Wie sicher ist der Fingerabdruck-Scan (Touch ID) auf Ihrem Smartphone?

Sind Sicherheitsprotokolle, die auf Fingerabdrücken basieren, zuverlässig? Finden Sie heraus, warum sie besser schützen als die meisten Alternativen.

Mai 20, 2021 - 2 Min.
Picture of: Adrian Straub
Adrian Straub

Unsere Smartphones und mobilen Geräte haben uns die Welt buchstäblich vor die Finger gelegt. Von der Flugbuchung über die Kommunikation mit Menschen auf der ganzen Welt bis hin zum internationalen Handel und Bankgeschäften ist alles nur einen Wisch oder einen Klick entfernt. Und dank der Fortschritte in der Mobiltechnologie und der Biometrie beschützen unsere Fingerspitzen heutzutage sogar unsere Geräte und App-Daten.

Wie funktioniert das?

Beim Einrichten Ihres neuen Geräts haben Sie die Möglichkeit, einen Fingerabdruck-Scan hinzuzufügen. Man nutzt hierfür heutzutage üblicherweise kapazitive Touch-Technologie, um hochauflösende Bilder von den verschiedenen Bereichen Ihres Fingers zu erfassen. Diese Bilder ergeben eine „Landkarte” Ihres Fingers mit Details und Abweichungen, die für das menschliche Auge unsichtbar sind. Dieser Finger-Scan verlässt niemals Ihr Gerät. Jedes Mal jedoch, wenn Sie Ihr Mobiltelefon entsperren, auf Ihr Online-Bankkonto zugreifen, einen App-Account eröffnen möchten etc., kann Ihr Gerät Ihren Fingerabdruck mit der gespeicherten „Landkarte“ des Fingers vergleichen und dann überprüfen, ob Sie zum Zugriff auf die gewünschten Informationen oder Inhalte berechtigt sind.

Lässt sich der Fingerabdruck-Sensor austricksen?

Die einfache Antwort lautet: nein. Die tatsächliche Antwort ist jedoch ein wenig komplexer.

Stellen wir uns vor, Sie möchten Ihre Online-Banking-App auf Ihrem mobilen Gerät öffnen. Hierfür geben Sie nicht Ihren Benutzernamen und Ihr Passwort ein, sondern legen Ihren Finger auf den Sensor Ihres Mobilgeräts. An diesem Punkt scannt Ihr Gerät Ihren Finger, um festzustellen, ob er mit dem gespeicherten Fingerabdruck übereinstimmt. Es gibt eine Reihe von verschiedenen Scannern, um diese Aufgabe zu erfüllen: von kapazitiven Scannern, die auf elektrischen Wellen beruhen, über optische Scanner, die ein visuelles Bild des Fingerabdrucks verarbeiten, bis hin zu Ultraschall-Scannern, die auf Schallwellen beruhen.

Vielleicht verdeutlicht das besser, warum es so schwierig ist, einen Fingerabdruck-Sensor auszutricksen: Man braucht immer noch den Fingerabdruck, um den Sensor zu überlisten! Aber wo bekommt man den her?

Obwohl es für den Durchschnittsmenschen wahrscheinlich schwierig ist, an einen Fingerabdruck heranzukommen, der nicht der eigene ist, gibt es dafür durchaus Möglichkeiten. Cyber-Kriminelle haben sich in der Tat eine Reihe von betrügerischen Methoden einfallen lassen, um Fingerabdruck-Sensoren zu umgehen. Wenn sie zum Beispiel Zugang zu dem betreffenden Finger haben, können sie eine Form davon erstellen, die dann auf den Sensor gelegt wird. Oder sie erwerben Fingerabdrücke illegal und fertigen daraus mit einem 3D-Drucker entsprechende Modelle. Dies sind jedoch mühsame, zeit- und kostenintensive Verfahren. Und da viele Geräte mittlerweile auch eine Lebendigkeitserkennung in die Fingerabdruck-Scan-Technologie integriert haben, reicht die Nachbildung eines Fingerabdrucks oft nicht aus, um den Scanner zu umgehen.

Ist es sinnvoll, sich auf die Sicherheit von Fingerabdruck-Scans zu verlassen?

Das Scannen von Fingerabdrücken hat einen grossen Vorteil gegenüber herkömmlichen Sicherheitssystemen: Es erfordert keine Passwörter. Für die Benutzer bedeutet das noch mehr Komfort und Bequemlichkeit, da sie sich keine langen und komplizierten Zeichenfolgen mehr merken und eintippen müssen, um auf ihre Daten zuzugreifen. Es bietet aber auch eine zusätzliche Sicherheitsebene für Dienstanbieter: Wenn Benutzer nicht mehr versucht sind, leicht zu merkende Passwörter zu wählen oder dasselbe Passwort für alle Plattformen, Dienste und Geräte wiederzuverwenden, dann sinkt für Service-Provider das Risiko, dass ihre Systeme nach einem Passwortdiebstahl gehackt werden.

Auch wenn man nie komplett ausschliessen kann, dass auch Fingerabdrücke gefälscht werden, lässt sich das gesamte Sicherheitssystem mit Zwei- oder Mehr-Faktor-Authentifizierung noch weniger angreifbar machen. Durch die Abfrage zusätzlicher Verifizierungs- und Authentifizierungsfaktoren – wie beispielsweise dem geografischen Aufenthaltsort des Benutzers oder Einmal-PINs – erhöhen Sie die Sicherheit, dass die Person, die versucht, sich Zugriff zu verschaffen, tatsächlich dazu berechtigt ist.

Wie sicher ist also das Scannen von Fingerabdrücken? Es ist zweifellos sicherer als die meisten Alternativen. Und die Verwendung als ein Faktor in einem 2FA- und MFA-Verifikationssystem macht es nahezu narrensicher.