RSA SecurID und das iPhone 5

Die Firma RSA Security erwirtschaftete 2005 einen Umsatz 83,2 Millionen US-Dollar. Mittlerweile gehört sie zur EMC Corporation. Außerdem ist sie für das Sicherheitssystem SecureID zuständig, welches nicht immer durch seine Sicherheit glänzte. Für die Erzeugung der PINs gibt es neben den Hardwarelösung wie z.B. dem RSA SecurID SID800-Token die Möglichkeit diese PINs über die App RSA SecurID auf einem iOS-Gerät zu erzeugen.

Die App RSA SecurID

Die App RSA SecurID

Öffnet man diese App auf einem Gerät wie dem iPhone 5 oder dem iPhone 5s wird man erstaunt sein was man sieht – schwarze Balken. Das iPhone 5 gibt es mittlerweile seit September 2012 und eine Firma mit über 1000 Mitarbeitern hat es immer noch nicht geschafft eine seiner wichtigsten Apps an die Auflösung eines neuen Gerätes anzupassen. Nun glänzt Apple nicht durch seine überbordende Produktvielfalt, es gibt nur eine Handvoll Modelle welche bei einer solchen Anpassung zu berücksichtigen sind. Der Vorgang selbst dauert auf einem Mac mit installiertem XCode keine 15 Minuten. Selbst wenn man die neue App dann auch noch drei Monate testen muss, ist dies kein Argument, schließlich schreiben wir mittlerweile das Jahr 2014. Die Funktionalität der App ist dadurch nicht beeinträchtigt, aber trotzdem fragt man sich doch, warum eine Firma wie RSA Security nicht in der Lage ist etwas benutzerfreundlicher zu sein.

Fingerabdruck gefällig?

Apples neuster „Geniestreich“ soll er sein – der Fingerabdruckscanner welcher sich unter dem Homebutton befindet. Sensibel ist es natürlich nicht, so etwas auf dem Gipfel eines Überwachungskandales noch nie gekannten Ausmaßes herauszubringen. Nun muss man Apple natürlich zu Gute halten, das der Einbau des Scanners sicherlich schon sehr lange geplant war und die Veröffentlichung nur zur falschen Zeit kam. Trotzdem vereint dieses System einige sehr unangenehme Eigenschaften welche es unbrauchbar machen.

Auch wenn Apple bei der Keynote versprochen hat, das der gespeicherte Fingerabdruck nur lokal auf dem Gerät gespeichert wird und niemals in die iCloud oder auf Apple Server (von anderen Servern war nicht die Rede) hochgeladen wird, muss das nicht heißen das niemand an diese Abdrücke herankommt. Gemäß der Maxime, wo ein Wille da auch ein Weg, wird es sicherlich eine Möglichkeit geben diese Daten auszulesen.

Die Codeeingabe ist sicherer als der Fingerabdruck

Die Codeeingabe ist sicherer als der Fingerabdruck

Es gibt im Moment zirka 700 Millionen iOS Nutzer. Wenn man davon ausgeht, das in relativ kurzer Zeit 50 Millionen Nutzer über ein iOS Gerät mit Fingerabdruckscanner verfügen, dann haben wir eine wunderschöne Datenbasis. Und große Datensammlungen wecken immer Begehrlichkeiten. Erst recht wenn es sich dabei um so sensitive Informationen wie den eigenen Fingerabdruck handelt.

Das nächste Problem bei einer Anmeldung mittels des Fingerabdruckes ist die Tatsache das sich ein solcher für eine sichere Authentifizierung nicht eignet. Im Gegensatz zu einem Schlüssel oder unserer PIN hinterlassen wir ständig und überall unsere Fingerabdrücke – auf Gläsern, Möbeln und auf dem iPhone selbst. Das entspricht dem Sicherheitsniveau eines Haustürschlüssels unter dem Türvorleger.

Die Wahrscheinlichkeit das jemand anders das iPhone mit seinem eigenen Finger entsperren kann, liegt im übrigen bei 1:50000 – das bedeutet, das einer von 50.000 Menschen auch an ihr iPhone kommt. Bis hierher ist das natürlich eine eher theoretische Bedrohung. Fingerabdrücke lassen sich allerdings relativ einfach kopieren, was drei Tage nach dem Erscheinens des iPhone 5S eindrucksvoll bewiesen wurde. Jan Krissler dachte sich für die Überwindung keine neuen Verfahren aus, sondern nutzte eine bekannte Methode und entsperrte das iPhone mit einem Kunstfinger. Die Lebenderkennung wurde dabei durch das Anhauchens des Kunstfinger überwunden.

Auch im Alltag behält der Scanner einige unangenehme Überraschungen bereit. So wurde das Handy des Abgeordneten Andreas Baum von einem Polizisten ohne dessen Einwilligung durchsucht. In seinem Fall hatte er keine Codesperre im Gerät, allerdings benötigt man kein Einverständnis mehr bei einem Zugang per Fingerabdruck. Während der Code für das eigene Telefon nicht herausgeben werden muss, kann ein Polizist bei einer solchen Durchsuchung, den Nutzer einfach dazu zwingen meinen Finger auf das Gerät zu legen. Mit ein bisschen Gewalt geht da einiges. Wer jetzt der Meinung ist das das nicht rechtens ist – auch die erkennungsdienstliche Behandlung (inklusive Fingerabdrücke) kann unter Zwang vorgenommen werden.

Das Fazit ist vernichtet. Die Fingerabdruckfunkion ist nicht nur untauglich, sondern gefährlich – da sie dem Nutzer einige essentielle Schutzmaßnahmen nimmt. Ein Passwort kann er für sich behalten, einen Fingerabdruck nicht. Ein Fall wird trotzdem nicht eintreten. Wer sich in den Authentifizierungsfinger schneidet, kann über die Notruffunktion immer noch Hilfe rufen, denn diese funktioniert ohne eine Sicherheitsabfrage. Es sollte auch das einzige sein, was bei einem Mobilgerät ohne Authentifikation über einen Sicherheitscode oder ein entsprechendes Muster funktioniert.