Die Nachricht schlug hohe Wellen. Die vietnamesische Sicherheitsfirma Bkav will die Gesichtserkennung des iPhone X mit einer Maske überlistet haben. Und das, obwohl Apple bei der Vorstellung der neuen Technik betont hatte, dass FaceID sicherer sei als die Entsperrung des Geräts mit einem Fingerabdruck.
Noch ist unklar, ob Bkav wirklich das System geknackt hat. Aber das ist eigentlich auch egal, denn bislang wurde jedes Sicherheitssystem für die Masse irgendwann umgangen.
Die vietnamesische Sicherheitsfirma beispielsweise knackte 2009 die Gesichtserkennung bei Laptops. Und 2014 erstellen deutsche Hacker einen Fingerabdruck der Verkehrsministerin – nur aufgrund eines Fotos.
Gesichtserkennung ist trotzdem besser
Das bestätigt auch Raphael Reischuk, der als Information Security Consultant bei Zühlke Engineering arbeitet: «Grundsätzlich lässt sich jedes heute bekannte computergestützte Authentifizierungssystem mit genügend Aufwand brechen. Perfekte Sicherheit gibt es nicht.»
Das ist aber auch gar nicht nötig, solange die Hürde für die meisten Angreifer genug hoch ist. So sind die Millionen Smartphone-Besitzer nicht in unmittelbarer Gefahr, nur weil man mit aufwendig hergestellten Masken oder Fingerabdruck-Kopien einzelne Geräte entsperren konnte.
Der Sicherheitsexperte sagt auch: «Biometrie ist gegenüber schwachen Passwörtern wie einem sechsstelligen Code grundsätzlich überlegen.» Und Raphael Reischuk bricht auch eine Lanze für die Gesichtserkennung: «Der Informationsgehalt eines 3D-Gesichtsscans ist grösser als der eines 2D-Fingerabdrucks.» Zudem hinterlassen Finger überall ungewollt Spuren, und die Abdrücke sind einfacher zu kopieren, als ein Gesicht in 3D zu scannen.
Zudem stehe die Gesichtserkennung erst am Anfang. «Denn sobald Apple dynamische Features in Betracht zieht, also einen Scan des bewegten Gesichts von beispielsweise einer halben Sekunde, wird eine statische Maske nicht mehr funktionieren.»
«Die grösste Gefahr ist der Benutzer selbst»
Raphael Reischuk gibt auch zu bedenken: «Die grösste Gefahr ist meist der Benutzer selbst.» Die wenigsten User würden sensitiv mit ihren Daten umgehen, also etwa allen möglichen Apps Zugriff auf die Kamera erlauben, Passwörter in unsicheren Notiz-Anwendungen speichern oder Apps nutzen, die unkontrolliert Daten in die Cloud hochladen. «Die Menge an geklauten Daten über derartige Fernzugriffe ist deutlich grösser als die Menge an Daten, die über lokale Authentifizierungshacks entwendet werden.»
Darum rät der Experte den Smartphone-Usern: Das Betriebssystem und die Software aktuell halten. Nur wirklich notwendige Apps installieren und skeptisch sein gegenüber neuen und unerwarteten Features. Fehlermeldungen lesen und nicht einfach ignorieren. Daten wie Namen, Kontaktangaben, Alter oder Wohnort nur sehr sparsam preisgeben. Und im Alltag bei der Eingabe von Passwörtern und Pin-Nummern auf den «Schultersurfer» achten, der via Kamera oder menschliches Auge mitliest.