Heute entsperren wir unser Smartphone, bestätigen Zahlungen oder melden uns bei Apps ganz selbstverständlich mit Fingerabdruck oder Gesichtserkennung an. Man könnte meinen, diese Entwicklung sei einfach das Ergebnis heutiger Technologie und ein schicker Komforttrend. Doch in Wahrheit steckt weit mehr dahinter.
Die Einführung biometrischer Authentifizierungsmethoden wie Face ID und Fingerprint war eine Antwort auf ein Sicherheitsproblem und zwar das chronische Versagen des Passworts, insbesondere im Finanzbereich und überall dort, wo Geld im Spiel ist.
Deshalb waren es vor allem Banken und andere Finanzplattformen, die zuerst auf biometrische Logins setzten. Heute kommen Fingerabdruck- oder Gesichtserkennungssysteme auch in mobilen Casino-Apps auf AustriaCasino zum Einsatz, um unberechtigte Zugriffe zu verhindern und so das Guthaben der Nutzer zu schützen.
In diesem Artikel untersuchen wir, wie Biometrie die App-Sicherheit revolutioniert hat und warum sie das Ende der unsicheren, wissensbasierten Ära einläutet.
Warum Passwörter scheitern
Die Geschichte des Passworts ist eine Geschichte des ständigen Scheiterns. Dafür gibt es 2 Hauptgründe:
1. Die menschliche Bequemlichkeit
Als das Internet in die Haushalte einzog und wir begannen, uns bei den ersten Online-Diensten anzumelden, stand der Komfort an erster Stelle. Wir griffen zu den einfachsten Lösungen und so war das Passwort der eigene Name, der Name des Partners, des Haustiers oder eine leicht merkbare Zahlenfolge wie 123456 oder schlicht “Passwort“. Diese Passwörter scheiterten aus einem offensichtlichen Grund: Sie waren viel zu leicht zu erraten und dadurch für Cyberangriffe extrem anfällig.
Dazu kam, dass da sich kaum jemand dutzende komplexe, individuelle Passwörter merken konnte, nutzte man dasselbe einfache Passwort für mehrere Dienste. Wurde ein einziger Dienst gehackt oder fiel man auf eine Phishing-Mail herein, waren sofort alle Konten kompromittiert.
2. Der Architektonische Konstruktionsfehler
Doch nicht nur menschliche Bequemlichkeit ist der Grund, warum Passwörter scheitern. Auch die Architektur selbst weist grundlegende Konstruktionsfehler auf, unabhängig davon, wie komplex ein Passwort ist. Ein Passwort muss nämlich zwangsläufig auf dem Server des Dienstleisters gespeichert werden. Zwar geschieht dies heute in verschlüsselter Form (als sogenannter Hash, eine Praxis, die seit den 1970er Jahren üblich ist), doch wenn der Dienstleister selbst gehackt wird, sind diese Hashes massenhaft gefährdet. Angreifer können sie in Ruhe offline entschlüsseln.
Zudem bleiben Nutzer das primäre Ziel von Phishing-Angriffen, da sie leicht dazu verleitet werden können, ihr Passwort auf einer gefälschten Website einzugeben.
Angesichts dieser Schwächen wird deutlich: Das klassische Passwort hat ausgedient.
Biometrische Login als eine Lösung des Sicherheitsproblems
Mit der Lösung kommt der biometrische Login entweder mithilfe des Fingerabdrucks oder der Gesichtserkennung.
Der Prinzip der Authentifizierung
In der IT-Sicherheit werden zur Überprüfung der Identität einer Person drei Kategorien herangezogen, die idealerweise kombiniert werden, um eine hohe Sicherheit zu gewährleisten:
Wissen – Etwas, das man weiß, z.B Passwörter, PINs, Sicherheitsfragen
Besitz – Etwas was man hat, z.B Smartphones (für SMS-Codes)
Sein – Etwas, das man ist, z.B Fingerabdruck, Gesicht
Passwörter fallen unter die Kategorie Wissen, und wir wissen bereits, dass der Faktor Wissen alleine leicht kompromittiert werden kann. Daher braucht es einen Authentifizierungsmechanismus, der nicht nur auf Wissen basiert. Hier kommt die biometrische Authentifizierung ins Spiel, die auf dem Faktor Sein basiert. Sie nutzt unveränderliche körperliche Merkmale wie Fingerabdrücke oder Gesichtszüge, um die Identität einer Person zu bestätigen. Diese Merkmale sind einzigartig, können nicht einfach kopiert werden und begleiten uns immer.
Wie funktioniert die Biometrie?
Man könnte sich natürlich fragen: Werden die biometrischen Merkmale auf einem Server gespeichert, wie die Passwörter? Die Antwort lautet: Nein, und dieser architektonische Unterschied ist der Kern des Sicherheitsgewinns.
Auf dem mobilen Gerät wird lediglich ein biometrisches Template gespeichert. Dieses Template ist ein errechneter, verschlüsselter Algorithmus, der nur die einzigartigen Merkmale des Gesichts oder des Fingerabdrucks darstellt – es ist kein rekonstruierbares Bild. Dieses Template wird auf einem Chip innerhalb des Geräts gespeichert:
Apple nutzt die Secure Enclave.
Android nutzt oft die TrustZone-Technologie.
Diese Sicherheitssubsysteme sind vom Hauptprozessor und dem Betriebssystem isoliert, sodass selbst wenn das Hauptsystem durch Malware kompromittiert wird, auf die biometrischen Daten kein Zugriff besteht.
Die biometrische Authentifizierung dient also lediglich als Freigabemechanismus für einen kryptografischen Schlüssel und läuft folgendermaßen ab:
Beim Scannen des Gesichts oder des Fingerabdrucks wird die neue Probe mit dem verschlüsselten Template auf der Secure Enclave verglichen.
Wenn der Vergleich erfolgreich ist, erteilt die Secure Enclave die Freigabe für einen privaten kryptografischen Schlüssel.
Dieser private Schlüssel wird dann verwendet, um die Anmeldung beim Online-Dienst durchzuführen.
Der private Schlüssel verlässt das Gerät niemals. Die App selbst erhält über die APIs lediglich die Information, ob der Abgleich erfolgreich war – sie kann die biometrischen Rohdaten nicht einsehen.
Die Wahrscheinlichkeit von Fehlern
Kein Authentifizierungssystem ist perfekt; auch biometrische Verfahren können Fehler machen. Zwei Kennzahlen bestimmen ihre Leistungsfähigkeit:
Die False Rejection Rate (FRR): Ein berechtigter Nutzer wird irrtümlich abgelehnt (Ein Problem der Benutzerfreundlichkeit).
Die False Acceptance Rate (FAR): Ein Unbefugter wird irrtümlich akzeptiert (Ein Sicherheitsrisiko).
Ein ideales System hätte also eine niedrige FRR (damit echte Nutzer nicht frustriert werden) und gleichzeitig eine nahezu nullprozentige FAR (damit Angreifer keinen Zugang erhalten). In der Praxis ist dieser Spagat schwierig, denn je strenger ein System die biometrischen Merkmale überprüft, desto häufiger lehnt es auch echte Nutzer ab.
Warum die Kombination von Wissen, Besitz und Sein notwendig ist
Hier zeigt sich, warum kein einzelner Faktor – weder Passwort, Fingerabdruck noch Gerät – absolute Sicherheit bieten kann. Jeder Faktor hat seine Schwächen:
Wissen kann gestohlen, erraten oder vergessen werden.
Besitz kann verloren gehen, beschädigt oder kopiert werden.
Sein (biometrische Merkmale) kann in seltenen Fällen fehlerhaft erkannt werden oder unter bestimmten Bedingungen (z. B. schlechte Beleuchtung, Verletzungen) nicht zuverlässig funktionieren.
Die Kombination dieser drei Faktoren gleicht die jeweiligen Schwächen aus. Wenn mindestens zwei Faktoren übereinstimmen müssen, steigt die Sicherheit exponentiell, während die Fehlerrate insgesamt sinkt.
So kann ein Angreifer zwar eventuell ein Passwort kennen, besitzt aber nicht das physische Gerät oder die biometrischen Merkmale der Person. Umgekehrt kann ein gestohlenes Smartphone ohne die passende biometrische Authentifizierung oder PIN nicht entsperrt werden.
Diese sogenannte Multi-Faktor-Authentifizierung (MFA) ist daher der aktuelle Standard in der IT-Sicherheit.
Fazit: eine passwortlose Zukunft?
Die aktuellen Trends in der Cybersicherheit zeigen deutlich, dass der Faktor Wissen im täglichen Authentifizierungsablauf immer weniger priorisiert wird. Angesichts dieser Entwicklung lässt sich einschätzen, dass die Zukunft auf einer Kombination der Faktoren Besitz und Sein basieren wird.
Es scheint jedoch riskant, den Faktor Wissen vollständig abzuschaffen, denn der technologische Fortschritt funktioniert sowohl für uns als auch gegen uns. Betrüger finden immer neue Wege, um biometrische Daten zu stehlen oder zu manipulieren. In dieser Hinsicht erscheint es vernünftig, ein Passwort als Notfallmechanismus beizubehalten, als quasi unseren letzten Rettungsanker, falls die Technologie einmal versagt.
Die Zukunft wird also definitiv passwortärmer, aber höchstwahrscheinlich niemals ganz passwortfrei sein.
Um dir ein optimales Erlebnis zu bieten, verwenden wir Technologien wie Cookies, um Geräteinformationen zu speichern und/oder darauf zuzugreifen. Wenn du diesen Technologien zustimmst, können wir Daten wie das Surfverhalten oder eindeutige IDs auf dieser Website verarbeiten. Wenn du deine Zustimmung nicht erteilst oder zurückziehst, können bestimmte Merkmale und Funktionen beeinträchtigt werden.
Funktional Immer aktiv
Die technische Speicherung oder der Zugang ist unbedingt erforderlich für den rechtmäßigen Zweck, die Nutzung eines bestimmten Dienstes zu ermöglichen, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wird, oder für den alleinigen Zweck, die Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz durchzuführen.
Vorlieben
Die technische Speicherung oder der Zugriff ist für den rechtmäßigen Zweck der Speicherung von Präferenzen erforderlich, die nicht vom Abonnenten oder Benutzer angefordert wurden.
Statistiken
Die technische Speicherung oder der Zugriff, der ausschließlich zu statistischen Zwecken erfolgt.Die technische Speicherung oder der Zugriff, der ausschließlich zu anonymen statistischen Zwecken verwendet wird. Ohne eine Vorladung, die freiwillige Zustimmung deines Internetdienstanbieters oder zusätzliche Aufzeichnungen von Dritten können die zu diesem Zweck gespeicherten oder abgerufenen Informationen allein in der Regel nicht dazu verwendet werden, dich zu identifizieren.
Marketing
Die technische Speicherung oder der Zugriff ist erforderlich, um Nutzerprofile zu erstellen, um Werbung zu versenden oder um den Nutzer auf einer Website oder über mehrere Websites hinweg zu ähnlichen Marketingzwecken zu verfolgen.
