Seit sechs Tagen ist das Samsung Galaxy S5 im Handel erhältlich. Nur vier Tage hat es gedauert, bis die ersten Hacker den Fingerabdrucksensor des neuen Oberklasse-Smartphones ausgetrickst hatten.

Mitglieder des Chaos Computer Clubs hatten vergangenen September bereits den Sensor des iPhone 5s überlistet. Sowohl Apple als auch Samsung preisen die Technik dagegen als sicher an, als bequeme Alternative zu PINs und lästigen Passworten und vor allem: als die Zukunft. Hard- und Softwareanbieter entwickeln derzeit neue Standards, die das Bezahlen und Identifizieren im Netz über biometrische Daten wie eben Fingerabdrücke ermöglichen.

Hacker mit Holzleim

In einem Video zeigen die Experten des Berliner Security Research Labs, wie sie das Galaxy S5 mit einem Dummy entsperren. Den hatten sie noch von den Versuchen mit dem iPhone 5s. Damals nahmen Mitglieder des Chaos Computer Clubs einen Fingerabdruck auf dem Display mit einer gewöhnlichen Handykamera auf. Anschließend druckten sie das Bild auf einer durchsichtigen Folie aus, die wiederum als Maske zum Belichten einer Leiterplatte diente. Mit etwas Graphit und ausgehärtetem Holzleim konnten sie einen hautähnlichen Dummy des Fingerabdrucks erstellen.

Die Vorgehensweise ist zwar nicht fürchterlich kompliziert, aber für die meisten Menschen wohl nur schwer kopierbar. Nicht nur braucht es dafür einen möglichst klaren Fingerabdruck des richtigen Fingers, sondern auch das nötige Equipment – wer hat schon die Möglichkeit, mal eben eine Leiterplatte zu ätzen?

Die Befürworter biometrischer Daten sehen deshalb keine große Gefahr. Schon gar nicht, wenn die Sensoren erst einmal besser werden und zusätzlich auch die Venenmuster des Fingers erkennen. Und doch zeigt der erneute Hack eines beliebten Gerätes, dass auch Fingerabdrücke ein Sicherheitsrisiko darstellen können. 

Vor allem, wenn diese mehr erlauben, als bloß ein Smartphone zu entsperren.

Per Fingerabdruck mit PayPal einkaufen

Bei Apple ergänzt die TouchID genannte Technik das persönliche Passwort lediglich. Zwar kann das Handy damit entsperrt werden, doch möchte ein Nutzer auf sensible Daten zugreifen, muss er weiterhin das Passwort eingeben – und zwar nach jedem Neustart des Geräts.

Bei Samsungs Galaxy S5 ist das anders: Hier ersetzt der Fingerabdruck – falls gewünscht – das Passwort in nahezu allen Situationen; letzteres dient lediglich als ein Back-up, sollte der Sensor streiken. Wie die Tüftler von SRL sagen, gibt es auch keine werkseitige Begrenzung der möglichen Versuche; Hacker können also fleißig probieren, bis sie das Gerät entsperrt haben.

Zudem können die Nutzer mit ihrem Fingerabdruck auf dem Galaxy auch PayPal benutzen, also Einkäufe tätigen oder Geld auf andere PayPal-Konten überweisen – ein Feature, auf das Samsung besonders stolz ist und das es sogar in der Produktvorstellung erwähnte. Auch hierzu benötigen die Nutzer kein Passwort, den Login bei PayPal übernimmt ebenfalls der Fingerabdruck.

Eine internationale Allianz gegen Passwörter

Möglich macht das eine internationale Kooperation namens Fido (Fast Identity Online). Hinter dem Projekt stecken unter anderem der Kryptografie-Spezialist Taher Elgamal, der das Verschlüsselungsprotokoll TLS mitentwickelt hat, mehrere Hard- und Softwarehersteller wie Blackberry und Microsoft sowie Dienstleister wie Master Card und eben PayPal. 

Fido möchte die Authentifizierung zwischen Nutzern, ihren Geräten und Onlinediensten standardisieren – und dabei die klassischen Passwörter überflüssig machen. Samsung ist mit dem Galaxy S5 der erste Smartphone-Hersteller, der die Fido-Standards verwendet.

Ein Fingerabdruck für alle Onlinedienste

Die Nutzer registrieren sich zunächst bei einem Onlinedienst, der Fido unterstützt. Zusätzlich werden auf dem Smartphone entweder mithilfe eines Fingerabdrucks, eines Iris-Scans, per Sprachbefehl oder eines separaten USB-Sticks zwei Schlüssel erstellt: zum einen ein öffentlicher Schlüssel, der an den Dienst übertragen wird und den Nutzer und sein Gerät identifiziert, zum anderen ein lokaler Schlüssel für den Abgleich, der die biometrischen Daten auf dem Gerät speichert. Der Vorteil: Diese Daten landen nicht auf den Servern Dritter, wo sie möglicherweise abgegriffen werden können.

Um sich anschließend in den Dienst einzuloggen, benötigen die Nutzer also stets ihr Smartphone. Das ist für diejenigen, die es ohnehin überall dabei haben, kein Problem. Unterstützen erst einmal mehrere Dienste das Prinzip, würde das Handy somit zum universellen Schlüssel. Massenweise Passwortdiebstähle bei den Anbietern wären keine Gefahr mehr, da sie alleine keinen Zugriff gewähren. 

Doch während das Fido-Prinzip auf der einen Seite sicherer ist, birgt es möglicherweise neue Risiken. Passwörter sind – im Idealfall – für jeden Dienst unterschiedlich. Ist eines gelüftet, sind nicht gleich alle anderen Accounts bedroht. Ein geknacktes Handy wie das Galaxy S5 dagegen könnte genau das ermöglichen: PayPal, Online-Shopping, Kreditkartendienste, sie alle wären mit einem einzelnen gefälschten Fingerabdruck bedroht, sofern die Apps wie im Falle PayPals (siehe Video) keine zusätzliche Eingaben mehr verlangen – das Zwei-Faktoren-Prinzip wäre ausgehebelt.      

Fingerabdrücke alleine reichen nicht

Jan Krissler, der Hacker des iPhone 5s, sagte ZEIT ONLINE, dass er lieber weiterhin Passworte verwende. Er glaubt, dass im Fall der Biometrie die Gelegenheit erst Diebe macht: Je mehr Menschen Fingerabdrucksensoren verwendeten, desto stärker sei der Anreiz, sie zu knacken. Erst recht, wenn dadurch auf eine Vielzahl von Daten und Diensten zugegriffen werden könne, sich der Aufwand also lohne.

Das könnte tatsächlich passieren, denn durch das iPhone 5s hat die Biometrie bereits Einzug in die breite Masse erhalten. Mit den kommenden Smartphone-Generationen dürfte die Technik endgültig etabliert sein und somit auch für mehr Webdienste interessant werden. Zwar ist es unwahrscheinlich, dass sowohl ein Handy gestohlen wird, als auch der Fingerabdruck des Nutzers gefälscht wird. Ausgeschlossen ist es nicht.

Wie kann man sich vor dem Diebstahl eines Fingerabdrucks schützen? Die einfachste Lösung ist natürlich, die Fingerabdrücke gar nicht erst mit dem Gerät zu registrieren. Wer das Feature unbedingt nutzen möchte, sollte zur Authentifizierung zumindest einen Finger nehmen, der weniger Abdrücke auf dem Gerät hinterlässt, den Ringfinger beispielsweise.

Am sichersten wäre eine doppelte Authentifizierung: Der Fingerabdruck etwa könnte einfach als Login fungieren, sowohl für das Smartphone selbst, als auch für Dienste im Netz oder in den entsprechenden Apps. Ein persönliches Passwort müssten Nutzer aber in jedem Fall weiterhin eingeben. Doch dazu müssten nicht nur die Anbieter mitspielen. Das Prinzip würde wohl auch an einem anderen Punkt scheitern: Es wäre den meisten Menschen schlicht zu kompliziert.