In dieser Galerie: 2 Bilder

Bild nicht mehr verfügbar.

Windows 10 wird unter anderem die Anmeldung mittels Iriserkennung unterstützen. Experten warnen davor, sich bei Logins ausschließlich auf Biometrie zu verlassen.

Foto: APA/dpa/Friso Gentsch

Bild nicht mehr verfügbar.

Fingerabdruckscanner sind bei einigen Smartphones wie Apples iPhone bereits Standard. Hacker haben jedoch schon kurz nach der Einführung gezeigt, wie die Sensoren mit einfachen Mitteln ausgetrickst werden können.

Foto: REUTERS/Jason Lee/Files

Das am öftesten verwendete Passwort 2014 war laut einer US-Studie "123456". Bei jedem halbwegs auf Sicherheit bedachten Internetnutzer schrillen die Alarmglocken. Kriminelle haben so leichtes Spiel, sich Zugang zum E-Mail- oder Online-Shop-Konto zu verschaffen. Die Vielzahl an Passwörtern, die man im Lauf seines Onlinelebens sammelt, hat uns faul werden lassen. Sicherheitsforscher tüfteln daher an Technologien, die das Passwort ablösen und sowohl sicher als auch einfach zu handhaben sein sollen. Mit Rückhalt von Unternehmen wie Apple, Samsung und Microsoft rückt Biometrie verstärkt ins Rampenlicht.

Trend vorgegeben

Fingerabdruck, die Beschaffenheit der Iris oder Gesichtszüge können einer Person eindeutig zugeordnet werden. Apple hat 2013 erstmals ein iPhone mit Fingerabdrucksensor ausgestattet, inzwischen findet sich die Technologie unter anderem auch auf Smartphones von Samsung und Huawei. Nutzer können ihren Fingerabdruck beispielsweise zum Entsperren des Geräts verwenden. Auch Microsofts kommendes Betriebssystem Windows 10 wird Fingerabdruck-, Gesichts- und Iriserkennung unterstützen. Komplett ersetzt werden Passwörter noch nicht, die biometrischen Methoden sind derzeit noch optional. Die Marschrichtung scheint aber vorgegeben.

Sicherheitsexperten warnen vor zu viel Euphorie

"Biometrie hat sicher Vorteile, etwa dass man sich weniger Passwörter merken beziehungsweise eintippen muss, ist aber wahrscheinlich kein ‘Allheilmittel’ – es kommt auf den Einsatzzweck und die konkrete Situation, Problemstellung und Zielgruppe an, welche Technologie geeignet ist", sagt Robert Waldner vom österreichischen Computer Emergency Response Team (CERT.at) zum STANDARD.

Zwar sind die Fingerabdrücke des Menschen einzigartig, im Alltag hinterlässt man sie jedoch praktisch überall und die derzeit verbauten Sensoren sind lückenhaft. Schon kurz nach der Vorstellung des iPhone 5s und Samsungs Galaxy S5 zeigten Forscher, dass die Sensoren mit einer speziellen Kopie des Abdrucks ausgetrickst werden können.

Forscher "Starbug" vom Chaos Computer Club, der Apples Fingerprintsensor überlisten konnte und einer der bekanntesten Biometriehacker ist, warnt im "Guardian": "Wenn das biometrische Merkmal gestohlen wird, bekommt man kein neues". Sind Fingerabdrücke einmal in die Hände von Hackern gelangt, kann man sich keine neuen ausdenken, wie bei einem Passwort. Seiner Meinung nach sind biometrische Verfahren nur so sicher wie ein langes Passwort.

Sicherheit beim Unternehmen

Ein weiteres Problem: Wie bei Passwörtern kann man noch so achtsam sein, wenn Unternehmen bei der Sicherheit schlampen, nutzt die modernste Technologie nichts. Hier setzt die Fido Alliance an. Der Zusammenschluss verschiedener Firmen hat es sich zum Ziel gesetzt offene Standards für sichere Authentifizierung im Internet zu schaffen. Fido (Fast Identification Online) sieht zwei Möglichkeiten bei der Anmeldung vor: passwortlos mittels biometrischer Erkennung und als sogenannte "Second Factor Experience". Zusätzlich zum Log-in müssen sich Nutzer mit einem zweiten Gerät anmelden - etwa einem USB-Stick, der an den PC angeschlossen wird. Biometrische Daten werden nicht über das Internet übertragen, sondern am Gerät des Nutzers gespeichert. Der Allianz gehören etwa Google, Visa, Samsung und Paypal an. Microsoft wird den Standard mit Windows 10 unterstützen.

Doppelt abgesichert

Die perfekte Lösung gibt es nicht. Laut Waldner ist eine Kombination aus "etwas das man weiß" – also ein Passwort – und "etwas das man hat" – ein biometrisches Merkmal oder zusätzliches Gerät – am besten. Also eine Zwei-Faktor-Authentifizierung. Gängig ist sie beim Onlinebanking. Um eine Transaktion durchführen zu können, benötigen Kunden neben den Log-in-Daten einen per Post oder SMS zugeschickten TAN-Code. Auch Facebook, Google, Apple und Twitter bieten diese Funktion seit Längerem.

Wer sie aktiviert, muss sich bei jedem Log-in auf einem unbekannten Handy oder Computer als Eigentümer des Accounts ausweisen, indem man einen auf ein zweites Gerät zugeschickten Code eingibt. Als Absicherung wird ein einmaliger Wiederherstellungscode generiert, sollte man sein Handy verlieren. Ein Prozess, der jedoch vor allem für technisch weniger versierte Nutzer abschreckend klingen mag.

Letztendlich bleibt es Nutzern wohl weiterhin nicht erspart, sich bis zu einem gewissen Grad selbst mit der Sicherheit ihrer Onlineaktivitäten auseinanderzusetzen. (Birgit Riegler, 19.4.2015)