Auge um Auge, Fingerabdruck um Fingerabdruck
Augenscan, Fingerabdruck oder die Stimme: Weil herkömmliche Passwörter nicht als sicher gelten, erlauben immer mehr Banken biometrische Daten zur Identifizierung ihrer Kunden. Doch auch die Biometrie hat Tücken.
Wien – Zahlen an der Supermarktkasse kann zäh sein. Der Vordermann wühlt im Portemonnaie nach dem passenden Kleingeld, kramt aus den verschiedenen Fächern die Kundenkarte heraus – bis alles zusammengekratzt ist, vergehen Minuten. Das raubt einem nach Feierabend den letzten Nerv. Der Bezahlvorgang könnte in Zukunft deutlich leichter erfolgen.
Der Kreditkartenanbieter Mastercard etwa hat im Oktober ein biometrisches Bezahlverfahren eingeführt, bei dem sich der Kunde bei Interneteinkäufen per Fingerabdruck oder Selfie authentifizieren kann. Statt ein Passwort einzugeben, kann man mit der App „Identity Check Mobile“zur Verifizierung seiner Identität den Finger auf den Fingerabdruckscanner des Smartphones legen oder alternativ ein Selfie machen, das dann zur Gesichtserkennung verwendet wird. Die Technologie ist in zwölf Ländern verfügbar, wie berichtet auch in Österreich und Deutschland. Mastercard verspricht Karteninhabern „deutlich schnellere digitale Einkaufserlebnisse“und mehr Sicherheit.
Passwörter stehen wegen ihrer Sicherheitsmängel schon lange in der Kritik. 123456 ist das weltweit meistgenutzte Passwort. Auch bei Geheimzahlen von Kreditkarten ist die häufigste Kombination 1234. Trotz ständiger Warnungen vor Daten- und Identitätsdiebstahl sind Internetnutzer bei der Wahl ihrer Passwörter wenig kreativ. Hacker haben damit leichtes Spiel. „Fast alle Passwörter, die mir unterkommen, sind so sicher wie eine offen stehende Wohnungstür“, kritisierte Wired- Kolumnist Armin Hempel. Deshalb wollen Banken Passwörter durch biometrische Authentifizierungssysteme ersetzen.
Kunden der HSBC können sich mittels Stimme in ihrem OnlineAccount identifizieren. Die Stimm- erkennungssoftware überprüft 100 einzigartige sprachliche Identifikatoren wie Sprechgeschwindigkeit, Vokaltrakt und Nasengang. Das System soll sogar funktionieren, wenn der Sprecher erkältet ist. Auch Kunden der Citigroup können sich per Stimme identifizieren. Die amerikanische Bank Wells Fargo lässt ihre Kunden via Augenscan in ihr Online-Banking einloggen. Und das kanadische Start-up Nymi hat einen WearablePrototyp entwickelt, mit dem man an NFC-Terminals (Near Field Communication) bezahlen kann und sich dabei über den Puls authentifiziert.
Das Argument der Banken lautet, dass biometrische Bezahlverfahren sicherer seien als Passwörter. Doch die Technik hat ihre Tücken. Der Hacker Jan Krissler alias Starbug hat im Jahr 2014 auf dem Chaos Communication Congress demonstriert, wie man mit einer handelsüblichen Spiegelreflexkamera Fingerabdrücke kopieren kann. Krissler reichte ein Foto der deutschen Verteidigungsministerin Ursula von der Leyen aus drei Meter Entfernung, um ihren Daumenabdruck mit einem Bildbearbeitungsprogramm zu reproduzieren.
Forscher der Michigan State University haben eine einfache Methode entwickelt, mit der man Bilder von Fingerabdrücken mit einem simplen Drucker ausdrucken kann, die eine hinreichend hohe Auflösung haben, um damit Fingerabdruck-Lesegeräte auszutricksen. Damit könnte man Smartphones entsperren und Transaktionen über Apple Pay abwickeln. Fingerabdrücke gelten unter Experten schon längst nicht mehr als 100 Prozent fälschungssicher und auch nur in bestimmten Altersgruppen (25 bis 45 Jahre) als verlässlich.
Das technische Problem besteht darin, dass Selfie-Scans von Lichtverhältnissen abhängen. Tests der Bürgerrechtsorganisation American Civil Liberties Union zeigen, dass schon eine neue Frisur, Alterung oder eine Veränderung des Gewichts die Software vor Probleme stellen kann. Bei der Stimmerkennung wiederum können Hintergrundgeräusche und Aufnahmeprobleme zu Fehlern bei der Identifizierung führen.
Hinzu kommen die Risiken durch Cyberattacken. Im November gelang es Hackern, auf 40.000 Konten der britischen Bank Tesco zuzugreifen und Geld von 9000 Konten abzubuchen. Der Schaden durch den Betrug: 2,5 Millionen Pfund (knapp 2,9 Millionen Euro). Und ist die Datenbank erst einmal kompromittiert, ist der Schutz unwiederbringlich verloren. Man kann sich ein neues Passwort zulegen, aber keinen neuen Finger oder neues Gesicht. Wenn das Gesicht zum Passwort wird, schafft das neue Unsicherheiten.