Face ID: Macht die Gesichtserkennung des iPhone X deine Daten sicherer? Ja und nein
Gesichtskontrolle statt Fingerabdruck: Das wichtigste Feature neben dem großen OLED-Display des neuen iPhone X (ab 3. November, 64 GB um 1.149 Euro, 256 GB um 1.319 Euro) ist Face ID. Die Technologie soll das Gesicht des Besitzer zum Passwort machen und schafft den Fingerprint-Sensor Touch ID ab. Die Technologie soll es dem Nutzer nicht nur erlauben, sein Gerät zu entsperren, sondern auch Zahlungen (z.B. mit Apple Pay) zu verifizieren oder Funktionen in Apps von Dritt-Anbietern zu nutzen (Trending Topics berichtete).
Bei der Präsentation betonte Apple – seit einigen Jahren sehr auf Datenschutz bedacht – darauf, dass die Gesichts-Daten zum Abgleich des Users nicht in der Cloud, sondern direkt am Gerät in der so genannten „Secure Enclave“ des neuen A11 Bionic Chip gespeichert werden. Doch kurz nach der Präsentation wurden Stimmen laut, dass Apple mit Face ID Gesichtserkennung salonfähig und massentauglich mache. NSA-Whistleblower Edward Snowden bezeichnete Face ID zwar als „überraschend robust“, warnte aber auch gleich davor, dass die Technologie „sicher“ missbraucht werden würde.
Wie funktioniert der Gesichts-Scan?
Das iPhone X hat an der Front ein so genanntes „TrueDepth“-Kamerasystem verbaut, das aus Umgebungslichtsensor, 7-Megapixel-Cam, Punktprojektor, Infrarotkamera und Infrarotbeleuchter besteht. Dieses System vermisst 30.000 Punkte und erstellt daraus eine 3D-Karte des Gesichts, außerdem werden damit die Bewegungen von rund 50 Gesichtsmuskeln erfasst. Erkennt das iPhone X das in der „Secure Enclave“ hinterlegte Gesicht wieder, entsperrt das Gerät bzw. verifiziert eine Transaktion.
Laut Apple-Manager Phil Schiller liege die Fehlerquote bei 1 zu 1.000.000, während Touch ID eine Fehlerquote von 1 zu 50.000 habe. Damit die Gesichtserkennung funktioniert, muss der Nutzer die Augen geöffnet haben und sehr direkt auf das Gerät blicken – bei zu steilem Winkel funktioniert es nicht. Außerdem kann ein eineiiger Zwilling nicht vom Besitzer unterschieden werden. Dafür soll Face ID mitlernen können, sollte sich das Gesicht (z.B. durch Alterung, Brille, Bart, etc.) verändern.
Was Schiller auch sagte: 100 Prozent Sicherheit biete kein biometrisches Verfahren – also auch Face ID nicht. Gegenüber Wired sagte der Security-Forscher Marc Rogers, dass das System ziemlich sicher gehackt werden würde. Er könne es kaum erwarten, seinen Kopf als 3D-Modell auszudrucken, um Face ID zu täuschen.
Fotos oder Masken soll man der Kamera laut Apple nicht vorhalten können, dank des 3D-Scan würde sich Face ID nicht täuschen lassen können. Wie gut oder schlecht das funktioniert, muss die Praxis zeigen. Smartphones mit Gesichtserkennung (z.B. das Samsung Galaxy S8) konnten in der jüngeren Vergangenheit bereits ausgetrickst werden, indem man ihnen einfach ein Foto des Besitzers vorhielt. Was ebenfalls anzumerken ist: Funktioniert der Gesichts-Scan nicht, kann man das iPhone X immer noch mit einem sechsstelligen Nummern-Code entsperren. Touch ID bei anderen iPhone-Modellen kann deaktiviert werden, indem man fünf Mal hintereinander auf den Einschaltknopf drückt. Auch Face ID soll man so deaktivieren können.
Warnung vor einer Normalisierung der Überwachung
Was Beobachter als übergeordnetes Problem abseits von Hacks der Technologie sehen: Die breite Masse könnte sich mittelfristig an Gesichts-Scans gewöhnen. Die Die American Civil Liberties Union (ACLU) weist darauf hin, dass Sicherheitsbehörden in den USA schon seit Jahren Gesichtserkennung zur Bekämpfung von Kriminalität einsetzen – allerdings mit gemischten Ergebnissen. Face Recognition-Software sei oft anfällig für Fehler, und zwar sowohl in punkto „false positives“ (unschuldige Menschen werden verwechselt) oder „false negatives“ (bereits erfasste Kriminelle werden vom System nicht erkannt). „Die Gefahr ist, dass Gesichtserkennung in Kombination mit einer Ausweitung der Videoüberwachung immer invasiver werden könnte“, heißt es seitens der ACLU. Missbrauch durch Einzelpersonen sei möglich, genauso wie die zielgenaue Überwachung einer einzelnen Person, der Kamerasysteme durch die Stadt folgen könnten.
Auch in der Praxis könnte sich Face ID als problematisch erweisen. Bei einem Nummern-Code muss man den Besitzer dazu zwingen, die Zahlenkombination herauszurücken. Hat man das iPhone X und den Besitzer unter Kontrolle, kann man ihn einfach dazu bringen, es zu entsperren – indem man ihm das Smartphone vors Gesicht hält.
Immerhin gilt iOS 11 – das Betriebssystem des iPhone X – als eines der sichersten. Würde es ein Krimineller in die Hände bekommen und versuchen zu hacken, er würde vermutlich scheitern. 2016 hatte sich Apple vehement dagegen gewehrt, das iPhone des Attentäters von San Bernardino zu knacken, damit das FBI die Daten auswerten kann. Schließlich schaffte es eine „externe Partei“, das Apple-Smartphone für das FBI zu hacken. Apple selbst, dass für den Datenschutz seiner Kunden auf die Barrikaden stieg, wurde dann doch nicht per Gericht dazu gezwungen, die Daten zu entschlüsseln.