Unter anderem mit einem Irisscanner will sich Samsung bei seinem Galaxy S8 von der Konkurrenz abheben. Einfach zu nutzen und vor allem sicher soll das Ganze sein, betont der Hersteller. Eine Darstellung an der es allerdings von Anfang an Zweifel gab, immerhin warnen Sicherheitsexperten schon seit Jahren vor jeglichen Formen der biometrischen Authentifizierung.

Attrappe

Genau diese Zweifel bestätigen sich nun: In einer Pressemitteilung verkündet der Chaos Computer Club (CCC), dass man die Iriserkennung des S8 geknackt hat – und zwar mit recht einfachen Methoden. Alles was dafür nötig war, ist ein Foto in ausreichender Qualität, das nach Anpassung der Helligkeit und des Kontrasts mit einem handelsüblichen Laserdrucker ausgedruckt wurde. Anschließend wurde einfach noch eine Kontaktlinse über die Aufnahme gelegt – fertig war die Augenattrappe, mit der das S8 infolge zuverlässig entsperrt werden konnte.

Kritik

Der CCC übt dabei auch recht unverblümte Kritik an den Versprechungen von Samsung. Genaugenommen sei die Iriserkennung – entgegen dem was das Unternehmen kommuniziert – sogar noch unsicherer als der Fingerabdruckscanner. " Im einfachsten Fall reicht schon ein hochaufgelöstes Bild aus dem Internet, um Bilder von Iriden zu erbeuten", betont Dirk Engling, einer der Sprecher des CCC.

Im konkreten Test mit dem S8 reichte jedenfalls eine Aufnahme aus einer Entfernung von 5 Metern aus, die mit einer herkömmlichen Spiegelreflexkamera und einer 200-Millimeter-Linse erstellt wurde. Für jemanden, der an die Daten auf einem solcherart gesperrten Smartphone kommen will, sollte dies also keine sonderlich große Hürde darstellen. Dass Samsung angekündigt hat, künftig sogar die Autorisierung von Bezahlvorgängen mithilfe eines Irisscans ermöglichen zu wollen, bereitet den Hackern entsprechend Sorgen.

Fazit

"Wem die Daten auf seinem Telefon lieb sind oder wer sogar daran denkt, mit seinem Telefon bezahlen zu wollen, der greift statt auf die eigenen Körpermerkmale besser auf den bewährten PIN-Code-Schutz zurück," zieht Engling ein eindeutiges Resümee. Der CCC hatte in der Vergangenheit biometrische Sicherheitsmechanismen immer wieder grundlegend kritisiert. Diese seien als Schutz alleine schon deswegen untauglich, weil sie im Gegensatz zu einem Passwort nie geändert werden könnten. (apo, 23.5.2017)