Ich besitze ein ProBook von HP [ nicht zu verwechseln mit dem MacBook Pro von Apple 😉 ], welches mit einem Fingerabdruckscanner ausgestattet ist. Anfangs war es ganz cool, den Rechner mit dem Finger zu entsperren. Allerdings funktionierte der Scan nicht immer und auch die Software für die Konfiguration war eher mäßig. Mit Windows 8.1 wird von Haus aus eine bessere Unterstützung zur Verfügung stehen, dadurch wird keine zusätzliche Software benötigt. Diese Unterstützung wird der Technik den Weg in immer mehr Geräte ebnen.

Im mobilen Bereich waren biometrische Lösungen eher noch selten anzutreffen, meistens bei speziellen Business-Tablets oder speziellen Lösungen. Dies hat Apple mit der TouchID nun geändert. Im neuen iPhone 5s ist der Home-Button ein Fingerabdruckscanner, mit dem das Gerät entsperrt werden kann. Wahrscheinlich werden bald auch andere Hersteller nachziehen und diese Technik integrieren.

Funktionsweise

Bei einem Scan eines Fingerabdrucks werden die einzelnen Papillarlinien (Linien eines Fingerabdrucks) eines Fingers erfasst und ein Muster daraus berechnet. Dieses Muster wird mit den bereits gespeicherten Mustern in einer Datenbank verglichen. Kommt es zu einer Übereinstimmung, wird der Benutzer erfolgreich identifiziert. Wer mehr über die Funktionsweise von Fingerabdruckscannern wissen möchte, sollte einen Blick in das Dokument Fingerabdruckerkennung des BSI – Bundesamt für Sicherheit in der Informationstechnik – werfen.

Sicherheit

Die Stärke der Sicherheit ist wie fast immer vom Funktionsumfang der verwendeten Geräte und der Art der Softwareimplementierung abhängig. Einfache Scanner lassen sich bereits mit einem ausgedruckten Fingerabdruck auf einer Folie überlisten. Komplexere Geräte können verschiedene Faktoren wie die Durchblutung oder den Sauerstoffgehalt messen und so erkennen, ob es sich um einen „lebendigen“ Finger handelt. Die meisten Geräte sind aber eher einfach und können mit einem künstlichen Finger überlistet werden. Bereits 2006 hat der CCC gezeigt, wie einfach es ist, so einen Fingerabdruck zu fälschen:

Geheimhaltung

Ein Sicherheitsmerkmal für eine Authentifizierung muss immer ein Geheimnis sein. Sobald es Dritten bekannt ist, können diese die Authentifizierung unerlaubt durchführen. Bereits 2008 ist es dem Chaos Computer Club gelungen, den Fingerabdruck des damaligen Innenministers Wolfgang Schäuble zu „besorgen“. Ein Glas Wasser auf einer Konferenz hat dafür gesorgt, dass jetzt jeder den Fingerabdruck herunterladen kann. Das Beispiel zeigt, dass ein Fingerabdruck nicht geheim gehalten werden kann. Auch der mehrmalige Einsatz eines Fingerabdrucks sorgt dafür, dass dieser immer weniger ein Geheimnis ist. Zum Beispiel ist der Fingerabdruck in Ausweise integriert und wird in Unternehmen und öffentlichen Einrichtungen für die unterschiedlichsten Zwecke verwendet (Mensa Essen, bezahlen, Ausweis, …).

Bei einer Bekannten wird der Fingerabdruck in ihrem Unternehmen verwendet, um die Zugangskontrolle von Türen zu steuern. Hierbei ist nicht klar, nach welchen Sicherheitsstandards und an welchen Orten dieses Unternehmen die Fingerabdrücke gespeichert hat. Sind vielleicht sogar externe Firmen in die IT-Systeme mit involviert? Und was passiert, nachdem ein Mitarbeiter aus dem Unternehmen ausscheidet?

Austauschbarkeit

Sobald ein Fingerabdruck einmal geklaut worden ist, stellt sich die Frage, wie damit umgegangen werden muss. Natürlich muss dieser gesperrt werden und darf nicht mehr verwendet werden. Klar kann man einfach einen anderen Finger nehmen – sobald aber alle zehn Finger „gestohlen“ sind, wird es eng. Der Vorteil, dass ein Fingerabdruck individuell und nicht veränderlich ist, wird hier zum Nachteil. Ein Passwort, das geknackt worden ist, kann einfach nicht mehr verwendet werden und ein beliebiges neues vergeben werden. Eine geklaute Kreditkarte kann einfach gesperrt werden und man bekommt eine neue mit einer neuen Kreditkartennummer.

Fazit

Der Fingerabdruck ist ein „Geheimnis“, das überall, wo man sich befindet, verteilt wird. Für jeden Dienst muss der gleiche Abdruck verwendet werden und damit besitzt dieser das notwendige Wissen, um auf alle anderen Dienste zugreifen zu können. Nicht veränderbare „Geheimnisse“, wie Fingerabdrücke, sind aus meiner Sicht untauglich für ein Sicherheitssystem. Ein Passwort einzugeben, ist zwar komplizierter als einen Fingerabdruck zu scannen, bietet aber auch mehr grundsätzliche Sicherheit. Wer Sicherheit möchte, muss auch einen gewissen Aufwand dafür in Kauf nehmen. Dank diverser Hacker-Angriffe und Snowdens Enthüllungen, steigt diese Grenze aber kontinuierlich …

Weitere interessante Artikel zum Thema Fingerabdruckscanner:
+ Zeit – Fingerabdrücke, srsly?
+ Netzwertig – Warum Apples Touch ID einen genauen Blick wert ist
+ Lookout – Warum ich Apples TouchID gehackt habe, und trotzdem denke, dass sie super ist.
+ MBe-consulting – Der Fingerabdruck als biometrisches Erkennungsmerkmal bei physischen Zutrittslösungen
+ Gericht billigt Fingerabdrücke im Pass
+ CCC – Biometrie