Probleme zukünftiger Identifizierung und Datenschutz

Zugangsschutz durch Fingerabdruck / Fingerabdruckscanner

In diesen Tagen stellt die Firma Apple Inc. aus den USA ein neues iPhone vor. Neben diversen Neuheiten, die die Hardware aber auch die Software bietet, wird der Zugangsschutz nun über einen Fingerabdruck gewährleistet. Wenn man früher oder ältere iPhones vor unberechtigtem Zugriff schützen wollte, musste man auf dem Gerät einen Zugangscode hinterlegen. Wenn man das Gerät zur Benutzung entsperren möchte muss man den Code in Form von Zahlen eingeben.

Paradigmenwechsel in der allgemeinen Identifizierung

Das neue Gerät ist in dieser Hinsicht ein Meilenstein oder ein Generationswechsel für Sicherheit was den Zugangsschutz von Geräten betrifft. Denn das Gerät hat einen Fingerabdruckleser (Softwarescanner) in der Oberfläche integriert. Damit muss ein Fingerabdruck in dem Gerät als Zugangscode hinterlegt werden. Nachdem man einmal das Gerät mit seinem Fingerabdruck versehen hat, lässt es sich nur noch bedienen, wenn der richtige Finger einmal auf die Oberfläche gelegt und damit das Gerät entriegelt wird. Für PCs und Türen gab und gibt es solche Lösungen schon länger, aber kein Gerät mit solch einer Verbreitung und bei dem es direkt integriert war.

So kann man sich über dieses System dann auch in Apples Online-Shops identifizieren und ohne weitere Sicherheitsvorkehrungen einkaufen. Apple versichert, dass der Fingerabdruck nur lokal auf dem Gerät gespeichert und dort verschlüsselt wird. Das heisst, dass auch wenn die Daten von dem Gerät über eine Hintertür gestohlen werden, der Fingerabdruck sicher ist (natürlich nicht für Geheimdienste, denn die können heutige Codes knacken). Die Identifizierung für die Online-Shops geschieht dann über einen anderen Mechanismus. Der Fingerabdruck selber wird auf keinen Fall irgendwie online übertragen.

Diese Methode tönt erst einmal sehr zukunftsorientiert und angenehm für den Besitzer. Braucht er sich doch keine Zahlencodes mehr merken. Auch kann keiner zuschauen, wie man einen Zahlencode eingibt. Die Sicherheit und Bequemlichkeit wird anscheinend verbessert. Dieser Eindruck trügt. Das ganze System birgt riesige Gefahren und eine Änderung des Datenschutzverhaltens.

Biometrische Daten für die Konsumwelt

Mit dieser Lösung wird die elektronische Abnahme von biometrischen Daten (Fingerabdruck, Iris, DNA, Blutgruppe, etc.) in der Konsumwelt salonfähig gemacht. Mit Sicherheit werden nun viele Geräte folgen, die auch solche Systeme integriert anbieten. Das ist grundsätzlich eine falsche Strategie in der Sicherheitstechnik. Es ist damit auch eine Frage der Zeit, wann biometrische Daten von allen möglichen Institutionen verlangt und gespeichert werden. Die Erkenntnis der letzten Monate zeigt auch, dass diese Daten dann schnell in den Datenbanken von Geheimdiensten und anderen Behörden landen werden. Die Zukunftsszenarien mancher gruseliger Science-Fiction Filme werden damit Wirklichkeit.

Unsicher und gefährlich

Das Problem an biometrischen Daten ist, so irr-witzig das tönen mag, dass sie sich vom Besitzer nicht ändern und neu beschaffen lassen. Ein Passwort kann ich ändern, kann es auch wieder finden oder rekonstruieren, wenn ich es verloren habe, den Fingerabdruck meines Zeigefingers oder die Iris meines rechten Auges nicht. Verliere ich ihn/es durch einen Unfall ist er/es für immer weg. Auch wenn er gestohlen wird, kann ich mir nicht mit einem anderen helfen. Sicher werden sie lachen, „gestohlen“!? Ja, auch das ist möglich wie schon öfter bewiesen wurde. Jeder Mensch fast am Tag Millionen mal Dinge an und hinterlässt seinen Fingerabdruck. Dritte können ihn damit kopieren und zur Identifizierung verwenden. Das geht mit Schwierigkeiten auch mit einem Iris-Abdruck von einem Foto.

Zusammenführung von Staat und Konsum

Das nächste Problem mit der Erfassung des Fingerabdrucks ist, dass er auch bei Behörden zur eindeutigen Identifizierung verwendet wird. Heute trennt sich die Welt des Staates noch von der des Konsums. Der Staat hat normalerweise die sichersten Methoden um Menschen genau zu identifizieren. Das dauert zwar ein bisschen, aber ist damit um so genauer. Es sind sozusagen zwei getrennte Datenbanken. In Zukunft werden diese leicht miteinander verknüpft werden können, sollte sich dieser Trend weiter entwickeln. Dann kann ein Kriminal-Kommissar bei der Fahndung mal eben schauen, was der Verdächtigte in den letzten Tagen gekauft hat, welche Verkehrsmittel er benutzt hat und welche Türen er geöffnet hat. Alles über seinen Fingerabdruck. In Zukunft ist es dann auch sicher möglich, Fingerabdrücke oder andere biometrische Daten anonym zu erfassen. So z.B. wenn sie dann mit der Hand eine Tür öffnen. Im Griff befindet sich ein Fingerabdruckscanner und schon weiss jeder, dass sie durch diese Tür gingen, bzw. sie auf jeden Fall angefasst haben. Bei Geschäften eine verlockende Möglichkeit genau zu analysieren, wer wann wie lange den Laden betreten hat. Selbiges geht bereits über einen Iris- oder Gesichts-Scann über Video-Kameras. Da aber diese Daten nirgends systematisch erfasst werden, kann man beide Datenbanken nicht zusammen bringen. Noch nicht. Apple hat nun mit dem neuen iPhone eine Schwelle überschritten, die diesen Weg öffnet.

„Die Gedanken sind frei“ – Titel eines Deutschen Volksliedes

Der Titel des alten Deutschen Volksliedes „Die Gedanken sind frei“ bekommt in unserer heutigen Zeit ungeahnte Symbolkraft. Passwörter oder Zahlencodes, wenn man sie nicht irgendwo notiert, bestehen nur in den Gedanken und sind damit die sicherste Methode etwas zu schützen. Noch kann man keine Gedanken lesen und damit an solche Codes kommen. Auch steht es jedem frei für jeden Fall andere Passwörter oder Codes zu verwenden, es ist damit sozusagen individualisiert und damit je nach Nutzer sicher bis sehr sicher. Nicht notierte/erfasste Passwörter können auch in Online-Datenbanken nicht verknüpft werden. Sie bieten den grösst möglichen individuellen Schutz in der elektronischen Welt. Man sollte sich aber einmal mit der Länge und der Art auseinander setzen. Die berühmten Passwörter aus „Geburtstagsdatum meiner Mutter“, „Name meiner Tochter“ sind keine geeigneten Lösungen.

Unterscheidung zwischen wichtigen und weniger wichtigen Dingen

Bei Passwörtern oder der Sicherheit von Daten sollte man grundsätzlich erst einmal zwischen wichtigen und weniger wichtigen Anwendungen unterscheiden. Ein Zahlenschloss an dem Kleiderschrank im Sportverein benötigt keine so hohe Aufmerksamkeit bzw. Sicherheitsstufe wie das Passwort für Online-Banking. Man muss sich die Frage stellen, welcher Verlust eintreten würde, würde das System geknackt. Nach dessen Wichtigkeit sollte man die Sicherheit erhöhen oder verringern.

Wahrscheinlichkeit des Angriffs oder Einbruchs

Weiterhin sollte man die Wahrscheinlichkeit des möglichen Angriffes in Betracht ziehen. Wie wahrscheinlich ist es, dass jemand den Kleiderschrank im Sportverein aufbrechen will? Kann er hohe Werte dort vermuten? Ist das Umfeld gut geschützt? Kann dort jeder in die Räume? Wie funktioniert dort die Kontrolle? Beim Online-Banking sind bei diesen Dingen viele überfragt. Es ist bekannt, dass durch Phishing Zugangsdaten ausgespäht werden können. Auf dem Rechner kann sich ein Trojaner oder eine Malware befinden, die die Zugangsdaten im Hintergrund an Dritte sendet. Die Geheimdienste haben auch SSL-Verschlüsselung, also die sichere Datenübertragung zwischen heimischen Rechner und Bank-Server geknackt. Da ist es nur eine Frage der Zeit, wann das Kriminelle auch können und nutzen werden. Das Online-Bank-Konto ist ein mächtiges Ziel von kriminellen Machenschaften, zusätzlich ist die technische Sicherheit fast an ihre Grenzen gestossen. Um so wichtiger ist es hier lange und komplizierte Methoden für den Zugangsschutz zu verwenden. Kann man die Passwörter selber festlegen, sollten sie möglichst lang sein (>8 Zeichen) und aus klein und gross geschriebenen Buchstaben und Zahlen bestehen.

Optimaler Zugangsschutz / Datenschutz für die Zukunft

Es gibt heute bereits System bei denen die Logik die Sicherheit bestimmt bzw. die Verschlüsselung so aufwendig macht, dass sie kaum noch in einer annehmbaren Zeit entschlüsselt werden kann. So z.B. die Verschlüsselung mit mehreren Schlüssel / Passwörtern. Das PGP-System verwendet solche. Dabei wird eine Datei mit einem System verschlüsselt das nur durch eine Kombination von zwei Passwörtern wieder zu öffnen ist. Eines der Passwörter ist öffentlich, man kann es in einer öffentlichen Datenbank finden. Und das andere ist wie normale Passwörter privat und man selber ist für den Schutz zuständig. Verschlüsselt man nun eine Datei, eine eMail oder eine Datenübertragung wird dazu das eigene Passwort und das öffentliche verwendet. Der Empfänger kann die Datei mit seinem Passwort und dem öffentlichen Schlüssel öffnen. Dieses System könnte man noch durch einen dritten Schlüssel ergänzen. Je mehr Schlüssel um so komplexer wird die Entschlüsselung durch Unbefugte. Das würde für die meisten Fälle ausreichen und den Sinn des „Knackens“ überflüssig machen. Wie sie sicher bemerkt haben, ist diese Methode kompliziert. Für ein mehrfaches Öffnen seines iPhones über den Tag ungeeignet. Damit rechnen aber alle, die an unsere Daten wollen. Deshalb verführen sie uns mit dem Fingerabdruck. Dennoch könnte ich mir ein System, wie oben beschrieben, auch für das Öffnen eines Handys in Zukunft vorstellen, welches einfach zu bedienen ist.

Neue Welt der unterschiedlichen Sicherheitsstufen

Für die Zukunft sage ich verschiedene Netzwerke und Systeme mit stark unterschiedlichen Sicherheitslösungen voraus. Internetverbindungen zwischen Banken und ihren Kunden werden mit Sicherheit neue Wege gehen müssen, da bereits jetzt eigentlich kein Schutz mehr besteht. Da bekannt wurde, das die NSA und GHCQ auch SSL-Verschlüsselungen fast zeitgleich entschlüsseln können, sind für sie alle Transaktionen zwischen Banken und ihren Kunden ein offenes Buch. Man fragt sich, warum es überhaupt mit solchen Ländern wie der Schweiz, Diskussionen wegen dem Bankgeheimnis gegeben hat. Wenn doch die Geheimdienste der USA alle Daten mitlesen konnten. Ja, sogar die SWIFT-Daten, also alle Überweisungsdaten in Europa werden in den USA auf Servern gespeichert. Das heisst, hier wird es einen riesigen Bedarf an neuen Sicherheitslösungen für Banken besonders in Europa geben. Aus Überweisungen werden ja auch wirtschaftliche und politische Verknüpfungen ersichtlich. Mal abgesehen davon, dass die Bürger in Europa auch bei ihren Bankgeschäften eine Privatsphäre haben.

Aber gerade politische Systeme müssten sich noch mehr schützen. Regierungen in Europa, die systematisch von anderen Ländern ausspioniert wurden, können das nicht so weiter hinnehmen. Eine Lösung ist natürlich, von seinen „Freunden“ zu verlangen, damit auf zu hören. Die andere Seite ist, technisch aufzurüsten. Ich könnte mir vorstellen, dass er für politische Institutionen und Parteien in Zukunft eigene geschlossen Netzwerke mit entsprechenden Sicherheitsvorkehrrungen gibt. Zum Beispiel, nach dem Zwiebelprinzip. Ein äusseres Netz schützt das nächst höhere Netz.

Besser man hat viele Avatare anstatt man ist man selber

Ein weiterer Weg um sich zu schützen ist, man baut sich unterschiedliche Identitäten auf. Natürlich, gegenüber dem Staat geht das kaum. Aber in der Konsumwelt schon. Man benutzen wechselweise die Kreditkarten seiner Familie, Ehefrau und Kinder. Gibt verschiedene und unterschiedliche Postadressen für die Lieferung an. In allen anderen Dingen benutzt man anonymisierte Email-Adressen. Auch hier wird ein riesiger neuer Markt entstehen mit ungeahnten Möglichkeiten.

Unsere Welt wird komplizierter und man ist selber mehr mitverantwortlich für seine Sicherheit und die seiner Daten

Das Fazit aus all diesen Dingen ist, dass unsere Welt immer komplizierter wird. Das manche einfach scheinenden Lösungen Fallen sind und das man selber sehr viel dafür tun kann um sich zu schützen. Die Gesellschaft muss auch lernen, dass es keine Sicherheit ohne Aufwand gibt und dass wir uns gegen Unternehmen die uns in Fallen locken wollen wehren müssen. Ich habe zwar noch ein iPhone habe aber schon vor der Fingerabdruck-Affäre über ein anderes Handy nachgedacht. Zu viel wird im Hintergrund auf die iCloud von Apple übertragen. Mir wäre heute ein altes Klapphandy ohne GPS aus den 1990er Jahren lieber. Aber auf solche Ideen kommen Nokia – Manager nicht. Sie lassen sich lieber von Microsoft aufkaufen.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Time limit is exhausted. Please reload CAPTCHA.

This site uses Akismet to reduce spam. Learn how your comment data is processed.