IT-Trends-Blog

IT-Trends-Blog

Opinions expressed on this blog reflect the writer’s views and not the position of the Capgemini Group

Biometrie: Sicherheitsprobleme durch die Hintertür?

Kategorie: Trends des Monats
iStock | © ThinkstockBiometrische Zugangsverfahren gibt es schon sehr lange und es klingt auch sehr praktisch, sich mit einem Fingerabdruck, einem Iris-Scan oder der Stimme zu identifizieren, denn die kann man ja schließlich nicht vergessen oder verlieren. Unternehmen standen solchen biometrischen Zugangsverfahren bislang skeptisch gegenüber und haben sie relativ selten eingesetzt. Zum einen sind sie sehr teuer. Zum anderen weisen  sie je nach Kalibrierung bei geringer Fehlertoleranz hohe Fehlerraten bei der Identifikation auf oder sind sie bei hoher Fehlertoleranz oft relativ leicht auszuhebeln. Mit der Vorstellung des iPhones 5S inklusive Fingerabdruckscanner hat die Technologie im Consumer-Bereich neuen Schub erhalten und könnte über diesen Weg ungewollt ins Unternehmen kommen. Das wirft einige Probleme auf.

Denn wenn es Mitarbeitern erlaubt wird, ihr eigenes Smartphone für die Arbeit zu nutzen und Firmendaten auf dem Gerät zu speichern, muss die Zugangskontrolle bestimmte Sicherheitsanforderungen erfüllen. Dazu gehört auch die regelmäßige Änderung des Passwortes. Aufgrund der Tatsache, dass jeder Mensch maximal zehn Finger hat, ist die maximale Anzahl der Passwörter bei dieser Methode aber von vornherein eingeschränkt. Es besteht das Risiko, dass das Passwort über längere Zeit nicht verändert wird oder sogar ein Fingerabdruck weiterbenutzt wird, der schon mal woanders verwendet wurde. Die Kombination mehrerer Fingerabdrücken würde einerseits nicht nur die Anzahl der möglichen Passwörter drastisch erhöhen, sondern andererseits auch die Komplexität des Passwortes und damit die Sicherheit erhöhen. Allerdings steigt dann nicht nur der Aufwand für die Passworteingabe erheblich, sondern auch die möglichen Fehlerkennungen.

Darüber hinaus stellt sich natürlich die Frage, ob der gespeicherte Fingerabdruck gestohlen werden kann. Das iPhone 5S erzeugt − wie viele andere Biometrie-Lösungen auch − aus den zwei-dimensionalen Linien des Fingerabdrucks einen Hash, der verschlüsselt gespeichert wird und eine Zufallskomponente enthält. Professionelle Scanner ziehen unter anderem noch ein 3D-Tiefenmuster des Fingerabdrucks bei der Generierung des Hashs hinzu. Solche Scanner sind aber noch zu teuer, als dass sie für Smartphones und Notebooks verwendet würden. Aber selbst aus dem Hash-Wert, der mit dem einfacheren Scanner erzeugt wird, kann derzeit kein Fingerabdruck rekonstruiert werden.

Allerdings macht die Tatsache, dass Smartphones mit den Fingerkuppen gesteuert werden, es Kriminellen relativ einfach, an brauchbare Fingerabdrücke zu kommen. Denn die Geräte sind in der Regel übersät davon. Es ist wahrscheinlich nur eine Frage der Zeit, bis sie auch die Zufallskomponente identifizieren können und so in der Lage sein werden, Fingerabdruckscanner zu überlisten.  Selbst dieNutzung verschiedener Geräte für die private und berufliche Nutzung bietet keinen ausreichenden Schutz. Denn es besteht die Möglichkeit, dass der Fingerabdruck über eine App auf dem privaten oder von einem modifizierten Gerät ausgelesen wird, das beispielsweise privat erworben wurde.

Im Moment kann man für die Entsperrung des iPhones noch den vierstelligen Code nutzen. Es besteht also wahrscheinlich keine akute Gefahr, aber dennoch ein Problem, über das man sich Gedanken machen muss. Denn einen kompromittierten Code kann man durch einen neuen ersetzen, die Anzahl der zur Verfügung stehenden Fingerabdrücke ist begrenzt. Darüber hinaus muss der Abdruck beim Gerätewechsel, was ja in der Regel alle zwei bis vier Jahre der Fall ist, sicher gelöscht werden können. Sonst könnte es sich für Kriminelle lohnen, Handies auf eBay zu erwerben, um so an digitale Identitäten zu gelangen. Mit hoher Wahrscheinlichkeit arbeiten schon viele tausende an Cracker daran, Schwachstellen der Biometrie-Software der iOS-, Android- und Windows-Betriebssysteme zu finden und es ist nur eine Frage der Zeit, bis sie fündig werden.

Apple hat mit dem iPhone 5S die Biometrie in der Consumer-IT-Welt salonfähig gemacht und es ist wahrscheinlich, dass andere Hersteller nachziehen. Zumal Analysen des neuen iOS8 darauf hindeuten, dass Apple Fingerabdrücke auch im Zahlungsverkehr einsetzen möchte. Damit würde am Ende ein neues Sicherheitsproblem für Unternehmen geschaffen – sozusagen durch die Hintertür.

Wie sehen Sie die potenzielle Gefährdung durch biometrische Zugangsverfahren auf IT-Geräten? Würden Sie den Gebrauch solcher Smartphones und Laptops im Unternehmen gegebenenfalls unterbinden? Und wem gehören Ihrer Meinung nach die biometrischen Merkmale – dem Unternehmen oder dem Mitarbeiter? Diskutieren Sie diese Fragen mit uns! Wir sind gespannt auf Ihre Einschätzung.




Bildnachweis: iStock | © Thinkstock

Über den Autor

Ismet Gülkanat
Ismet Gülkanat
Seit seinem Informatikstudium verfolgt Ismet Gülkanat die Trends rund um die Informationssicherheit und ist stets auf der Suche nach neuen Methoden und Werkzeugen, um den stetig steigenden Sicherheitsanforderungen gerecht zu werden. Als Technologie-Experte von Capgemini beschäftigt er sich vor allem mit IT-Infrastruktur und Betriebsprozessen. Derzeit konzentriert er sich auf die Beratung von Unternehmen und unterstützt sie bei der Umsetzung von Sicherheitskonzepten.

Kommentar hinterlassen

Ihre E-Mail-Adresse wird nicht veröffentlicht. Pflichtfelder sind mit einem * gekennzeichnet.