AK warnt vor Einloggen mit Fingerabdruck und Gesichtsscan
Die Verwendung von biometrischen Systemen schleicht sich immer mehr in unseren Alltag ein, warnen Konsumentenschützer. Mittlerweile ist es fast normal geworden, per Fingerabdruck seinen Laptop oder sein Smartphone zu entsperren, oder das Online-Banking-System damit öffnen, ohne einen eigenen Code dafür zu benötigen. Es ist bequemer, geht schneller und vermeintlich sicherer soll es auch sein, so zumindest der Tenor bei den Banken, die auf diese Systeme setzen.
„Das Verwenden von Fingerabdrücken zum Einloggen in den Bank-Account mag für Banken einen Mehrwert bieten und für diese selbst sicherer sein, aber das ist es für Konsumenten keineswegs“, sagt Walter Peissl vom Institut für Technikfolgen-Abschätzung (ITA). Peissl hat im Auftrag der Arbeiterkammer (AK) eine Studie (PDF) zum Einsatz von Biometrie bei Konsumenten durchgeführt und ist dabei zum Ergebnis gekommen, dass Fingerabdrücke für Verbraucher nicht sicherer sind.
Fingerabdrücke sind kopierbar
Im Gegenteil: Sie setzen sich damit dem Risiko aus, dass die biometrischen Daten gestohlen und missbraucht werden. Das kann entweder passieren, indem diese aus einer Datenbank entwendet werden, oder aber sie werden einfach dort kopiert, wo man sie hinterlässt. Das kann beispielsweise auch ein Restaurant sein, in dem man aus einem Wasserglas getrunken hat. So kamen etwa Hacker des Chaos Computer Clubs (CCC) an den Fingerabdruck des ehemaligen deutschen Innenministers Wolfgang Schäuble. Hacker „Starbug“ erklärte bei der „Privacy Week“ in Wien, dass man mit einer Digitalkamera und einem Laserdrucker eine Fingerabdruck-Attrappe nachbauen könne, mit der sich Systeme wie Smartphones oder Laptops überlisten lassen.
Auch Gesichtserkennungssysteme hat der Hacker bereits ausgetrickst und zwar mit einem Stabilo-Stift, den er vor ein Foto gehalten hatte und mit dem er im richtigen Takt vor dem Bild herumwedelte. Der Mechanismus, dass man zur Authentifizierung per Gesicht auch noch Blinzeln muss, konnte damit ebenso geknackt werden.
„Sollten Fingerabdruck oder Gesichtsscan in falsche Hände kommen, hat der durch Datenklau verursachte Schaden dauerhafte Folgen. Wie weist man seine Identität nach? Ist der Schlüssel weg, kann man ihn nachmachen lassen, einen PIN-Code kann man neu anfordern, Körpermerkmale nicht“, warnt Daniela Zimmer, AK-KonsumentInnenschützerin. „Denn Fingerlinien lassen sich nun einmal nicht wie ein Schlüssel wechseln.“
Empfehlungen der Experten
Die Konsumentenschützerin spricht sich daher dafür aus, dass Kunden immer eine Wahlfreiheit haben müssen, ob und wie sie Biometrie einsetzen. „Es muss Alternativen geben“, so Zimmer. „Das gilt auch für die Authentifizierung bei Banken.“ Bei Online-Banking-Systemen gebe es derzeit noch andere Möglichkeiten, einzusteigen, sagt Peissl vom ITA, aber auch die bereitgestellten Alternativen müssen genauso einfach und bequem handhabbar sein wie das Auflegen eines Fingers, so seine Forderung. Die AK fordert auch, dass es beim Online-Banking keine dauerhafte Speicherung von biometrischen Daten geben dürfe, um das Risiko von Identitätsdiebstahl zu minimieren.
Die Forscher kommen in der Studie zum selben Schluss wie der NSA-Whistleblower Edward Snowden: Durch den breiten Einsatz im Alltag und durch die zunehmende Verbreitung der Technologien bestehe die Gefahr, dass sich Menschen daran gewöhnen und damit auch Massenüberwachung durch biometrische Systeme akzeptieren.
Fotos im Netz sind Graubereich
Die Studienautoren plädieren für höhere Datenschutz- und Sicherheitsstandards und klare Grenzen bei den Einsatzgebieten von Biometrie: „Die EU hat bereits mit der Datenschutzgrundverordnung (DSGV) einen historischen Schritt gesetzt“, sagt Datenschutzexperte Stefan Strauß. Jetzt gehe es darum, ein stärkeres Zustimmungsrecht für Konsumenten zu verankern, rechtliche Graubereiche zu klären und sicherzustellen, dass die Daten nach einer bestimmten Zeit wieder gelöscht werden.
Eine der „Grauzonen“, die Strauß erwähnt, sind Fotos im Internet. Mit Clearview AI gibt es etwa eine Gesichtserkennungs-App, die anhand eines einzigen Fotos zahlreiche weitere Bilder über einen Nutzer findet. Diese Fotos stammen dabei aus öffentlichen Quellen, wie Profilfotos sozialer Netzwerke, aber auch von YouTube und anderen Websites.
Doch auch eine Firma aus Europa scannte bereits rund 900 Millionen Gesichter ohne Zustimmung der Nutzer und speicherte diese in einer Datenbank. Die Software heißt Pimeyes und funktioniert ähnlich wie Clearview AI. Es wurden auch Bilder von Social-Media-Plattformen verwendet. Diese massenhaft abzugleichen, ist eigentlich offiziell verboten. „Fotos mit Gesichtern werden bereits in unzähligen Fällen für die Identifikation von Personen durch Gesichtserkennung genutzt. Rechtlich ist offen, inwieweit diese Daten als biometrisch gelten. Hier besteht dringender Bedarf, Porträtbilder als sensibel einzustufen, um sie besser vor versteckter biometrischer Auswertung zu schützen“, sagt AK-Expertin Zimmer dazu.
Gegen Gesichtserkennung im öffentlichen Raum
Gesichtserkennungstechnologie sei zudem aus heutiger Sicht „die größte Bedrohung für Grundrechte und Demokratie“, weshalb die AK ein Verbot von Gesichtserkennung an öffentlichen Plätzen fordert, damit sich Menschen weiterhin anonym im öffentlichen Raum bewegen können. Doch die EU-Kommission hat ein entsprechendes Verbot der Technologie vorerst nicht geplant, wie aus einem Leak eines für Mittwoch erwarteten Papiers hervorgeht.
Gegen den Einsatz von der Technologie gibt es seit geraumer Zeit großflächigen Protest, etwa durch die die Bürgerinitiative „Reclaim your Face“. „Biometrische Überwachung bringt allgegenwärtiges Tracking, so wie wir es im Internet kennen, in die Offline-Welt“, warnt auch Matthias Marx, Sprecher des Chaos Computer Clubs (CCC). „Damit könnten wir uns nirgendwo mehr frei und unbeobachtet bewegen.“