Handy-Sicherheit

Biometrische Entsperrmethoden für Mobilgeräte im Überblick

Ein schnödes Passwort mutet im Zeitalter von Fingerabdrucksensor, 2D- und 3D-Gesichtserkennung sowie Iris-Scanner altbacken an. Doch bieten die biometrischen Varianten tatsächlich mehr Schutz bei der Smartphone-Entsperrung?

Um die privaten Dateien auf dem Mobilgerät durch physische Fremdzugriffe besser abzusichern, wurden im Laufe der Zeit verschiedene biometrische Entsperrmethoden eingeführt. Die prominentesten Beispiele sind der Fingerabdrucksensor, die Gesichtserkennung und der Iris-Scanner. In diesem Artikel beschreiben wir die Funktionsweise der einzelnen Methoden. Außerdem erörtern wir die Historie dieser Schutzmaßnahmen und veranschaulichen, wie gut geschützt das Smartphone oder Tablet durch den jeweiligen Mechanismus tatsächlich ist. Haben das Passwort und der PIN-Code mittlerweile ausgedient?

Die Arbeitsweise des Fingerabdrucksensors

Der Fingerabdrucksensor Touch ID des iPhone 5s Der Fingerabdrucksensor Touch ID des iPhone 5s
Bild: Apple
Diese Scanner unterteilt man in zwei Oberkategorien: halbautomatisch und automatisch. Das erstgenannte Verfahren erfordert vom Anwender, dass er seinen Finger über die Scannerfläche zieht, während die Vollautomatik direkt beim Auflegen des Fingers mit der Analyse startet. Es gibt Exemplare, die mehr als einen Finger auf einmal erfassen können, diese kommen in Smartphones jedoch nicht zum Einsatz. Die Abtastung der Papillarlinien, also der Strukturen der Fingerkuppe, kann über optische Sensoren, E-Feld-Sensoren, thermische Sensoren, polymere TFT-Sensoren, kontaktlose 3D-Sensoren, Ultraschallensoren oder kapazitive Sensoren erfolgen. Nach der Registrierung des Fingers wird das Mobilgerät – bei entsprechend aktivierter Entsperrmethode – nur entsperrt, wenn bei aufgelegtem Finger der Abgleich mit dem gespeicherten Abbild übereinstimmt. Ein umfassendes Special zum Fingerabdrucksensor finden Sie hier.

Historie des Fingerabdrucksensors

Das erste 2G-Handy mit diesem biometrischen Schutzmechanismus war das Sagem MWC 959, das im Jahre 2000 auf den Markt kam. Einen weiteren Meilenstein stellte das Motorola Atrix dar, ein Android-Smartphone mit integriertem Fingerabdruckscanner, das im Frühling 2011 erschien. Die iOS-Fans wurden erst 2013 mit einem biometrisch gesicherten Telefon bedacht. In diesem Jahr erschien das iPhone 5s, das erstmals im Home-Button einen Fingerabdrucksensor verbaut hatte. Von Apple wird die Technologie als Touch ID bezeichnet. Sony zog dann 2015 nach und realisierte die Entsperrmethode in seinem Oberklasse-Smartphone Xperia Z5. Dennoch war die Einführung ein Novum, denn während Samsung und Apple ihren Scanner im Home-Button unterbrachten, wählte der japanische Hersteller den seitlichen Ein-/Ausschalter für die Implementierung. Anfang 2018 präsentierte Vivo schließlich mit dem X20 Plus UD das erste Mobiltelefon, dessen Fingerabdrucksensor in das Display eingearbeitet wurde.

Die Sicherheit des Fingerabdrucksensors

Fingerabdrücke sind bekanntermaßen einzigartig, es ist also entsprechend schwer, die Methode zu überlisten. Der Chaos Computer Club schaffte dies nach der Markteinführung des iPhone 5s, in dem man einen Abdruck von einer Glasoberfläche abfotografierte. Die Aufnahme muss mit einer Auflösung von 2400 dpi erfolgen, anschließend wird das Bild invertiert und kontrastreicher gestaltet. Nun soll man das Foto auf eine durchsichtige Folie drucken und mit weißem Holzkleber oder rosafarbener Latex-Milch bestreichen. Ist diese Imitation getrocknet, wird sie kurz angehaucht, was die Hautfeuchtigkeit simuliert. Der Fingerabdruckscanner soll sich mit dieser Kopie effizient täuschen lassen. Doch auch wenn man keine Vorlage des Mobilgerät-Besitzers hat, kann man die Entsperrung mit viel Aufwand aushebeln. Ein Forscherteam erstellte in 2017 aus rund 800 Fingerabdrücken insgesamt 8200  Teilabdrücke. Ähnlich wie beim Knacken eines Codes wurden verschiedene Kombinationen aus diesem Datensatz ausprobiert, bis sich der Schutzmechanismus täuschen ließ. Absolut sicher ist ein Fingerabdrucksensor also nicht, allerdings ist das Austricksen der Prozedur mit viel Aufwand verbunden.

Die Arbeitsweise der Gesichtserkennung

Außer für die Videotelefonie und für Selfies kann die Frontkamera eines Smartphones oder Tablets auch zum Entsperren verwendet werden. Dabei greift ein Bildanalyseverfahren, das auf mathematischen Berechnungen beruht und nach einer ovalen Form sucht, Farben innerhalb der ovalen Form mit Einbeziehung des Hautpigments Melanin analysiert und geometrische Anordnungen, wie etwa den Abstand der Augen, abgleicht. Es handelt sich hierbei um eine 2D-Gesichtserkennung. Das deutlich sicherere 3D-Verfahren tastet hingegen beispielsweise durch Streifenprojektion oder einem komplexen Kamerasystem das Gesicht dreidimensional ab. Es wird ein 3D-Tiefenmodell erzeugt, das als Referenzfoto dient. Die Entsperrung des Mobilgeräts erfolgt, wenn die registrierten Ebenen des Gesichts mit denen des Anwenders übereinstimmen.

Die Historie der Gesichtserkennung

3D-Gesichtserkennung via Face ID 3D-Gesichtserkennung via Face ID
Bild: Apple
Erstmals wurde im Jahr 2005 von Omron die Okao Vision Face Recognition Sensor getaufte Software vorgestellt, die Smartphones mit Gesichtserkennung den Weg ebnen sollte. Bis ein Mobiltelefon mit einer ähnlichen Methode zu uns nach Deutschland kam, dauerte es anschließend noch sechs Jahre. Samsung leistete 2011 mit dem Galaxy Nexus Pionierarbeit und führte ein Smartphone mit Gesichtserkennung in Europa ein. Zum Einsatz kam eine 2D-Variante auf Software-Basis. Der nächste große Schritt wurde von Apple mit der Veröffentlichung des iPhone X vollzogen. Das Phablet bot als Premiere eine 3D-Gesichtserkennung (Face ID). Wenige Monate später stellte Samsung ein Verfahren namens Intelligent Scan vor. Hierbei wird eine 2D-Gesichtserkennung mit den Daten eines Iris-Scanners kombiniert.

Die Sicherheit der Gesichtserkennung

Als Google mit Android 4.0 Ice Cream Sandwich das Entsperren über eine Gesichtserkennung einführte, merkte der Suchmaschinen-Konzern an, dass die Methode wenig Sicherheit biete und als experimentell angesehen werde. Bis heute hat sich daran nichts geändert, nach wie vor ist es ziemlich einfach, ein mit Gesichtserkennung gesperrtes Smartphone oder Tablet zu entsperren. Dafür reicht bereits ein Foto der Person, deren Gesicht als Schutzmechanismus dient. Selbst ein Ausdruck ist nicht erforderlich, ein digitales Bild genügt vollkommen. Auch neuere Frontkameras wie die des Samsung Galaxy S8 lassen sich problemlos überlisten. Hingegen ist die 3D-Gesichtserkennung des iPhone X ein härterer Brocken, wie Sicherheitsforscher bestätigen. Um diese Entsperrmethode auszuhebeln, brauchten die Experten einen speziellen 3D-Drucker, mit dem sie eine dreidimensionale Maske des Smartphone-Users aus Steinmehl erstellten. Des Weiteren kreierte das Team Fotos unterschiedlicher Perspektiven der Augen, die dann an der Maske angebracht wurden.

Die Arbeitsweise des Iris-Scanners

Ein weiteres biometrisches Merkmal, das häufig zur Identifizierung eines Menschen genutzt wird, ist die Iriserkennung. Mit einem speziellen Scan-Mechanismus werden circa 260  individuelle optische Eigenschaften des farbigen Bereichs um die Pupille herum aufgenommen. Dabei kommt abermals ein Kamerasystem zum Einsatz, unterstützt durch Infrarotlicht (Nahinfrarotspektroskopie). Eine solche Kombination kann die Muster der Regenbogenhaut äußerst akkurat erkennen – selbst in dunklen Arealen. Das Infrarotlicht trotzt zudem Umgebungslicht, welches die Erfassung erschweren kann. Der Nachteil: bei Brillenträgern funktioniert die Iriserkennung aufgrund von durch die Gläser entstehenden Reflexionen oftmals nicht zufriedenstellend.

Die Historie des Iris-Scanners

Die Iriserkennung des Samsung Galaxy S8 Die Iriserkennung des Samsung Galaxy S8
Bild: Samsung
Im Spätsommer 2015 stellte Fujitsu das Arrows NX F-04G vor, womit der japanischen Hersteller erstmals eine Iriserkennung in einem Smartphone realisierte. Es folgten kurze Zeit später weitere Mobilgeräte, etwa von ZTE und Alcatel, die ebenfalls mit diesem Feature aufwarten konnten. Der kommerzielle Durchbruch gelang der Iriserkennung allerdings erst mit der Veröffentlichung des Samsung Galaxy Note 7 im Herbst 2016. Während man mittlerweile auch in günstigen Einsteiger-Smartphones einen Fingerabdruckensor vorfindet, wird ein vollwertiger Iris-Scanner meistens nur in teureren Modellen eingesetzt.

Die Sicherheit des Iris-Scanners

Ganz so leicht wie die Gesichtserkennung lässt sich dieser Mechanismus nicht austricksen. Ein Foto des Handy-Besitzers reicht nicht aus, um sich Zugang zum System zu verschaffen. Die Iriserkennung braucht beim Abtasten plastische Informationen des Auges. Mit einer Kontaktlinse und einem darin eingebetteten hochauflösendem Bild der Iris kann diese räumliche Vorgabe allerdings erfüllt werden. Tatsächlich lassen sich auch moderne Iris-Scanner in Mobilgeräten durch diese Prozedur überlisten.

Fazit zu den biometrischen Entsperrmethoden

Momentan führt kein Weg an Apple vorbei, wenn man das Smartphone mit der höchsten biometrischen Sicherheit haben möchte. Die 3D-Gesichtserkennung Face ID ist besonders schwierig zu umgehen und erfordert Fachwissen nebst speziellem Equipment. Der Fingerabdrucksensor und der Iris-Scanner sind leichter zu hacken, die dafür notwendigen Utensilien sind zudem günstig. Die 2D-Gesichtserkennung mittels Frontkamera ist die unsicherste im Umlauf befindliche Methode. Ein simples Foto reicht bereits aus, um an die persönlichen Daten des Smartphone-Eigentümers zu gelangen. Unser Tipp: So komfortabel die zweidimensionale Gesichtserkennung auch sein mag, vermeiden Sie diese Entsperrmethode. Fingerabdrucksensor und Iris-Scanner bieten zwar mehr Schutz, allzu sicher sind diese Verfahren jedoch auch nicht. So bleibt abseits Face ID das gute alte Passwort, das, wenn es durchdacht erstellt wurde, einen guten Schutz für die Mobilgeräte darstellt. Der vierstellige PIN-Code ist hingegen äußerst unsicher.

Mehr zum Thema Biometrie