Coming soon ... IT Summit by heise

Biometrie für Mobilgeräte: Wer Fingerabrücke auf dem Smartphone hinterlässt

Biometrische Erkennung klingt wie eine bequeme und sichere Lösung für den notorisch wackligen Zugangsschutz von Mobilgeräten. Oliver Schonschek warnt jedoch vor hastigen Installationen. Erstens ist vieles noch unausgereift, zweitens begeben sich Unternehmen auf datenschutzrechtlich dünnes Eis.

Besondere Merkmale: schützenswert

Von Oliver Schonschek

Immer dabei, immer online, immer gefährdet: Smartphones und Tablets brauchen einen besonderen Schutz. Da Passwörter häufig zu schwach gewählt werden, bieten sich die biometrischen Merkmale an, schließlich hat man Fingerabdruck oder Irismuster immer dabei. Doch als alleiniger Zugangsschutz sind sie bisher nicht geeignet. Außerdem ist wiederum der Schutz der biometrischen Daten nicht zu vergessen.

Geht ein mobiles Endgerät verloren, hängt es am Zugangsschutz, ob die Daten missbraucht werden können oder nicht. Neben der obligatorischen, aber häufig fehlenden Verschlüsselung ist es dann meist das Nutzerpasswort, das unehrliche Finder oder Diebe überwinden müssen. Leider ist dies meist ein Spaziergang, sogar für Gelegenheitskriminelle. Die TMT Predictions 2013 von Deloitte gehen davon aus, dass 90 % Prozent selbst der als stark eingestuften Passwörter geknackt werden können. Deshalb werden für mobile Endgeräte zusätzliche Sicherheitsmaßnahmen notwendig – z.B. eine biometrische Zugangskontrolle.

Mobilpasswörter sind besonders gefährdet

Der Einsatz zusätzlicher Sicherheitsfaktoren für den Zugangsschutz ist gerade für Tablets und Smartphones von besonderer Bedeutung. Zum einen gibt ein Viertel der Befragten laut der Deloitte-Studie zu, dass sie bei mobilen Geräten weniger sichere Passwörter nutzen, um Zeit zu sparen.

Zum anderen haben die Datendiebe bei einem gestohlenen oder verlorenen Smartphone praktisch alle Zeit der Welt, um das Passwort zu knacken. Schließlich können sie das bequem bei sich im Wohnzimmer erledigen, ohne dass sie sich darum sorgen müssten, entdeckt zu werden. Eine Fernlöschung der Daten oder die Geräteortung im Verlustfall ist leider noch nicht so verbreitet, als dass sich die Diebe zur Eile getrieben sehen müssten.

Schnellschüsse verfehlen das Ziel

Eile ist auch für die Geräteeigentümer nicht gut. Die betrieblichen Mobilgeräte in aller Hast „biometrisch“ abzusichern, weil Passwörter so unsicher sind, bringt nichts. Schalten Sie zuerst einmal einen Gang zurück. Denn viele (angebliche) Lösungen sind alles andere als ausgereift.

So macht es keinen Sinn, über einen der App-Marktplätze kurzerhand eine (am besten kostenlose) App herunterzuladen, die zusammen mit Smartphone- oder Tablet-Kamera ein Foto des legitimen Nutzers aufnimmt und danach angeblich nur noch diesem Nutzer Zugang gewähren wird. Unter Umständen wird die App Sie nie wieder erkennen oder aber viele angebliche Doppelgänger von Ihnen ausmachen.

Oder aber der Anbieter kennt die Schwächen seiner biometrischen Lösung und bietet direkt eine Hintertür: Sollte der biometrische Zugang nicht klappen, kann man wieder zum alten Passwort zurückkehren – und damit zum Passwortproblem wie gehabt.

Kein Ersatz, sondern eine Ergänzung

„Überall dort, wo kleinere Systemfehler leichter zu verzeihen sind, werden sich biometrische Erkennungsverfahren (zuerst) ausbreiten“, so die DB-Research-Studie „Der vermessene Mensch“. Wenn man an die erhöhten Risiken bei mobilen Endgeräten denkt, sollte man die als „kleinere Systemfehler“ bezeichneten Ungenauigkeiten bei einigen biometrischen Lösungen lieber nicht akzeptieren, wenn die biometrische Erkennung der einzige Zugangsschutz sein soll.

Geschaefte mit mobilen Apps.jpg

Schwarz auf Weiß
Was Apps fürs Business leisten können, erklärt Oliver Schonschek kompakt und genau im E-Book „Geschäfte mit mobilen Apps“, das es als freies PDF im Pressezentrum des Mittel­standsWiki gibt.

Sinnvoll hingegen erscheinen gute biometrische Lösungen als Teil einer Mehr-Faktor-Authentifizierung, die das Passwort, aber auch biometrische Merkmale nicht alleine als Schutz gelten lassen. So lohnt es sich, wenn Sie die Augen nach passenden Lösungen offen halten. Schließlich gehen alle Sicherheitsstudien für 2013 davon aus, dass die mobilen Datenrisiken steigen werden.

Achten sollte man auf Berichte über neue Patente im Bereich Biometrie und mobile Geräte z.B. von Apple; auch auf den zurückliegenden IT- und IT-Sicherheitsmessen wurden Mehr-Faktor-Lösungen für Smartphones und Tablets präsentiert, etwa MobiComBiom, die Cloud-Lösung BioID Connect oder QTrust 2go Smart (bei dieser Lösung z.B. werden als Sicherheitsfaktoren QR-Codes, Gesichtsscan und Einmalpasswort kombiniert).

Fazit: Wo liegen die Biometriedaten?

Keinesfalls vergessen sollten Sie ein grundsätzliches Problem biometrischer Lösungen: Ein Gerät, das Ihren Fingerabdruck vergleichen kann, muss Ihren Fingerabdruck kennen und irgendwo gespeichert haben. Und wo es um biometrische – also personenbezogene – Daten geht, die gespeichert und verarbeitet werden, greift der Datenschutz. Fachleute raten hier zu besonderer Vorsicht. Bei jeder Lösung sollte dem Nutzer vorab klar sein, wo und wie seine biometrischen Daten gespeichert werden (z.B. auf dem mobilen Endgerät, in der Cloud, auf einer Smartcard) und wie sie dort gegen Missbrauch geschützt sind.

Es bringt nämlich wenig, einen typischen Fehler der Passwortsicherheit bei biometrischen Zugangslösungen erneut zu begehen: die ungeschützte Speicherung der Passwörter.

News Analyst Oliver Schonschek.JPG

Oliver Schonschek bewertet als News Analyst auf MittelstandsWiki.de aktuelle Vorfälle und Entwicklungen. Der Fokus liegt auf den wirtschaftlichen Aspekten von Datenschutz und IT-Sicherheit aus dem Blickwinkel des Mittelstands. Er ist Herausgeber und Fachautor zahlreicher Fachpublikationen, insbesondere in seinem Spezialgebiet Datenschutz und Datensicherheit.


Oliver Schonschek, Tel.: 02603-936116, www.schonschek.de

Nützliche Links