Das Passwortproblem ist jetzt offiziell. Laut Dashlane, Anbieter eines populären Passwort-Managers, verfügte der durchschnittliche Benutzer im Jahr 2015 über mindestens 90 Online-Konten. In Großbritannien waren es 118. In den USA sogar 130. Noch beunruhigender ist es, dass wir viel zu viele Anmeldeinformationen auf unseren Mobiltelefonen und Tablets speichern (davon nehme ich mich selbst nicht aus), was bedeutet, dass jeder, der Zugriff darauf bekommt, auch auf unsere Konten zugreifen kann.

Fingerabdruck-Sperren– Touch ID für iPhone-Nutzer – sollten die Lösung für dieses Problem sein. Sie sind einfach zu bedienen und beruhen auf Merkmalen, die bei jeder Person einzigartig sind. Außerdem tragen wir unsere Zeigefinger immer bei uns, sodass ein Vergessen oder Diebstahl ausgeschlossen ist. Und die Komplexität des Daktylogramms macht es nahezu unmöglich, dass Abdrücke entschlüsselt werden können.

Die Wirklichkeit sieht jedoch anders aus. Unter all den Gründen, die gegen eine Fingerabdruck-Sperre sprechen, stechen für mich drei heraus:

1. Fingerabdrücke (und Scanner) können gehackt werden

Wir hinterlassen überall Fingerabdrücke: an Türklinken, am Geländer, an Tassen und Gläsern, auf Tastaturen, Bildschirmen, Fotos – um nur einige Beispiele zu nennen. Es gibt also viele Orte, an denen Hacker dieses vermeintlich unknackbare Passwort finden können.

Der Chaos Computer Club hat dies bereits 2008 demonstriert. Um gegen den Vorschlag eines deutschen Politikers zur Einführung biometrischer Daten zu protestieren, bildete der Club anhand eines Fotos dessen Fingerabdruck nach. 2013 stellte er mit Latex einen gefälschten Finger her, um damit eine Sperre aufzuheben. In jüngerer Zeit wurde dies mit Knetmasse und Alleskleber wiederholt, wodurch gezeigt wurde, wie einfach es ist, physische Fingerabdrücke nachzubilden.

Schlimmer noch, Fingerabdrücke können auch virtuell gehackt werden. Auf der Black Hat Convention 2015 in Las Vegas demonstrierten ein paar Sicherheitsexperten einige solcher Hacks zur Umgehung von Fingerabdruck-Sperren. Sie programmierten eine App, die die Bildschirmanzeige mit der Aufforderung zum Entsperren imitierte. Ein potenzielles Opfer aber hätte damit tatsächlich eine finanzielle Transaktion autorisiert. Sie luden Fingerabdrücke auf das Telefon, was den Zugriff dann möglich machte. Sie zeigten, wie vergleichsweise einfach es ist, einen Fingerabdruck aus der Datei, in der er gespeichert wurde, zu rekonstruieren. Und sie hackten sogar den Abdruckscanner selbst, sodass sie bei jeder Verwendung Fotos mit den Fingerabdrücken abgreifen konnten.

2. Ihr Passwort können Sie ändern – Ihre Fingerabdrücke jedoch nicht

Diese grundlegende Tatsache wird häufig übersehen. Als mein E-Mail-Konto vor einigen Jahren gehackt wurde, habe ich das Passwort geändert und das Problem war behoben. Doch wenn jemand meinen Fingerabdruck hacken würde, hätte er diese Information für immer.

Überlegen Sie nur, was das alles bedeutet. Fingerabdrücke sind unveränderlich. Sobald sie aber in die Hände von Kriminellen gelangen, können sie sie nach Belieben verwenden oder auch weiterverkaufen. Dies ist besonders beunruhigend, wenn man bedenkt, wie viele staatliche Organisationen Fingerabdrücke sammeln und dass eine wachsende Zahl privater Firmen sie zur Authentifizierung nutzen.

Fingerabdrücke sind unveränderlich. Sobald sie aber in die Hände von Kriminellen gelangen, können sie sie nach Belieben verwenden oder auch weiterverkaufen.

3. Die Polizei darf ohne Ihre Zustimmung ein Smartphone mit biometrischen Daten entsperren

Auch sollte man daran denken, dass wir nicht immer die Kontrolle über unsere Hände haben. Es muss Sie nur jemand dazu bringen, Ihren Finger auf den Bildschirm drücken, um Ihr Telefon zu entsperren.

So geschehen in den USA, wo ein Richter einen polizeilichen Durchsuchungsbefehl in Glendale, Kalifornien, autorisierte. Das Argument ist, dass ein Fingerabdruck ein „physischer Beweis“ ist, ähnlich einem physischen Schlüssel, der als Beweismittel erfasst oder durch gerichtliche Anordnung vorgelegt werden muss. Darüber hinaus sind Fingerabdrücke leicht verfügbar, da sie routinemäßig im Rahmen grundlegender polizeilicher und rechtlicher Verfahren erfasst werden. Und weil Fingerabdrücke physisch sind und keine „Zeugenaussage“, gilt für sie nicht der 5. Zusatzartikel bezüglich des Auskunftsverweigerungsrechts.

Bei Passwörtern und PIN-Codes liegt der Fall jedoch anders. Kein Mensch darf gezwungen werden, Informationen preiszugeben, die nur „in seinem Kopf“ vorhanden ist, was daher auch verboten ist. Große Technologieunternehmen (einschließlich AVG) argumentieren ähnlich bei Unternehmensinformationen. In einem Rechtsstreit mit dem FBI zu einer weitgehend ungelösten Frage hinsichtlich des Zugriffs auf das vom Terroristen von San Bernardino verwendete Mobiltelefon, argumentierte Apple, dass das FBI versuche, Apple zur Herausgabe von Daten zu zwingen – und dadurch gegen eigene Interessen zu handeln, was nicht statthaft ist. Das FBI ließ den Fall fallen, nachdem es eine Drittfirma dafür bezahlt hatte, dieses Mobiltelefon zu hacken. Das Anheuern eines Hackers erwies sich zwar als effektiv, jedoch auch als ziemlich kostspielig. Gegenwärtig sind solche Ausgaben meist nicht gerechtfertigt.

Dennoch liegt es im Bereich des Möglichen, dass Strafverfolgungsbehörden Hersteller dazu zwingen könnten, „Hintertüren“ zu Geräten für das Erfassen von Fingerabdrücken durch Fingerabdruck-Sperren einzubauen.

Abschließende Bemerkung zum Thema Fingerabdrücken und Sicherheit

Natürlich erwarte ich nicht, dass die Menschen diese Fingerabdruck-Sperren mehr verwenden. Dazu sind sie einfach zu bequem. Es mag richtig oder falsch sein, aber die Regierungen dürfen zunehmend mehr Informationen über unsere digitale Identität sammeln und speichern. Das Integrated Automated Fingerprint Identification System (Integriertes automatisiertes Fingerabdruckidentifizierungssystem) enthält Millionen von Abdrücken, die nicht im Zusammenhang mit Verbrechen stehen und von Militärangehörigen, Regierungsangestellten und anderen unschuldigen Personen erfasst wurden. Und im Allgemeinen sind die Daten von Regierungsbehörden nicht immer sicher. Die Datenschutzverletzung von 2015 im US Office of Personnel Management umfasste 5,6 Millionen Fingerabdrücke, was darauf hindeutet, dass diese von Hackern zu knacken sind und, wie in diesem Fall, für eine sehr lange Zeit zur Bedrohung unserer Privatsphäre missbraucht werden können.

Hat Ihnen das gefallen? Dann probieren Sie Folgendes aus:

Wie man Keylogger verhindert, erkennt und wieder loswird

Keylogger erfassen heimlich alles, was Sie eingeben – Ihre E-Mails, Passwörter, Kreditkartendaten ... Erfahren Sie hier, wie Sie sie verhindern, erkennen und von Ihrem PC entfernen können.

Gewusst wie: Erstellen eines wirklich starken Passworts, das Sie nicht wieder vergessen

Erstellen Sie ein Passwort, das praktisch nicht zu knacken ist und das sich zu merken sogar Spaß macht – ja genau: Spaß!

Ist es sicher, sich mit Facebook oder Google anzumelden?

Es geht schnell. Es ist einfach. Aber ist es auch sicher? Sich bei Webseiten über Facebook und Google anzumelden hat seine Risiken – aber auch seine Vorteile.

Checkliste zum Thema E-Mail-Sicherheit

Lesen Sie unsere Anleitung – 9+1 Tipps für Ihre Online-Sicherheit. Wo überall im Umgang mit Ihrem E-Mail-Konto Vorsicht geboten ist