Seit sechs Tagen ist das Samsung Galaxy S5 im Handel erhältlich. Nur vier Tage hat es gedauert, bis die ersten Hacker den Fingerabdrucksensor des neuen Oberklasse-Smartphones ausgetrickst hatten.

Mitglieder des Chaos Computer Clubs hatten vergangenen September bereits den Sensor des iPhone 5s überlistet. Sowohl Apple als auch Samsung preisen die Technik dagegen als sicher an, als bequeme Alternative zu PINs und lästigen Passworten und vor allem: als die Zukunft. Hard- und Softwareanbieter entwickeln derzeit neue Standards, die das Bezahlen und Identifizieren im Netz über biometrische Daten wie eben Fingerabdrücke ermöglichen.

Hacker mit Holzleim

In einem Video zeigen die Experten des Berliner Security Research Labs, wie sie das Galaxy S5 mit einem Dummy entsperren. Den hatten sie noch von den Versuchen mit dem iPhone 5s. Damals nahmen Mitglieder des Chaos Computer Clubs einen Fingerabdruck auf dem Display mit einer gewöhnlichen Handykamera auf. Anschließend druckten sie das Bild auf einer durchsichtigen Folie aus, die wiederum als Maske zum Belichten einer Leiterplatte diente. Mit etwas Graphit und ausgehärtetem Holzleim konnten sie einen hautähnlichen Dummy des Fingerabdrucks erstellen.

Die Vorgehensweise ist zwar nicht fürchterlich kompliziert, aber für die meisten Menschen wohl nur schwer kopierbar. Nicht nur braucht es dafür einen möglichst klaren Fingerabdruck des richtigen Fingers, sondern auch das nötige Equipment – wer hat schon die Möglichkeit, mal eben eine Leiterplatte zu ätzen?

Die Befürworter biometrischer Daten sehen deshalb keine große Gefahr. Schon gar nicht, wenn die Sensoren erst einmal besser werden und zusätzlich auch die Venenmuster des Fingers erkennen. Und doch zeigt der erneute Hack eines beliebten Gerätes, dass auch Fingerabdrücke ein Sicherheitsrisiko darstellen können. 

Vor allem, wenn diese mehr erlauben, als bloß ein Smartphone zu entsperren.

Per Fingerabdruck mit PayPal einkaufen

Bei Apple ergänzt die TouchID genannte Technik das persönliche Passwort lediglich. Zwar kann das Handy damit entsperrt werden, doch möchte ein Nutzer auf sensible Daten zugreifen, muss er weiterhin das Passwort eingeben – und zwar nach jedem Neustart des Geräts.

Bei Samsungs Galaxy S5 ist das anders: Hier ersetzt der Fingerabdruck – falls gewünscht – das Passwort in nahezu allen Situationen; letzteres dient lediglich als ein Back-up, sollte der Sensor streiken. Wie die Tüftler von SRL sagen, gibt es auch keine werkseitige Begrenzung der möglichen Versuche; Hacker können also fleißig probieren, bis sie das Gerät entsperrt haben.

Zudem können die Nutzer mit ihrem Fingerabdruck auf dem Galaxy auch PayPal benutzen, also Einkäufe tätigen oder Geld auf andere PayPal-Konten überweisen – ein Feature, auf das Samsung besonders stolz ist und das es sogar in der Produktvorstellung erwähnte. Auch hierzu benötigen die Nutzer kein Passwort, den Login bei PayPal übernimmt ebenfalls der Fingerabdruck.

Eine internationale Allianz gegen Passwörter

Möglich macht das eine internationale Kooperation namens Fido (Fast Identity Online). Hinter dem Projekt stecken unter anderem der Kryptografie-Spezialist Taher Elgamal, der das Verschlüsselungsprotokoll TLS mitentwickelt hat, mehrere Hard- und Softwarehersteller wie Blackberry und Microsoft sowie Dienstleister wie Master Card und eben PayPal. 

Fido möchte die Authentifizierung zwischen Nutzern, ihren Geräten und Onlinediensten standardisieren – und dabei die klassischen Passwörter überflüssig machen. Samsung ist mit dem Galaxy S5 der erste Smartphone-Hersteller, der die Fido-Standards verwendet.