Nur wenige Tage nach Verkaufsstart des iPhone 5S in Deutschland haben die Computerexperten des Chaos Computer Clubs (CCC) das TouchID-System bereits geknackt — mit Hausmitteln. Besonders schwer hatten es die Biometrik-Experten dabei nicht. Sie nutzten eine Technik, die bereits seit Jahren etabliert ist.

Ein von einer Glasoberfläche abfotografierter Fingerabdruck reichte aus, um einen künstlichen Finger herzustellen. Zuerst wird ein Fingerabdruck eines Benutzers von einer Glasoberfläche abfotografiert. Das Bild wird am Computer bereinigt, gespiegelt und mit einem Laserdrucker auf eine transparente Folie gedruckt. Auf das Druckbild wird dann hautfarbene Latexmilch oder weißer Holzleim aufgetragen. Durch die Drucklinien, so die CCC-Experten, entsteht ein Fingerabdruckbild in dem Material, sodass nach dem Trocknen der gefälschte Fingerabdruck fertig ist. Wenn man diesen Abdruck nun anfeuchtet, kann damit das iPhone entsperrt werden.

Mit der Demonstration verfolgt der CCC ein klares Ziel: „Wir hoffen, daß dies die restlichen Illusionen ausräumt, die Menschen bezüglich biometrischer Sicherheitssysteme haben. Es ist einfach eine dumme Idee, etwas als alltägliches Sicherheitstoken zu verwenden, was man täglich an schier unendlich vielen Orten hinterläßt“, sagt Frank Rieger, Sprecher des CCC. Biometrie sei nur dazu geeignet, Menschen zu überwachen und sie zu kontrollieren und nicht, um Gebrauchsgegenstände vor unbefugtem Zugriff zu bewahren. Von einer Nutzung des Fingerabdrucksensors des neuen iPhones raten die Computerexperten sehr deutlich ab — und das aus mehreren Gründen.

Der Fingerabdrucksensor im iPhone 5S.

Die CCC-Aktion hat gezeigt, dass ein solches Sicherheitssystem recht einfach überwunden werden kann. Inwiefern durch die Speicherung des Fingerabdrucks im iPhone biometrische Merkmale an US-Sicherheitsdienste gelangen können, ist bislang ebenfalls noch völlig unklar. Doch die Sicherung persönlicher Daten mittels biometrischer Merkmale hat noch weitere Nachteile. Wer zum Beispiel in die USA oder Großbritannien einreist, kann dazu gezwungen werden, Behörden Einblick in auf Computer oder Smartphone gespeicherte Daten zu geben. Auch wer festgenommen wird, aus welchem Grund auch immer, hat bei einem Fingerabdruck-Sicherheitssystem schlechte Karten. Denn anders als Passwörter sind Fingerabdrücke weniger durch das Gesetz geschützt, schreibt Jan-Peter Kleinhans im Blog Netzpolitik.org.

Ein weiterer "Unsicherheitsaspekt" bei der Nutzung von Fingerabdrücken als Identifikationsmerkmal ist die Endlichkeit der Kombinationen. Ein vergessenes oder kompromittiertes Passwort lässt sich mit relativ geringem Aufwand ändern. Fingerabdrücke hat ein Mensch im Optimalfall nur zehn Stück.