Udo Vetter, ein von mir sehr geschätzter Rechtsanwalt und der Betreiber des lawblog.de, hat nach der Vorstellung des iPhone 5S über den darin verbauten Fingerabdruckscanner geschrieben. Dabei sind ihm so viele argumentative Fehler unterlaufen, dass ich entweder an seiner Fähigkeit als technikinteressierter Jurist oder an seiner Intention zweifeln muss. Ich wähle das letztere.
Es könnte durchaus sein, dass die NSA an die Daten kommt. Allerdings könnte Apple den Scanner auch so konstruiert haben, dass die Daten für die NSA unbrauchbar sind. Wenn nämlich der Scanner direkt einen Hash erzeugen würde und diesen Hash direkt an einen speziellen Bereich der CPU schickt, könnte es sehr schwierig wenn nicht unmöglich für die NSA sein diese Daten brauchbar zu machen. Ich weiss nicht, wie der Scanner genau die Daten verarbeitet, daher möchte ich mich hier nicht weiter aus dem Fenster lehnen. Mir geht es eher um die anderen Punkte, die Vetter angesprochen hat.
Vetter schreibt:
Jeden Tag beschlagnahmen deutsche Kriminalbeamte hunderte, wenn nicht tausende Mobiltelefone. Sogar ohne richterlichen Beschluss dürfen sie in vielen Fällen die gesamten Geräteinhalte unter die Lupe nehmen. Für Fingerabdrücke gibt es keine Ausnahme.
Wenn aber doch mein Gerät mit meinem Fingerabdruck gesichert ist, wie sollen dann die Kriminalbeamten den Fingerabdruck und auch alles andere auslesen? Ausserdem wir der Fingerabdruck gehasht, bevor er gespeichert wird. Diesen Hash können deutsche Kriminalbeamte nicht zurückrechnen. Somit ist die Information unbrauchbar.
Vetter schreibt:
Wer so ein mögliches Beweismittel selbst aus der Hand gibt, um sein Handy bequemer aktivieren zu können, kann sich später nicht auf Verwertungsverbote berufen.
Den Hash meines Fingerabdrucks können Kriminalbeamte gerne verwenden. Von mir aus können sie die Daten auch ausdrucken und sich an die Wand hängen.
Vetter schreibt:
Auch so wird die Polizei das Fingerabdruck-Ident toll finden. Das Passwort zu meinem Handy muss ich nach geltender Rechtslage als Beschuldigter (und erst recht als Zeuge) nicht nennen. Dafür gibt es das Schweigerecht.
Parallel dazu gilt auch das Prinzip, dass niemand aktiv an Ermittlungen mitwirken muss.
und ausserdem
Aber ich bin zum Beispiel verpflichtet, mir eine Blutprobe abnehmen zu lassen. Mit den Fingerabdrücken ist es nicht anders. Auch hierfür bedarf es meiner aktiven Mitwirkung nicht. Unabhängig von juristischen Einzelheiten ist es für die Polizei also einfacher, an Ort und Stelle Zugriff auf ein iPhone zu nehmen, wenn sie hierfür nur schnell den Fingerabdruck des Besitzers braucht.
Es war auch schon zum Zeitpunkt des Blogbeitrags von Herrn Vetter bekannt, dass ein lebender Finger zum Entsperren des iPhones benötigt wird. Die Ermittlungsbehörde müsste mich also zwingen meinen Daumen auf den Homebutton meines iPhones zu legen. Wie Vetter aber kurz vorher schreibt:
Parallel dazu gilt auch das Prinzip, dass niemand aktiv an Ermittlungen mitwirken muss.
Somit bleibt mein iPhone verschlossen, da mich niemand zwingen kann durch die aktive Betätigung des Homebuttons mein Telefon zu entsperren. Das muss Vetter wissen.
Vetter schreibt:
Noch ein weiterer Aspekt: Wer die Fingerabdruck-Sperre nutzt, akzeptiert gleichzeitig eine faktische Umkehr der Beweislast, wenn sein Mobiltelefon für ein krummes Ding genutzt worden sein soll. Ein biometrisches Datum hat bei der Frage, wer das Handy genutzt hat, natürlich erst mal einen wesentlich höheren Stellenwert als ein Vierzahlen-Code. Die Folge: Der mögliche Rechtfertigungsdruck auf den Telefonbesitzer steigt.
Gilt das nicht für jeden brauchbaren Schutz vor unerlaubter Benutzung? Müssten wir dann nicht zum Schutz vor “faktischer Umkehr der Beweislast” unsere Computer und Handys ohne Passcode den Kriminellen in die Hände geben?
Ist es nicht viel mehr so, dass ich mich mitschuldig mache, wenn ich den technischen Fortschritt zum Schutze meiner Geräte nicht nutze? Könnte ein findiger Anwalt, wie Herr Vetter es zweifellos ist, nicht genau daraus mir eine Teilschuld zuschieben?
Es fällt mir schwer zu glauben, dass Herr Vetter diese Fehler nicht bewusst in den Beitrag eingebaut hat, um zu erreichen was er erreichen wollte.
Danke für diesen Beitrag, was ich vermute ist, dass dadurch Fingerabdruckscanner in die breite Masse gelangen. Man wird sich dran gewöhnen und diesen auch bei anderen Diensten verwenden. Das Problem dabei ist meiner Meinung nach, dass es bei einem Missbrauch dann die Beweislage für den betroffenen schwieriger wird. Eine gestohlene PIN oder gecracktes Passwort kann man ändern, was mache ich aber mit einem gestohlenen Fingerabdruck?
Gruss
@Christian Wenn die bisherigen Annahmen richtig sind, kann er ja nicht gestohlen werden (Stichworte Hash und lebender Finger).
Trotzdem habe ich ein ungutes Gefühl im Magen…
Es stimmt schon, dass wir uns dadurch daran gewöhnen könnten. Wir müssen weiterhin aufmerksam sein und weiterhin überprüfen, ob auch die Eingabemethode sicher ist. Ich finde es gut, dass Apple darüber nachgedacht hat, einen Sensor zu bauen, der nicht mir einer Kopie oder einem Tesafilmstreifen ausgetrickst werden kann. Diese Sorgfalt (wenn sie denn stimmt) müssen wir von jedem Hersteller einfordern. Und wir müssen kritische Institutionen (wie den CCC) ermutigen die Schwachstellen zu finden. Ich hätte mir auch von Vetter eine kritische Auseinandersetzung gewünscht. Leider war sie aber eher polemisch. Naja, wir sind im Wahlkampf.
Lieber dom,
in deinem Artikel scheint mir Einiges ein wenig wirr. Daher möchte ich mich noch einmal vergewissern.
1. Hash
Wie du selbst geschrieben hast, du weisst nicht, wie der Scanner funktioniert. Im Moment weiss das wohl auch nur Apple. Daher scheint mir deine ganze Argumentationskette bzgl. Hash obsolet.
Um Daten eines Devices auszulesen gibt es viele Wege. Wirksame Exploits kennen nur die, die sie benutzen. Der Scanner selbst ist dabei wohl eher unwichtig. Es sind also verschiedene Baustellen. Ausserdem bedarf es nicht unbedingt diesen Scanner, um an den Fingerabduck des Besitzers heranzukommen. Denn dieser wird ganz sicher mehrfach am Gehäuse abgreifbar sein (um nur ein Beispiel zu nennen).
2. lebender Finger
Wie kommst du eigentlich auf den Gedanken, dass der Scanner nur mit einem ,lebenden Finger’ funktioniert? Fingerabdrücke lassen sich kopieren, das wurde in der Vergangenheit ja schon mehrfach demonstriert. Und diese Kopie dann touchsensitiv zu fertigen ist sicher auch keine Raketenwissenschaft.
Und dann dein letzter Satz… Was deiner Meinung nach wollte denn Herr Vetter erreichen? Ich werde aus diesem Satz nicht schlau.
Pingback: Zusammenfassung der Woche ab 09.09.2013 | IRON BLOGGER ADN
1. Sicher, damit fällt alles. Damit fällt aber auch die Sicherheit eines Passcodes. Ich gehe im Moment davon aus, dass Apple lange über die Implementierung nachgedacht hat. Das muss überprüft werden.
2. Der Sensor greift auf tiefere Hautschichten zu. Somit ist es mit einer einfachen Kopie des Fingerabdruckes nicht getan. Ausserdem wird damit “überprüft” ob der Finger, der gerade auf den Sensor gedrückt wird, noch an einem lebenden Körper hängt. Zumindest habe ich das gelesen. Auch das muss überprüft werden.
Ich habe das Gefühl, dass Vetter Aufmerksamkeit und Publicity erreichen wollte. Daher mein letzter Satz.