Mehr Smartphones, mehr Daten, mehr Nutzer: Kein Wunder, dass sowohl Hersteller als auch Anwender nach einfacheren Möglichkeiten suchen, die Geheimnisse in den Hosentaschen-Rechnern zu schützen. Seit einigen Jahren deshalb bei Smartphones im Trend: Fingerabdrucksensoren. Ich bin persönlich ein starker Fürsprecher für besseren Datenschutz in mobilen Endgeräten und habe mir erst kürzlich die unterschiedlichen Verschlüsselungstechniken bei Android, iOS und Windows Phone 8 angesehen. Trotzdem: Bei Fingerabdrucksensoren bleibe ich skeptisch. Meine Gründe lest ihr hier.

Zunächst möchte ich klarstellen, dass es mir nicht darum geht, die Technik an sich zu kritisieren. Die funktioniert oft sehr gut (wie im iPhone 6 oder im Huawei Ascend Mate 7), manchmal auch nicht so gut (Galaxy S5). Das Scannen der Hautstruktur in der Fingerkuppe ist eine so alte Technik, dass man vermuten darf, dass sie mittlerweile relativ verlässlich funktioniert. Auch halte ich die Umsetzung von Apple, die nur einen Hashwert des gescannten Fingerabdrucks in einem gesonderten Speicherbereich der CPU sichert, für relativ überzeugend. Nein, meine Skepsis hat grundlegendere Gründe:

Das Master-Passwort an jeder Kaffeetasse

Ein Grundproblem ist für mich die Gefahr, die durch das Vertrauen auf das „eine Passwort“ entsteht. Egal ob Android oder iOS: Mit jeder neuen Geräte- und Softwaregeneration wird die Identifikation mit dem Finger tiefer in das System integriert. Während iOS 7 nur das Entsperren des iPhones und den Zugang zum Appstore erlaubte, bietet iOS 8 nun die Möglichkeit, den Fingerabdruck in alle möglichen Bereiche einer App zu integrieren. Egal ob Threema-BackUp, Dropbox-Zugang oder ApplePay-Zahlung: Alles wird mit der Fingerspitze zugänglich. Auch Samsung hat mit dem Galaxy S5 die Möglichkeit geschaffen, PayPal-Zahlungen mit dem Finger zu authentifizieren.

Das Problem dabei: Alle diese mehr oder weniger sensiblen Aktionen werden mit dem immer gleichen Kennwort gesichtert: dem Hautmuster an unserer Fingerkuppe. So komfortabel das auch ist, unser Fingerabdruck ist weitgehend unveränderbar und wir haben nur 10 davon (Brustwarzen- und Nasenspitzenabdrücke klammere ich jetzt einmal aus, ok?). Realistisch betrachtet werden die meisten Nutzer ohnehin zu 90 % ihre Daumen oder Zeigefinger nutzen, womit sich die Anzahl der möglichen Kennwörter auf maximal 4 reduziert. Wer das einmal auf die normale Passwort-Welt überträgt, der wird feststellen: Maximal 4 Kennwörter für alle seine Dienste zu nutzen, widerspricht jeder Empfehlung. Warum also soll das bei der Nutzung von Fingerabdrücken anders sein?

Der vermeidliche Vorteil scheint zu sein, dass unser Finger nicht so einfach „abhanden“ kommen kann. So jedenfalls das allgemeine Verständnis. Aber genau das Gegenteil ist doch der Fall? Im Laufe unseres Tages hinterlassen wir dieses eine Master-Kennwort an hunderten öffentlichen Stellen. Ganz als würde man mit einem Haufen Post-Its durch die Welt laufen und auf alles, was man anfasst, einen kleinen Zettel mit seinem Passwort kleben. Gut, ganz so dramatisch ist es nicht, denn den Fingerabdruck von der Kaffeetasse kann man nur mit etwas Aufwand in einen „Kunstfinger“ transferieren. Andererseits: In einer Welt, in der immer mehr Smartphones über Fingerabdrucksensoren verfügen und 3D-Drucker besser und günstiger werden, wird der Aufwand, einen gefundenen Fingerabdruck zu nutzen, immer geringer. Ich erwarte schon den ersten Bericht über Fingerabdruck-Foto-Apps, die mit einem 99 € 3D-Drucker gebündelt zum Verkaufshit unter Ganoven werden.

Beweisprobleme

Wir vertrauen derzeit also schlicht darauf, dass es noch zu aufwendig ist, unsere hundertfach vorhandenen Fingerabdrücke in einen Schlüssel zu unserem digitalen Leben zu verwandeln. Wenn es aber erst einmal so weit kommt, dass unser Kennwort kompromitiert ist, dann wird es schwierig. Anders als bei Zahlen und Worten, kann ich mein Kennwort nicht so einfach ändern. Jedenfalls nicht, ohne meiner Fingerkuppe schmerzhaft zu Leibe zu rücken.

Und genau das ist meine zweite große Sorge: Biometrie ist beinahe ewig. Unsere 10 Finger sind, einmal „geknackt“, nicht mehr änderbar. Kommt also jemand an unsere Fingerabdrücke, dann sind wir aufgeschmissen. Wir können unseren Daumen schlicht nicht mehr nutzen, das Kennwort ist verbraucht, für immer.

Darauf aufbauend drohen zudem erhebliche Beweisprobleme. Während ich derzeit zum Beispiel gegenüber Banken oder Kreditkartenunternehmen gut argumentieren kann, dass da wohl jemand meine PIN oder mein Kennwort gestohlen hat, möchte ich nicht wissen, wie so ein Fall ausgehen würde, wenn eine Zahlung mit meinem Finger legitmiert wurde. Die Beweislast wird ungleich höher und das Kreditkartenunternehmen wird sicher nicht so schnell locker lassen, schließlich ist mein Finger nicht so einfach zu stehlen, richtig?

Der gekochte Frosch

Dabei hört der Trend ja nicht bei Fingerabdrucksensoren auf. Gerüchte um einen Iris-Scanner beim Galaxy S5 haben sich zwar nicht bewahrheitet, aber es dürfte nur eine Frage der Zeit sein, bis andere Hersteller neue Gimmicks einbauen. Warum zum Beispiel nur den Fingerabdruck auslesen? Warum nicht parallel noch den Blutdruck messen, die Hautfarbe abspeichern oder den Augenabstand mit einberechnen? Wie der Frosch im lauwarmen Wasser unbemerkt gar gekocht wird, zieht Biometrie ganz langsam in unseren Alltag ein und wir tun nichts dagegen.

Sichere Authentifizerungsmethoden sind wichtig, keine Frage. Aber in einer Welt, in der alles Digitale zunächst einmal gegen uns verwendet werden kann, frage ich mich doch, an welchem Punkt man die Grenze ziehen muss. Unser Körper ist nun einmal unveränderbar und – einmal im System – ein Leben lang verfolgbar und auswertbar. Während jetzt nur der Fingerabdruck zum Kauf von iTunes-Filmen genutzt wird, sehe ich jedenfalls technisch keine Probleme, andere Daten auszuwerten. Wenn dann Nutzern mit dunkler Haut in den USA die Zahlung bestimmer Summen verwehrt wird, weil afro-amerikanische Menschen statistisch vermeidlich über schlechtere Bonität verfügen oder Nutzer mit hohem Puls bei der nächsten Zahlung des Versicherungsbeitrages einen Risikozuschlag bekommen, beginnt aus Spielerei ein Problem zu werden. Und wenn die Erfahrung mit den Geheimdiensten aus Übersee uns Eines gelehrt hat, dann dass alles technisch machbare auch tatsächlich durchgeführt wird.

Nur die Gedanken sind frei

Die Problematik biometrischer Zugangssystem hat zuletzt eine weitere Brisanz erhalten, als das Bezirksgericht von Virginia Beach, USA, entschieden hat, dass die Polizei das Recht hat, den Finger eines Verdächtigen mit Zwang gegen ihn zu verwenden. Auch in Deutschland gilt zwar der Grundsatz, dass sich niemand selbst belasten muss. Ein Verdächtiger, der bis zu Verurteilung ja zunächst ein Unschuldiger ist, muss beispielsweise nicht die Zugangsdaten zu seinem Computer verraten. Wenn sein Kennwort allerdings in seiner Fingerkuppe steht, dann ist das was anderes.

Ob dieses Urteil auf das deutsche Recht übertragbar ist, ist eine spannende Frage, die ich nicht weiter vertiefen möchte. Wenn ich aber einmal den Vergleich zur Blutprobe ziehe, die ebenfalls gegen den Willen eines Verdächtigen als Belastungsbeweis entnommen und verwertet werden kann, sehe ich keinen Grund dafür, dass die Gerichte in Deutschland nicht zu einem ähnlichen Ergebnis wie die amerikansichen Kollegen kommen werden.

So lange die Gedanken frei sind, ist ein Kennwort eben nur im eigenen Kopf sicher. Jedenfalls so lange Folter keine zulässiges Beweiserhebungsmittel geworden ist. See you in the comments!