-Anmeldungen können nicht aus der Ferne überlistet werden—und Fingerkuppenmuster sind einzigartig im Vergleich zu potentiell stupiden Durchschnittspasswörter. Und die biometrischen Sensoren der nächsten Generation sollen gleich die persönlichen Venenmuster scannen können.

Ich habe mich mit Ben Schlabs über seine Einschätzung zu biometrischer Sicherheit unterhalten, ihn gefragt in welchen Fällen und unter welchen Umständen ein Fingerabdruck als Passwortersatz hilfreich sein kann, und warum Ansagen zu einem „high level off security" auch im Falle biometrischer Sicherheit relativ sind.

Motherboard: Du konntest die Fingerabdruckerkennung am neuen Samsung Handy erschreckend schnell nach der Veröffentlichung knacken—ähnlich wie beim Hack der Touch ID in Apples iPhone 5s. Gibt es Unterschiede zwischen den Verfahren von Apple und Samsung?

Ben Schlabs: Ja, die Verfahren sind durchaus verschieden. So verwenden der Samsungs Finger-Scanner und Apples TouchID beispielsweise verschiedene Arten von Sensoren. Bei Apple ist der analysierte Input ein „touch", während es bei Samsung ein „swipe" ist.

Der Finger-Scanner-Sensor benutzt ähnlich wie ein herkömmlicher Büro-Scanner quasi nur eine Zeile mit mittlerer Auflösung, liest aber auf diese Weise die gesamte Fläche des Fingerabdrucks ein—Pixelzeile für Pixelzeile. Der TouchID-Sensor hat scheinbar eine höhere Auflösung, liest aber lediglich einen Bruchteil des gesamten Fingerabdrucks ein.

Die Algorithmen, die für die eigentliche Fingerabdruckerkennung und -authentifizierung sowie für das Anti-Spoofing zuständig sind, sind natürlich streng gehütete Betriebsgeheimnisse.

Im Übrigen gab es beim Samsung Galaxy lediglich weniger Konkurrenz- und Zeitdruck, da es anders als bei TouchID keine Prämie auf den Finger-Scanner von Samsung gab. Sobald das Samsung-Gerät am Montag nach dem Release gekauft und eingerichtet wurde, funktionierte auch schon eine alte TouchID-Attrappe, die schon seit September vorliegt.

Ist die Authentifizierung durch Fingerabdrücke momentan grundsätzlich unsicher?

Kommt drauf an. Ein Grenzbeamter, der deine Identität überprüft, erkennt den Unterschied zwischen einem sauberen Finger und einem schwarzen Stück Holzleim. Apples TouchID, Samsungs Finger-Scanner und ähnliche Implementierungen, die eine Authentifizierung versuchen, erkennen diesen Unterschied offenbar nicht.

Je weiter sich die Authentifizierung durch Fingerabdrücke verbreitet, desto wahrscheinlicher wird es, dass sie—zumindest im Hinblick auf die Authentifizierung von Elektronikgeräten—irgendwann als grundsätzlich unsicher gelten muss.

Aber kann ein individueller Fingerabdruck nicht durchaus einen besseren Schutz bieten als die bekannten Passwortverfahren?

Für den Otto Normalverbraucher, dem selbst das Eingeben einer vierstelligen PIN ein zu großer Aufwand war, bedeuten die Fingerabdruck-Features wahrscheinlich trotz allem einen besseren Schutz vor Datenklau durch Taschendiebe.

Für einen VIP mit wertvollen Geschäftsgeheimnissen ist aber ein komplexes Passwort auf jeden Fall viel sicherer. Passwörter können geheim gehalten werden. Fingerabdrücke hinterlässt man überall—und Finger kann man auf den Sensor zwingen oder sogar abschneiden.

Auch Reisende sollten sich im Klaren sein, dass ein Fingerabdruck kein guter Schutz gegen neugierige oder feindselige Grenzschutzbeamten ist.

Warum verfolgt ihr als Sicherheitsexperten die neueste Fingerprint-ID Technologie?

Wir schauen uns natürlich jede Technologie an, die verspricht, IT-Systeme oder Elektronikgeräte vor Missbrauch zu schützen. Diese Schwäche ist also nichts Neues. Seit dem iPhone 5s wird die Technologie aber in einem der weltweit beliebtesten Smartphones verkauft als etwas, was eine „very high level of security" bietet. Der Fingerprint-Feature im Samsung Galaxy S5 verspricht zwar nur „medium to high security", dafür aber auch z.B. sichere Zahlungsvorgänge ohne PIN und ohne Passwort.

Solche Versprechen machen neugierig. Es wäre schon erstaunlich, wenn neue Sensoren tatsächlich nicht mehr mit den üblichen Mitteln ausgetrickst werden könnten.

Gibt es noch alternative Gefahren, die sich aus der Allgegenwart menschlicher Fingerabdrücke ergeben?

Die Smartphone-Foto-plus-Holzleim-Tricks sind lediglich ein Nachweis der Machbarkeit. Wenn selbst dieser rudimentäre Angriff funktioniert, können zweifellos auch fortschrittlichere, noch einfachere, schnellere Methoden entwickelt werden.

Wie können sich böswillige Hacker abgefischte Fingerabdrücke zu Nutze machen?

Heute werden auf dem Schwarzmarkt Passwörter, PINs und Kreditkartennummern verkauft. Sollte sich die Fingerabdruck-Authentifizierung weiter durchsetzen, womöglich auch in ausspähbaren Geräten, und würden so herkömmliche Berechtigungsnachweise teilweise durch Fingerabdrücke ersetzt, kann man sich unschwer eine Zukunft vorstellen, in der auch hochauflösende Scans von Fingerabdrücken geklaut und verkauft werden.

Passwörter und PINs können beliebig oft—und schmerzlos—geändert werden. Fingerabdrücke bleiben ein Leben lang gleich und versprechen somit, ihren Schwarzmarktwert länger zu behalten.

Wie schätzt du die Gefahr von besonders gewalttätigen Angreifern ein, die möglicherweise einen Finger abschneiden oder den eines Toten (oder Ermordeten) Opfers missbrauchen?

Das ist zwar hoffentlich ein sehr unwahrscheinliches Szenario, aber diese Gefahr besteht bei Fingerabdruck-gesicherten Geräten durchaus. Die häufige Behauptung, dass ein toter Finger nicht mehr authentifiziert würde, ist nicht nur sehr schwer direkt prüfbar, sondern auch bisher schlicht unglaubhaft.

Wie beurteilst du den aktuellen Stand zur Untersuchung von Fingerabdrücken durch White Hat Hacker und Sicherheitsexperten bzw. den Diskurs der allgemeinen Öffentlichkeit? Gibt es Probleme, die zu wenig beachtet werden? Gibt es grobe Missverständnisse?

Es ist gut, dass viele Menschen eine Meinung zu der Technologie haben, und dass nicht mehr nur Sicherheitsforscher, sondern auch Hobbyisten und Zeitschriften die 'Knackbarkeit' der neuen Implementierungen testen.

Was immer noch fehlt ist aber ein umfassenderes Verständnis von dem Schutz solcher Geräte gegen Ausspähung der Fingerabdruckdaten. Die bisherigen Angriffe mit Holzleim-Attrappen sind bekanntlich nicht skalierbar. Sollte es aber möglich sein, z.B. durch Malware tausende hochauflösende Fingerabdruck-Scans auszuspähen und gegebenenfalls zu entschlüsseln, wären die schlimmsten Befürchtungen von Datenschutzaktivisten plötzlich sehr real.

Was sagst du zu Leuten, die glauben dass solche Unsicherheiten und geklauten Angriff für sie persönlich keine Gefahr darstellen?

Es ist ein grobes Missverständnis, dass die bisher demonstrierten Spoofing-Attacken komplett irrelevant seien, weil sie nicht skalierbar und so für die meisten Menschen eine sehr unwahrscheinlich Gefahr darstellen.

Ein entschlossener Angreifer benutzt, um an Daten zu kommen, die Methode, die für ihn am einfachsten, am günstigsten, am schnellsten oder am spurlosesten ist. Es gibt durchaus Szenarien, in denen ein Angriff mit Fingerabdruck-Attrappe schon heute alle vier Kriterien ziemlich gut erfüllt.

Wie schützt du persönlich deine Daten?

Ich bevorzuge für meine Zwecke Zwei-Faktor-Authentifizierungen ohne biometrischen Faktor, wie man sie z.B. von Passwort-plus-TAN-Verfahren kennt. Ich bin aber auch schon lange daran gewöhnt, für jeden Service ein anderes starkes Passwort zu benutzen und dieses häufig zu ändern.

Ich sehe aber auch ein, dass die meisten Menschen sich mit dieser Angewohnheit sehr schwer tun und gerne eine bequemere Alternative hätten. Da gibt es ja dann durchaus Projekte wie FIDO, die genau dies versprechen, indem sie auch einen Fingerabdruck in ihre Authentifizierungsverfahren mit einbeziehen.

Update: Der Text wurde nach der Veröffentlichung noch um weitere Aussagen ergänzt und mit kleinen Korrekturen aktualisiert.