Auch wenn es völlig off Topic ist, möchte ich was zu Fingerprints als Schlüssel loswerden, weil das auch hier aufkam und immer wieder von manchem Herstellern als ultimativ sichere Zugangsprüfung beschrieben wird. Das ist es nicht. Sowas ist unter anderem mein tägliches Geschäft. Sicherheit ist immer die Abwägung zwischen Verfügbarkeit und Schutz. Man kann alles so verfügbar machen, dass es nicht mehr geschützt ist, aber auch alles so schützen, dass es nicht mehr verfügbar ist. In diesem Interessenkonflikt bewegt sich Sicherheitstechnik grundsätzlich und deshalb ist absolute Sicherheit auch unmöglich, ohne auf die Benutzbarkeit zu verzichten. Um eingermaßen sicher zu sein, sind grob gesagt drei Dinge nötig:
- man muss jemand sein (z.B. der Fingerabdruckinhaber, muss den Nutzernamen / Login kennen. Der Unterschied zu Wissen ist, dass es bekannt sein darf, dass man jemand ist)
- man muss etwas haben (z.B. einen Schlüssel, ein Gerät wie Handy, Keyless-Schlüssel, RFID)
- man muss etwas wissen (z.B. PIN, Keycode, oder auch einfach, zu welchem Schloss der Schlüssel passt. Das sollte ein Geheimnis sein).
Haus- und Fahrzeugschließsysteme vernachlässigen fast durchweg dieses Sicherheitsprinzip und verlangen nur zwei erfüllte Merkmale (Schlüssel/Keyless/Fingerabdruck und wissen, wozu es passt). Den Schlüssel durch Keyless oder durch den Fingerabdruck zu ersetzen, ändert daran nichts. Sicherer würde es nur, wenn man zusätzlich ein weiteres Merkmal nutzt.
Biometrische Merkmale wie Fingerabdrücke alleine sind als Schlüssel nicht geeignet. Zwar sind biometrische Merkmale ansich einzigartig, aber die Erfassungsmöglichkeit hält damit nicht Schritt und die Merkmale sind auch nicht geheim. Man trägt sie buchstäblich mit sich im Gesicht und an den Händen herum, im Gegensatz zum Schlüssel, der unsichtbar in der Tasche ruht. Fingerabdrücke zu prüfen ist auch eine Abwägung zwischen Benutzerfreundlichkeit (Verfügbarkeit) und Schutz. Temperaturunterschiede verändern die Hautoberfläche, dazu kommt noch Schweiß, Schmutz, Blutdruck, Eile, Stress ... alles muss berücksichtigt werden, denn der Anwender hat keinen Bock nach dem Joggen zu warten, bis sich die Hauttemperatur wieder normalisiert hat, bis er wieder in die Wohnung kommt
In der Realität heißt das, dass ein Hersteller von Fingerabdrucks- oder Irisscannern false Positives und false Negatives akzeptieren muss! False Positives sind fälschlich authorisierte Zugangsversuche, false Negatives Versuche, in denen ein eigentlich korrektes Merkmal als solches nicht erkannt wird. Ersteres ist unsicher, letzteres nervtötend. Häufig wird auch von False Acceptance Rate oder False Rejection Rate gesprochen.
Nun ist die Zeit, die zum Scanversuch und zur Verarbeitung überhaupt zur Verfügung steht, sehr kurz und aufgrund der andauernden Veränderungen des biologischen Merkmals auch nicht so einfach. Also akzeptieren Hersteller solcher Systeme false Positives, denn offen gesagt ist die Wahrscheinlichkeit, dass man dabei einem Dieb öffnet, geringer, als dass der Anwender kotzt, weil das System ihn regelmäßig erst im fünften Versuch reinlässt.
Mal als konkretes Beispiel: Apples TouchID hat eine False Positive Rate von 1:50.000. Klingt geil, ist es aber nicht so sehr. Schon ein sechsstelliger Zahlencode hat zum Erraten eine Wahrscheinlichkeit von 1:1.000.000. Dazu bezieht sich die False Positive Rate auf einen einzigen Finger. Wer aus komfort- und sicherheitsgründen (man will ja den Zugang nicht verlieren) mehrere Finger anlernt, vergrößert den möglichen Bereich von False Positives und addiert Fehlermöglichkeiten auf! Nur, wenn ALLE Finger erkannt werden müssten, idealerweise noch in der richtigen Reihenfolge, erhöht sich dadurch die Sicherheit des Systems. Fingerprint Doorlocks sind in aller Regel nicht besser, weil User in der Regel keine False Negative Rate höher als 1:1000 akzeptieren. Ein Handy oder Laptop bietet über das User Interface wenigstens die Möglichkeit, nach einer bestimmten Anzahl von Fehlversuchen das Gerät zu sperren oder zu löschen. Bei einem Haustürschloss oder einem Schloss an einem Fahrzeug ist das aber nicht so einfach, weil man nicht nur Informationen auf einem Gerät, sondern Zugang zu einem Objekt schützen will. Übrigens sind Android- und iOS-Geräte auf tieferen Ebenen des Betriebssystems immer noch knackbar, wenn Touch ID über das User Interface längst den Zugang verweigert... Ich habe auch schon sehr teure Irisscanner gesehen, die sich von einem hochauflösenden Foto haben austricksen lassen. Manches Fingerabdrucktürschloss lässt sich durch Anhauchen (!!) öffnen, wenn der Angreifer vorher den Scanner gereinigt hat und er danach einmal korrekt benutzt wurde. Das restliche Hautfett in Fingerabdruckform und die Wärme aus der Atemluft reichen aus. Dazu muss der Angreifer nur warten, braucht ein Tuch, Sagrotan und menschlich warmen Atem.
Hersteller, die keine Angaben zur akzeptierten False Positive Rate machen, sind grundsätzlich als unseriös zu betrachten und man sollte die Schlösser überhaupt nicht verwenden. Besonders pervers sind biometrische Schlösser, die sich alternativ über eine App auf dem Smartphone öffnen lassen, die aber nicht direkt mit dem Schloss kommuniziert, sondern über einen Webserver.
Will man die Sicherheit an Haustür oder Fahrzeug durch einen Fingerabdruckscanner erhöhen, dann sollte man den Fingerabdruckscanner nur zusätzlich verwenden.
Meine Haustür öffnet auch über Fingerabdruck, aber nur, wenn jemand zuhause ist. Mal kurz mit dem Hund in den Garten und wieder rein, ohne Sorge um den Schlüssel (hab ich ihn eingesteckt oder nicht?!), Holz aus dem Schuppen holen, Müll wegbringen - für alles in der Nähe ist das super und ein echter Komfortgewinn. Sobald ich aber das Haus länger verlasse, wird die Tür zusätzlich über ganz normale Schlösser verriegelt. Damit habe ich etwas, bin etwas und weiß etwas.
Mein iPhone benutze ich dennoch mit TouchID, denn über die Bewegungssensoren (abgreifbar aus unverdächtig erscheinenden Apps) ist der Zahlencode leichter und zuverlässiger knackbar, als über Brute Force auf Systemebene. Die Eingabe über das Display vermeide ich daher mit TouchID, kombiniert mit einem achtstelligen Zahlencode als Backup.
Total sicher ist aber auch das nicht, sonst wäre es nicht mehr verfügbar. Absolute Sicherheit ist ein Märchen.
