Fingerabdruck anstelle PIN bei Apples iPhone 5S

Die Abhöraffäre ist noch nicht ansatzweise vorbei, da stellt Apple sein iPhone 5S vor, bei dem man sich alternativ zur PIN mit seinem Fingerabdruck einloggen kann. Apple ist hier zwar weder der Erfinder, noch der erste Hersteller der diese Funktion zur Authentifizierung bei elektronischen Geräten anbietet (bspw. Lenovo Thinkpad), aber er ist derjenige, mit der größten Breitenwirkung. Da Apple-Jünger alles für ihren Propheten tun, besteht die Gefahr, daß biometrische Authentifizierungsverfahren nun endgültig zum allgemein akzeptierten, nicht mehr hinterfragbaren Modus operandi werden könnten. Dies ist deshalb bedenklich, weil dadurch langfristig viele verschiedene Dienste mit demselben „Passwort“ gesichert werden. Ist der Fingerabdruck kompromittiert, sind auch gleichzeitig alle Dienste kompromittiert. Dazu kommt, daß während der gesamten Lebenszeit nur maximal zehn Finger zur Verfügung stehen. Gemessen an den Unsicherheiten der Technik erscheint das etwas knapp.

Apples Versprechen, den Fingerabdruck nur auf dem Gerät und dort auch nur verschlüsselt zu speichern, ist in anbetracht der Spionageaktivitäten der NSA und anderer Dienste nur noch lächerlich. Einerseits wurden bisher immer alle Daten über kurz oder lang durch den Hersteller oder einen Dritten aus dem Händi an irgendwelche Server übermittelt. Wenn sie dabei nicht gleich bei der Übertragung mitgelesen werden, werden sie spätestens von den Servern abgegriffen, meist auch gleich ganz legal nach US-Recht durch die Geheimdekrete des FISA. Andererseits wird die NSA auch hier dafür sorgen, daß ihr gleich entsprechende Hintertüren in die Gerätesoftware eingebaut werden.

Auch ist es ein Irrtum anzunehmen, daß bei Entwendung des gespeicherten Fingerabdruckes bzw. dessen Hashwertes, auch noch der dazugehörige Finger in jedem Falle benötigt wird. Man könnte einen virtuellen Fingerabdrucksensor aufsetzen, der dem Authentifizierunsgserver den Fingerabdruck übermittelt. Im Grunde ein Man-in-the-middle-Angriff. Zum Einkaufen in fremden Namen reicht das allemal.

Als Nebeneffekt der biometrischen Authentifizierung „unterschreibe“ ich die Aktivitäten an meinem Gerät auch gleich noch persönlich. Sollten mit dem entwendeten Fingerabdruck strafrechtlich relevante Handlungen vorgenommen worden sein, wird ein Bestreiten der Tat für den Besitzer faktisch unmöglich sein. Ähnliche Probleme traten bereits bei der Haftung im Falle des Mißbrauchs von Bankkarten auf. Das PIN-Verfahren wurde als absolut sicher deklariert und somit musste der Kunde entweder beteiligt gewesen sein oder fahrlässig gehandelt haben (bspw. durch Notieren der PIN auf der Bankkarte).

Die Anmeldung per Fingerabdruck mag tatsächlich einfacher sein, zumindest bei wärmeren Temperaturen, wenn keine Handschue benötigt werden. Wäre es für alle nicht von noch größerem Vorteil gleich auf Gesichtserkennung zu setzen? Die Technik ist bereits vorhanden, der Nutzer bräuchte seine Handschuhe nicht mehr ausziehen, denn ein Blick auf’s Display reicht aus und die Geheimdienste würden immer vollautomatisch mit den aktuellen Passbildern der Delinquenten zu schützenden Bürger versorgt werden. Unsere Daten bekämen dann auch endlich ein Gesicht. Was für eine schöne neue Welt.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.