Das iPhone ist kein Datentresor

Es war zu erwarten: Der Chaos Computer Club hat den iPhone Fingerabrucksensor Touch ID „gehackt“. Ich hatte eigentlich erst neulich hier über die angebliche Sicherheit des Systems geschrieben.

Abgesehen davon, dass das Video nicht besonders aufschlussreich ist:¹ Natürlich kann der Mechanismus geknackt werden. Das ist kein Tresor, sondern ein Mobiltelefon! Es ging doch nie darum, dass die Regierung oder wer nicht an die Daten im Telefon kommt. Sondern dass niemand auf Facebook postet, während der Besitzer des Gerätes auf dem Klo sitzt.

Und dafür funktioniert Touch ID hervorragend, wie man hört. Es ist einfach einzurichten und kryptographisch ein Vielfaches komplexer als ein Zahlencode.² Wer die Ressourcen und die Energie hat, um eine hochaufgelöste Kopie deines Fingerabdruckes zu klauen und einen Gummifinger daraus nachzubauen, der kommt auch durch eine Code-Sperre.

Nun zu Apple: Natürlich ist Touch ID in Apples Marketing die beste Erfindung seit geschnittenem Brot. Das Ideal des unknackbaren Gerätes ist aber eine Phantasie (Apple hat auch nie „unknackbar“ behauptet). Wenn dein Smartphone einer anderen Partei in die Hände fällt, kann man für nichts mehr garantieren.

Woran man arbeiten kann (und was Apple tut), ist die Sicherheit der Touch ID im Kontext des Internets und des virtuellen Zugriffs zu verbessern. Darum ging’s mir in meinem letzten Beitrag zum Thema.

Dazu kommt noch, dass der neue Sensor in den meisten Situationen sicherer ist als ein Zahlencode.³ Also kommt in Sachen Sicherheit am Ende ein Plus heraus. Nur deshalb muss es ja noch lange nicht sicher sein. Deshalb ist dieses eine Fazit des CCC nicht ganz verkehrt:

iPhone-Benutzer sollten vermeiden, sensible Daten mit ihrem Fingerabdruck zu sichern.

Das gilt aber genau so für die Code-Sperre.