tl;dr
1. Das Fingerabdrucksystem des neuen iPhones kann gehackt werden. 2. Für eine zentrale Speicherung bei Sicherheitsbehörden sind die Daten aber nicht interessant, weil sie nicht eindeutig einer Person zugeordnet werden können.
Jony Ive, Apples Senior Vice President of Design, beendet das iPhone 5s-Werbevideo mit den Worten: “We believe that technology is at its very best, at its most empowering, when it simply disappears.” Gerade beim Fingerabdruckverfahren gelingt es schon seit seiner Erfindung ganz gut, die Technik hinter dem Verfahren verschwinden zu lassen. Das heißt, der Fingerabdruck konnte deshalb zu einem so mächtigen Identitäts-Symbol werden, weil die Anwendungspraktiken zu einer Black Box wurden. Wer weiß schon, wie ein Fingerabdruckvergleich funktioniert? Das führt meiner Ansicht nach dazu, dass in Beiträgen über den “Touch ID fingerprint identity sensor” zwei Themen miteinander vermengt werden, die aber gesondert beantwortet werden müssen.
Das betrifft 1. das Problem der Sicherheit: Die Frage, ob das System gehackt werden kann und ob der Fingerabdruckvergleich das iPhone vor fremden Zugriff sichert, kann relativ leicht beantwortet werden. Die Antwort ist: Ja, kann gehackt werden. Der Grund dafür ist, dass das Verfahren auf dem automatisierten Vergleich von Merkmalen beruht (pattern recognition). Das bedeutet, es werden charakteristische Merkmale der Fingerkuppen gespeichert und beim Auflegen des Fingers auf den Home-Button werden die Merkmale des aufgelegten Fingers mit den gespeicherten Merkmalen verglichen. Vorher wurde festgelegt, ab wie vielen Übereinstimmungen die Person als identifiziert gilt. Die Identitätsfeststellung durch den Fingerabdruckvergleich beruht daher immer auf Wahrscheinlichkeiten, weil vorher ein Punkt festgelegt werden muss, an dem eine Person bestätigt wird. Charakteristisch für biometrische Identifizierungsverfahren sind daher die Werte der FAR (False Acceptance Rate) und FRR (False Rejection Rate). Im ersten Fall wird eine Person irrtümlich akzeptiert, im zweiten Fall irrtümlich zurückgewiesen. Je mehr Merkmale übereinstimmen müssen, desto niedriger ist zwar die FAR, gleichzeitig steigt aber auch die FRR, weil zwei Fingerabdrücke eben nie exakt gleich sind. Das sind Fingerabdrücke deshalb nicht, weil je nach Druck, Untergrund oder Schmutzpartikel das Bild einer Fingerkuppe anders aussieht und immer anders aussehen muss. Zwei exakt gleiche Fingerabdrücke würde ein Daktyloskop als Fälschung einstufen, weil er sie für eine Kopie halten würde. Soll heißen, Biometrie beruht nicht nur auf Wahrscheinlichkeiten, sondern auch auf Interpretation. Fingerabdrucksysteme bieten also wunderbare Voraussetzungen, um gehackt zu werden.
Dass sich Fingerabdrücke nur schlecht als Passwortersatz eignen, ist schon häufig genannt worden. Natürlich argumentiert Apple in dem Werbevideo, dass Fingerabdrücke ein grandioser Passwortersatz sind, weil die Merkmale einzigartig sind und wir sie immer dabei haben. Aber gerade weil sich biometrische Informationen nicht verändern, ist es ein Problem, wenn sie veröffentlicht sind. Apple sollte mal bei Wolfgang Schäuble nachfragen, ob es für ihn noch sinnvoll ist, seinen Fingerabdruck ernsthaft zu Identifizierungszwecken zu verwenden. Zu leicht können Fingerabdrücke nachgebastelt werden. Einen Grund gibt es aber, den “Touch ID fingerprint identity sensor” dennoch zu verwenden. Wer bislang gar kein Passwort verwendet hat oder nur einen 4-stelligen Pincode kann sich überlegen, ob die Sicherung durch den Fingerabdruck nicht sicherer ist. Wohlgemerkt sicherer, nicht sicher.
Das 2. Thema betrifft die Frage nach der Verwendbarkeit bzw. den Missbrauch der (biometrischen) Daten durch Sicherheits- und Strafverfolgungsbehörden.
Fingerabdruckleser im #iPhone5S Und NSA so: “Champagner!”
— Olaf Kolbrück (@OlafKolbrueck) September 10, 2013
Ich glaube nicht, dass Sicherheitsbehörden ein großes Interesse an den Daten haben und dass eine zentrale Speicherung der Fingerabdrücke zu befürchten ist. Es hat gute Gründe, warum Sicherheitsbehörden in zentralen Datenbanken wie AFIS (Automatisierte Fingerabdruckidentifizierungssystem) oder EURODAC (European Dactyloscopy) mit 10-Fingerabdrucksets arbeiten. Denn die Merkmalsdichte an einem Finger muss schon sehr hoch sein, um ihn in einer Datenbank mit mehreren 100.000 Abdrücken als eindeutig zu bestimmen (siehe FAR und FRR).
Jetzt gäbe es freilich noch das Argument, dass beim “Touch ID fingerprint identity sensor” ja bis zu 5 Fingerabdrücke gespeichert werden können. Und mit 5-Fingersets ließe sich sicherlich problemlos eine größere Datenbank aufbauen. Allerdings gibt es bei der Geschichte einen Haken. Denn beim Anlegen eines neuen Fingerabdruckprofils kann nicht überprüft werden, wessen Fingerabdruck gespeichert wird. Im Fall einer zentralen Speicherung der Fingerabdrücke wäre das ein Problem. Denn wer garantiert denn, dass alle 5 Fingerabdrücke von einer bestimmten Person sind? Vielleicht ist ja ein Fingerabdruck eines Freundes/einer Freundin oder des Partners/der Partnerin dabei. Um für Sicherheitsbehörden interessant zu sein, müssten die einzelnen Abdrücke jeweils eindeutig zuordenbar sein. Das sind sie aber nicht, solange das Anlegen eines neuen Fingerabdruckprofils nicht unter Aufsicht einer Behörde geschieht.
Update, 22.9.2013: Das ging dann schneller als gedacht und bestätigt oben argumentierte These; dass das System gehackt werden kann ist daher auch nicht besonders überraschend.