Sind Handys mit Gesichtserkennung sicherer?

Digital

Auf unseren Smartphones liegen viele Daten, die nicht für fremde Augen bestimmt sind: Fotos, Emails oder SMS. Entsprechend wichtig ist es, sein Gerät gegen Angreifer zu schützen. Immer häufiger kommen dazu biometrische Verfahren zum Einsatz, zum Beispiel die Gesichtserkennung. Wie sicher ist das?

Smartphone
Bildlegende: Schau mir in die Augen, kleines: Die Gesichtserkennung bei einem Samsung-Galaxy-Smartphone. Reuters

Eine Warnung vorneweg: 100 prozentig sicher ist keine der Massnahmen, mit der wir unser Smartphone schützen können. Sei es die Gesichtserkennung, der Fingerabdruck oder ein raffinierter PIN, alle wurden von Angreifern schon einmal geknackt.
Allerdings ist dazu oft viel Aufwand nötig, manchmal gelingt es auch nur unter Laborbedingungen. Für die meisten Angreifer lohnt sich dieser Aufwand deshalb nicht – ausser vielleicht, ihr Ziel ist ein wichtiger Geheimnisträger oder ein weltbekannter Superstar.
Für alle, die nicht zu dieser Gruppe gehören, können folgende Hinweise hilfreich sein:

• Sein Smartphone zu schützen bedeutet immer, Sicherheit gegen Bequemlichkeit abzuwägen. Je sicherer die Methode, desto umständlicher kann es werden, das Gerät zu entsperren.

• Am besten verlässt man sich nicht auf eine einzige Schutzfunktion, sondern kombiniert verschiedene Massnahmen, zum Beispiel die Gesichtserkennung mit einem PIN-Code.

• Ein PIN-Code soll möglichst lang und zufällig gewählt sein. Geburtsdaten sind keine guten Zahlenkombinationen: Wenn der Angreifer sein Ziel kennt, kann er diese Zahlen unter Umständen erraten.

• Der PIN hat den Nachteil, dass ein Angreifer ihn leicht sehen kann, wenn er ungeschützt eingegeben wird. Dafür hat ein PIN den Vorteil, dass man ihn leicht wechseln kann, sobald er gesehen wurde. Das ist bei biometrischen Merkmalen wie dem Gesicht oder den Fingerabdrücken eher schlecht möglich.

• Zusammengefasst: Ein langer, zufälliger und gut gehüteter PIN ist sicherer als ein Fingerabdruck oder die Gesichtserkennung. Ein kurzer, leicht zu erratender PIN, der beim Eingeben beobachtet wird, ist viel unsicherer als ein Fingerabdruck oder die Gesichtserkennung.

• Fingerabdruck und Gesichtserkennung sind beide etwa gleich sicher bzw. unsicher. Mit dem Fingerabdruck kann ein Smartphone entsperrt werden, während der Besitzer schläft. Dagegen lassen sich manche Smartphones alleine schon mit einem Foto des Besitzers entsperren, dass man im Internet gefunden hat.

Autor/in: Jürg Tschirren, SRF Digital, Moderation: Michael Brunner, Redaktion: Jürg Tschirren, SRF Digital