Handy-Sicherheit durch Fingerabdruck- und Iris-Scanner oder doch nur Datenschutz-Risiken durch biometrische Merkmale?

Datenschutz-Risiken über biometrische Daten

In unserer heutigen Gesellschaft ist das Handy nicht wegzudenken. Schnell hat sich das Gerät geändert, „smart“ ist es geworden und nicht nur „schnöde Kommunikationsanlage“, sondern auch Kamera, Terminkalender, Fitnesscheck oder auch Kinoticket oder Konzertkarte. Hat man das Smartphone allerdings verloren, so sind alle darauf gesammelten Daten ebenfalls weg. Diese Daten können, wenn sie nicht ausreichend geschützt werden, von Dritten für deren unseriösen Zwecke (z. B. Datenhehlerei) genutzt werden. Es ist daher unerlässlich, eine entsprechende Sicherung einzurichten, die den Zugang Dritter auf das Handy unterbindet oder zumindest erheblich erschwert. Ein ausreichender Schutz beginnt in der Regel mit einem sicheren Passwort. Dies bedeutet allerdings für die Nutzer, dass sie sich einmal mehr ein gutes Passwort merken sollen, das idealerweise nicht nur aus vier Ziffern, wie in den Standardeinstellungen der Smartphones üblich, besteht. Das Problem der Nutzer in Hinblick auf die Passwörter haben die Hersteller längst erkannt und möchten das Leben der Smartphone-Nutzer mittels Fingerabdruck- und Iris-Scanner erleichtern.  Doch wie sicher sind die angebotenen Fingerabdruck- oder auch Iris-Scanner?

Ihr externer Datenschutzbeauftragter informiert über Fingerabdruck- und Iris-Scanner und erklärt, warum die Anmeldung über biometrische Daten Datenschutz-Risiken verursacht.

Ein Bild hilft zur Umgehung des Iris-Scanner

Unter anderem wirbt Samsung für sein Top-Modell Samsung S8 mit seinem Iris-Scanner. Hersteller des biometrischen Erkennungssystems ist das Unternehmen Princeton Identity Inc. Das Handy verspricht eine sichere Authentifizierung anhand der Iris, dabei soll durch die Einzigartigkeit der Regebogenhaut jedes einzelnen Menschen eine direkte Zuweisung des Besitzers des Handys möglich sein und das Handy ausschließlich bei korrekter Erkennung entsperrt werden.  Dieses Versprechen konnte derzeit jedoch noch nicht eingehalten werden, denn Experten des Chaos Computer Clubs (CCC) – einer Hackervereinigung, die seit mehr als 30 Jahren Vermittler im Spannungsfeld technischer und sozialer Entwicklungen tätig ist –  konnten den Iris-Scanner ganz einfach austricksen.

Mithilfe einer einfach zu bauenden Attrappe, bestehend aus einem hochaufgelösten Foto und Kontaktlinsen, um die Wölbung des Auges zu simulieren, konnte die Sicherung per Iris-Scanner ganz einfach umgangen werden. Das heißt, wer ein Foto des Betreffenden hat oder durch Recherche im Internet erlangt, kann mit einfachen Mitteln dessen Handy entsperren.

Ausdrucken und randrücken – Umgehung der Fingerabdrucksicherung

Die Finderabdruck-Erkennung zur Entsperrung des Handys ist seit längerer Zeit gang und gäbe. Diese biete im Vergleich zur Iriserkennung zwar ein etwas höheres Sicherheitslevel, da es nicht so einfach ist, an den Fingerabdruck eines Menschen zu kommen, wie an ein Foto des Betroffenen.  Der Schutz sollte jedoch nicht allzu sehr überschätzt werden. Der CCC erreichte eine Umgehung der Sicherheitsfunktion, indem von einer Glasfläche ein Fingerabdruck abfotografiert wurde, welcher auf eine Klarsichtfolie gedruckt und mit Holzleim oder Latexmilch übergossen wurde. Nach dem Trocknen wurde der „gefälschte Finger“ abgelöst und auf den Sensor gelegt. Prompt hat der unberechtigte Dritte Zugang zum Handy des Betroffenen. Hiernach würde es also – zumindest theoretisch – ausreichen, dass man Ihnen ein Getränk in einer Bar oder einem Café ausgibt und danach dafür sorgt, dass Sie Ihr Handy „verlieren“. Schon käme man mit etwas Mühe und Nacharbeit über den am Glas befindlichen Fingerabdruck an sämtliche Daten, die sich in Ihrem Handy befinden. Wie wir alle wissen, dürften das sehr viele personenbezogene Daten und ggf. sensible Betriebsgeheimnisse sein.

Lieber PIN benutzen

Die Smartphone-Hersteller bleiben mit großer Wahrscheinlichkeit nicht tatenlos und werden versuchen, die Sicherheitslücken zu schließen. Ein ultimativer Schutz kann trotz dessen nicht generiert werden, zumindest nicht aktuell.

„Wem die Daten auf seinem Telefon lieb sind oder wer sogar daran denkt, mit seinem Telefon bezahlen zu wollen, der greift statt auf die eigenen Körpermerkmale auf den bewährten PIN-Code-Schutz zurück“, so Dirk Engling, der Sprecher des CCC.

Besonders Unternehmen, die ihren Mitarbeitern mobile Endgeräte, wie Smartphones oder Notebooks, zu Verfügung stellen, sollten auf die PIN-Sicherung zurückgreifen, um einen höheren Schutz, der auf dem Handy befindlichen Daten und Zugänge, sicherzustellen.

Warum die Anmeldung über biometrische Daten Datenschutz-Risiken verursacht

Neben den Sicherheitslücken sollte zudem beachtet werden, dass es sich bei biometrischen Daten um personenbezogene Daten handelt. Diese dürfen gemäß § 4 Abs. 1 BDSG nur erhoben, verarbeiten und/oder genutzt werden, wenn eine Rechtsvorschrift dies erlaubt oder informierte und freiwillige Einwilligungen der Betroffenen eingeholt wurden. In der Regel ergibt sich für Unternehmen die Notwendigkeit zur Einholung von informierten und freiwilligen Einwilligungen.

Auch sollten Unternehmen – sofern sie die Anmeldung über biometrische Daten ermöglichen möchten – sicherstellen, dass technische und organisatorische Maßnahmen zum Schutz dieser Daten vor unbefugter Kenntnisnahme, wie zum Beispiel der Einsatz von Verschlüsselung, getroffen werden.

Sollten Sie weitere Fragen über die Sicherungsmöglichkeiten von mobilen Endgeräten oder über sonstige Datenschutz relevanten Themen haben, stehen wir ihnen gerne als Ansprechpartner zur Seite.

Brands Consulting – steht für kompetente Dienstleistungen rund um Datenschutz & Beratung

  • fachkundige und zuverlässige Unterstützung im Datenschutz ✓
  • Beratung zur Datensicherheit ✓
  • externer Datenschutzbeauftragter ✓
  • Data Protection Officer ✓
  • Datenschutzberater (Datenschutzberatung) ✓
  • Auditierung als Datenschutzauditor z. B. bei der Vergabe von Verträgen zur Auftragsdatenverarbeitung gemäß § 11 BDSG ✓
  • Durchführung von Datenschutzschulungen (Grundlagen- oder Spezialschulungen) ✓
  • diverse TÜV-Zertifizierungen (z. B.: Datenschutzbeauftragter & Datenschutzauditor) ✓
  • akademisch fundierte Beratung (relevanter Studienabschluss des Beraters bzw. Beauftragten für den Datenschutz) ✓

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.