CCC hackt iPhone-Fingerabdrucksensor - na und?

Mit einem Hausmanns-Hack wollte der Chaos Computer Club mal wieder demonstrieren, wie doof biometrische Sicherheitssysteme angeblich sind. Das Problem: Das iPhone ist nicht der E-Pass und der "Hack" für Otto Normaluser völlig irrelevant.

Der Chaos Computer Club betätigt sich gerne in der Geste der Selbstbestätigung. NSA? PRISM? „Wir waren nicht überrascht“, hieß es unisono aus dem Verein zur Reaktion auf die globale Daten-Affäre. Ja ja, wir haben es euch ja immer gesagt.

Und dass biometrische Sicherheitssysteme ja auch totaler Schrott sind, predigt uns der CCC auch schon seit 2008, als er pressewirksam Wolfgang Schäubles Fingerabdruck von einem Wasserglas klaute und in seiner Mitgliederzeitschrift veröffentlichte.

Um das nochmal allen zu verdeutlichen, hat der CCC sich nun Apples neues iPhone vorgenommen. „CCC hackt Fingerabdruck-Scanner des iPhone 5S“ verspricht vollmundig die Schlagzeile auf Spiegel Online. Der „Hack“ ist diesmal recht rustikal. Alles was man braucht: Photoshop, Laserdrucker, Folie und Holzleim und eine Bastelbegeisterung, die man sonst nur bei Yps-Lesern findet.

Und schwupps – schon hat man den geklauten Finger selbst gebaut und kann mit ihm das fremde iPhone heimlich entsperren und alles abräumen, was darauf ist. Stellt sich nur die Frage: Wer zum Teufel macht sich einen solchen Aufwand und klaut von mir benutzte Weingläser, um meinen Fingerabdruck zu stehlen und dann nachzubauen? Und wofür? Die Antwort auf Frage 1: Leute, die entweder 007 sind, eigentlich lieber 007 wären oder CCC-Mitglieder sind, die irgendetwas demonstrieren wollen. Die Antwort auf Frage 2: Weil sie mir die Formel für die kalte Kernfusion stehlen wollen oder ganz einfach deswegen, weil sie es können.

Der CCC aber ist stolz auf seinen Hausmannskost-Hack: „Wir hoffen, daß dies die restlichen Illusionen ausräumt, die Menschen bezüglich biometrischer Sicherheitssysteme haben. Es ist einfach eine dumme Idee, etwas als alltägliches Sicherheitstoken zu verwenden, was man täglich an schier unendlich vielen Orten hinterlässt“, sagt Frank Rieger, Sprecher des CCC.

Wir haben es euch ja schon immer gesagt... Der "Hack" soll erneut beweisen: biometrische Sicherheitssysteme sind doof, weil großes Missbrauchspotenzial. Was beim E-Ausweis noch verständlich ist, wird beim neuen Apple-iPhone wirklich etwas lächerlich. Apple hat den Fingerabdruck-Scanner aus dem Grund eingebaut, um es dem Nutzer etwas einfacher zu machen, sein Gerät zu entsperren – nicht aber um irgendwas damit zu verschlüsseln oder hochsensible Daten zu schützen. Wir kennen das alle: Die Passcode-Entsperrung des Smartphones ist mit das nervigste, was es gibt. Ich bewundere ja immer Leute, die die Geduld haben, jedesmal, wenn sie nur kurz mal nach Nachrichten gucken wollen, eine vierstellige Nummer einzutippen. Und viele, die ich kenne, machen noch nicht mal das, sondern beschränken sich auf den Seitenwisch – ich übrigens auch. Wieso auch nicht? Wenn jemand mein Gerät klaut, dann ist es weg - ob mit oder ohne Passcode. Und die Angst, dass er damit für Tausende von Euro auf meine Kosten telefoniert, dürfte sich in Zeiten von Flatrates und der Möglichkeit von Fernsperrung erledigt haben.

Also, falls das Smartphone jemandem in die Hände fallen sollte und er ungehindert dort Zugriff hätte – vom Datenstandpunkt her kann ich nur sagen: so what? Was hat man denn schon groß zu verlieren? Meine Emails hat die NSA schon gelesen. Meine PIN-Nummern habe ich bestimmt nicht in meinem Smartphone gespeichert. In meinen Kontakten finden sich keine Geheimagenten. Und die Formel für kalte Kernfusion habe ich auch nicht darauf gespeichert. Alle sensiblen Daten sind bestimmt nicht auf meinem Smartphone, sondern auf meinem Laptop. Es mag ja sein, dass das bei Politikern oder Wirtschaftsbossen etwas anders gelagert ist. Aber ich nehme mal stark an, dass die auch kein iPhone benutzen, sondern zehnfach passwortgeschützte Kryptohandys. Also: Otto Normaluser braucht diese Geheimagenten-Paranoia nicht. In jeder Brieftasche befinden sich weitaus sensiblere Daten. Und die ist weder passwort- noch fingerabdrucksgeschützt. (jlu)