Ich glaube einige verstehen die Kritik an der Reportage des BR nicht richtig. Die Kritik ist nicht, das biometrische Identifikationssysteme unsicher sind. Die Kritik ist, das der BR hier Angst schürt anstatt aufzuklären. Wenn ich jemanden interviewe, der viel Geld aufgrund der eigenen Blödheit verloren hat und dieser Fall nicht mal etwas mit biometrischen Daten zu tun hat, man aber dennoch den Eindruck erweckt als ob, dann ist das Tendenziöse Berichterstattung.
Wie ich Lesen kann gibt es wohl sehr viel Kritik an Biometrischen Identifikationssystemen. Grund genug für eine Fakten basierte Reportage und keine, durch die man einfach nur angst bekommen soll.
Vergleich das mal mit was anderem. Dem Zigarettenrauchen beispielsweise. Wenn ich Sage, Das Zigarettenrauchen ist gefährlich weil es das Krebsrisiko steigert und das Herzinfarktrisiko und und und, dann ist das eine Fakten basierte Aussage. Wenn ich dagegen sage, Raucher bekommen vom Bogeyman Besuch, dann ist das zwar auch eine Art auf die Gefährlichkeit hinzuweisen, aber es ist halt trotzdem Blödsinn.
Naja, Einstieg ist relativ. Und das kommt halt darauf an, vor wem du dich schützen willst - dem Staat, oder deinem hypothetischen eifersüchtigen Partner?
Tja, aber was der BR zeigt, war auch faktenbasiert. Lösungen müssen die Gerätehersteller & co liefern, nicht der BR. Die Lösung ist übrigens einfach: keine biometrische Anmeldung verwenden. Und Angst schüren würde ich es nicht nennen, wenn man darauf hinweist, dass etwas unsicher ist, und wie es sich umgehen lässt. Erstmal muss das Problem ja bekannt werden. Wie soll denn außerdem auch der BR Lösungen für technische Probleme der Hersteller finden?
Das ist in der Tat nicht die aufgabe eines Investigativen Journalisten. Es ist aber schon die Aufgabe jeden im Telefonbuch von A bis Z anzurufen und zu fragen, wie schwerwiegend das problem ist und welche Lösungen es gibt. Man muss sowohl sagen was die Hersteller zu den vorwürfen sagen (das kann auch ein Branchenverband machen) und dann noch unabhängige Experten.
Das hat der BR ja nicht gemacht. Der BR hat nur in einem Test, unter Testbedingungen gezeigt, dass sich die Technik austricksen lässt. Das ist etwas, was der CCC schon vor einigen Jahren gemacht und auch veröffentlicht hat. Das man diesen Test hier wiederholt um dann erschreckend erweise festzustellen, das er einige Jahre Später immer noch funktioniert, hat insgesamt überhaupt keinen Mehrwert für den Zuschauer.
Also nochmal. Wir reden die ganze Zeit über Biometrische Indentifikation und dann kommt ein Betrugsfall dazwischen, der nichts aber auch gar nichts mit dem Thema zu tun hat, aber dem Zuschauer suggerieren soll, dass er das nächste Opfer sein kann. Das hat nichts mit Angst machen zu tun? Dafür werde ich dir aber viele Bogeymans heute Nacht vorbei schicken.
Ich gebe dir Recht, neues wurde in dem Beitrag nicht entdeckt - aber immerhin mal wieder etwas wiederholt, was viele Leute wahrscheinlich nicht mitbekommen - die allermeisten interessieren sich sicher nicht für den CC.
Bzgl. Angst: für mich ist das eher “bewusst machen”. Aufrufen zur Vorsicht. Zeigen, dass es das gibt - die gezeigt Dame dürfte in etwa genau die Zielgruppe des Beitrags sein. Ich sehe außerdem immer noch nicht, was der Betrugsfall nicht damit zu tun haben soll - wo ist das Problem, wenn man in der Demonstration der praktischen Auswirkungen allgemeiner wird?
Bzgl. Experten: den hatten sie da, da mussten sie keinen mehr holen - die allgemeine Lösung ist ja außerdem bekannt : das gute, alte, sichere Passwort, das seit Jahren (zu recht) propagiert wird. Ich gebe aber zu - auch wenn es aus meiner Sicht nicht notwendig ist, hätte es dem Beitrag nicht geschadet, nochmal das Passwort/Passphrase mit entsprechenden Empfehlungen zu empfehlen.
Ich bleibe aber dabei - der BR Beitrag war grundsätzlich gut, Holgers Kommentar dazu absolut unterirdisch.
habe ich mich natürlich von Leuten unterstützen lassen, die sich auskennen
geht deine Kritik an meinem Beitrag völlig am Kern dessen vorbei, was meine Intention war. Es geht ja nicht darum, biometrische Sicherheitstechnik auf Biegen und Brechen zu verteidigen, sondern es geht um die konkreten Beispiele, die gezeigt werden. Ist ja schön, wenn man es schafft, mit einem aufwendigen Verfahren mittels Holzpappe und Kleber einen Fingerabdruck zu kopieren. Trotzdem bleibt für mich die Frage: Wie soll das bitte funktionieren, wenn jemand nicht gerade im direkten Umfeld der Person ist?
Und vor allem eben die Frage: Was will uns die Autorin damit sagen? Dass PIN und Passwort die besseren Alternativen sind? Wenn sie Kritik übt, soll sie bitte darlegen, wie man es besser machen kann.
Und meine Kritik an der Recherche im Darknet ist doch nun mehr als berechtigt: Wie kann man angeblich so weit kommen, dass das Gegenüber kurz davor ist, einen gefälschten Pass anzufertigen und dann sagen: So, ich breche hiermit meine Recherche ab. Das ist doch lächerlich. Dazu eben auch auch das ganze Aufblasen des Beitrags mit dieser betrogenen Frau (was NICHTS mit biometrischer Sicherheit zu tun hat) oder dieser teure Ausflug nach Indien, der überhaupt nichts Erhellendes zum Thema beiträgt.
Ist ja schön, wenn dir die Doku so gefallen hat - ich bleibe dabei: Sie ist einfach nur grausig! Und dazu muss ich nicht mal ein Experte sein, um das zu erkennen.
Auf YouTube gibts den Beitrag übrigens auch - und die Kommentare dort sind entsprechend. Ich weiß natürlich, was Kommentare auf YouTube wert sind - dennoch zeigt es ja, dass auch viele andere sich nur an den Kopf gefasst haben, als sie sich dieses Doku-Machwerk angeschaut haben.
Nochmal: aufwendig ist daran rein gar nichts. Und für spezifische Angriffe, wofür sowas genutzt werden würde, würde man natürlich entweder im Umfeld der Person sein, oder Informationen über Social Media, etc. beziehen. Ich verweise da nochmal an die Schäuble und von-der-Leyen-Geschichte von starbug. Bzgl der Alternative: ja, Passwörter/Passphrasen. Außerdem:
Gefallen hat mir die Doku nicht, für mich war sie langweilig - nichts neues dabei. Die Youtube Kommentare sind, was ich gesehen habe, entweder auf den Dark-/Deepweb teil bezogen, den ich ja bei dir auch gar nicht kritisert hatte, oder einfach unglaublich allgemein, sodass man nichts greifbares hat.
Das Problem ist halt, dass du dich mit der einfach falschen Kritik an der Biometriesicherheitsgeschichte, was den Großteil des Beitrags ausmacht, den Rest durchaus verdirbt.
Mag sein, dass deine Botschaft nicht ankam - dann wäre es vielleicht besser gewesen, die Kritik am „Biometriehacking“ wegzulassen, und auf das eigentliche zu kommen.
Aber das macht doch nicht die Masse der Fälle aus. Mir kann auch jemand in meinem direkten Umfeld meine Brieftasche klauen oder gleich das Smartphone selbst. Das ist eine ganz andere Ebene als die, in der es um Hackerbanden geht, die was weiß ich wo am anderen Ende der Welt sitzen.
Schon, aber lass dir dein fingerabdruckgesichertes Smartphone klauen, und es lässt sich wahrscheinlich auch noch entsperren - beim Passwort nicht. Und es stellt sich außerdem raus - man kann, insbesondere bei Smartphones, eine Art “Masterkey” (etwas übetrieben) erstellen (s. https://www.heise.de/security/meldung/Generalschluessel-fuer-Fingerabdruckscanner-Master-Prints-entsperren-Smartphones-4220782.html). Ähnliches war vor Jahren mit Gesichtserkennung los. Und als aufwendig würde ich das alles beim besten Willen nicht bezeichnen. Ich erinnere mich, dass vor Jahren in einer PC-Zeitschrift(!) eine ausführliche Anleitung zum Basteln eines Fake-Fingerabdrucks war.
Außerdem sollte man immer davon ausgehen, dass dem Angreifer nicht so spärliche Ressourcen zur Verfügung stehen. Das ist das gleiche Argument wie: “Jedes System ist unsicher”: das ist so allgemein und nutzlos, das kannst du auch einsetzen um jede beliebige Sicherheitsmaßnahme als sicher oder sinnlos zu bezeichnen - sie kann ja (kann sie?) sowieso umgangen werden.
Du hast so gesehen recht, es gibt da zwei Fälle die man betrachten muss:
Zum Einen, wenn ein Angriff einer spezifischen Person bzw Gerät gilt, also z.B. dem Dienst-Handy von Frau von der Leyen. Dann ist Biometrie viel unsicherer als ein Passwort, weil man Fingerabdrücke oder Iris-Fotos einfach aus Presseaufnahmen bekommt. Deine Iris hätte man wahrscheinlich schon
Der andere Fall ist, wenn ein 0815-Taschendieb dir dein Handy stielt und versucht es zu entsperren. Dann bräuchte der Angreifer einen Fingerabdruck. Gerade Smartphones mit ihren glatten Oberflächen und sehr glatten Rückseiten sind doch optimal, ähnlich zum klassischen Wasserglas, durch das der CCC z.B. mal den Fingerabdruck von Wolgang Schäuble veröffentlichen konnte. D.h. auch ein unspezifischer Angreifer hat deinen Fingerabdruck wenn er dein Smartphone hat. Gerade die „Standart“-Haltung des Smartphones, bei der die Steuerung einhändig und nur über den Daumen ausgeführt wird, liefert bei jedem mindestens normal großen Smartphone einen Wisch-freien Zeigerfingerabdruck auf der Rückseite. Und das Toner-Verfahren ist alles andere als eine technische komplizierte Hürde: Fingerabdruck mit Graphit anpinseln und abfotografieren/scannen, ein bisschen nachbearbeiten, mit Laser-Drucker auf ne Folie ausdrucken und Holzleim drüber, fertig. Dieses Verfahren ist seit den 90igern bekannt und obwohl Hersteller mit Infrarot o.ä. werben, das das ganze sicherer machen soll, funktioniert es immernoch, bei allen Scannern. Und wird ein Taschendieb sowas an seinem Diebesgut versuchen? Warum denn bitte schön nicht? Im Best case bekommt er weitere Daten vom Handy, wie Kreditkartennummer oder Bank-Daten. Im Worst case muss er das Gerät resetten, was er sowie müsste bevor er es verkauft.
Hast du aber zum Entsperren ein Passwort (oder eine PIN mit stark begrenzten Versuchen), dann hat er zwar dein Handy, aber nicht den Authentifizierungsfaktor. Wer mit Passwörtern verantwortungsvoll umgeht hat die volle Kontrolle darüber wer diesen Authentifizierungsfaktor kennt und wer nicht. Bei biometrischer Authentifizierung ist das einfach nicht so. Und das ist der Knackpunkt, deshalb stimmt der Satz „Naja zumindest bieten biometrische Daten einen höhere Sicherheit als PIN-Nummern und Passwörter“ (00:01:20) und der Satz „Oder sollen wir zurück zu PIN-Codes und Passwörtern, bei den es nun wirklich inzwischen vergleichsweise einfach ist an anderer Leute Daten zu kommen“ (00:05:48) nicht.
Und um mal konkret zu bleiben: auch einige Zeit später (00:02:40) verstehe ich nicht die beiden Sätze „Zunächst einmal sollte man betonen, dass es keine Fingerabdruck Datenbank gibt, sondern dass das alles reine Mathematik ist. Die Doku suggeriert dies aber indem sie immer wieder merkwürdige Graphiken einsträut, die dem Zuschauer diesen Eindruck vermitteln.“ Und dann folgt eine Graphik mit einem gezeichneten Fingerabdruck und im Hintergrund eine blau gefärbte Leiterplatte. Welche Verbindung gibt es hier denn zwischen Leiterplatte und Datenbank?
Was war eigentlich die Relevanz des Klötzchen-Beitrags/Gesprächs? Dass RTL auch ohne großen Beschiss Sendungen produzieren kann?
Falls demnächst eine RTL-Show “Der beste Kleingarten” kommt, lädst du dann auch Omma und Oppa Paschulke zum Talk ein, wie es hinter den Kulissen war? Das wäre sicher spannender.
“Das ist reine Mathematik” ist auch so ein nutzloser Satz wie “kein System ist absolut sicher”. Ja, stimmt, aber stimmt auch wieder nicht. Lässt einfach keine sinnvolle Schlussfolgerung zu. Datenbanken sind auch reine Mathematik. Passwörter auch. Wenn du es so willst, alles was mit Rechnern zu tun hat.
–> sinnlose Aussagen sind sinnlos.
Ich denke ich verstehe zwar schon was er meint, nämlich dass wenn z.B. ein Holger K. sein Iphone mit seinem Fingerabdruck entsperren möchte, Apple nicht erst in einer Datenbank unter “Holger K.->Fingerabdruck” nachguckt obs der richtige war und dann sein OK gibt, sondern dass aus dem Fingerabdruck ein Password errechnet wird mit dem das Handy dann freigegegben wird.
Aber wie genau das in die Argumentationskette passt müste hier vielleicht auch nochmal klargestellt werden.
Ganz einfach: gar nicht - das läuft nämlich immer genau so (oberflächlich gesehen). Selbst wenn eine Datenbank bei Apple dabei wäre - was wäre der Unterschied? Man könnte Apple hacken? Das wäre dann einfacher?
Wie ich oben schon geschrieben habe, in FKTV Folge 183 hast du wiederum genau kritisiert, als Beckmann versucht hat, im Darknet eine Kalaschnikow zu kaufen. Da war das irgendwie nur Verschwendung von Gebührengeldern. Jetzt ist es wiederum falsch, wenn man sich lieber gar nicht erst auf Aktionen mit Kriminellen einlässt.
Ja, wie denn nun?
Naja, damals ging es um Kalaschnikovs aus dem Netz - was noch etwas anderes ist als ein gefälschter Reisepass. Und ich habe kritisiert, wie Beckmann so naiv sein konnte zu glauben, er kriege tatsächlich per Paketdienst eine Waffe geliefert. Das mit den Gebührengeldern habe ich ja nur in einem Halbsatz erwähnt. Hätte er es tatsächlich geschafft, eine solche Waffe im Darknet zu kaufen und geliefert zu bekommen wäre das ein großer Coup gewesen.
Aber es ist insofern richtig, dass Beckmanns Doku da immerhin noch besser war als diese Müll-Doku vom BR. Er hat es ja wenigstens versucht.
Der Beitrag zum BR Beitrag war ja nun nicht so toll. Sehe ich auch so, also nicht wie man das gewohnt ist.
Was man vielleicht noch ergänzen sollte, dass Biometrie nicht das Äquivalent zum Passwort sondern zum Benutzername ist.
Oft ist es wirklich ausreichend sich nur als autorisierter Benutzer auszuweisen. Das ist dann auch definitiv die bessere Lösung zu gar keiner Zugangskontrolle oder “0000”.
Ich bin nun kein Appel User, aber soweit ich das mitbekommen habe, verlangt Apple durchaus das Passwort wenn mehr Sicherheit erforderlich ist? In sofern ist Biometrie da wirklich nur die erste, kleine, Hürde.
Nicht wirklich. Es ist eine Auth-Methode. Dadurch, dass der Fingerabdruck eindeutig ist (wenn der Scanner genau genug arbeitet), kann man natürlich auch den Nutzer gleich mit feststellen. Du musst aber oft trotzdem den Nutzer mit auswählen. Deswegen ist das ganze eine komplette Auth-Methode, nicht nur ein Teilstück, wie Benutzername + PW (bilden zusammen eine). Das ist hier aber auch unerheblich, genau wie ‚0000‘ läuft das wieder auf das offensichtliche hinaus, aber weg vom Beitrag.
Ja, wenn notwendig. Und eingestellt. Genau wie bei Google Geräten, etc. Aber das hat ja nichts mehr mit dem Beitrag zu tun.
EDIT: Na gut, es zeigt nochmal auf, was so falsch an der Annahme Biometrie > Passwort ist.
Aber um mal wenigstens etwas positives zu sagen: die Kuriositäten im Kanal der Woche sind immer noch super, genau wie die schöne Idee, den RTL Beitrag wieder genauso vor Greenscreen zu kommentieren
