Fingerabdrucksensoren in Smartphones - datenschutzmäßig (un-)bedenklich?

[cyberjonny]

Hi miteinander,

in aktuelleren Smartphones kommen immer häufiger Fingerabdrucksensoren zum Einsatz, um die Geräte zu entsperren, um diverse Anmeldungsvorgänge zu beschleunigen und um andere Aktionen zu autorisieren. Ich halte das gerade in Smartphones auch für einen echten Mehrwert, für ein deutliches Plus an Bedienkomfort. Allerdings habe ich auch immer etwas "Bauchschmerzen", wenn ich daran denke, welche intransparenten, datengetriebenen US-Unternehmen hinter den großen Smartphone-Betriebssystemen stecken, zumal ein Fingerabdruck ja ein durchaus sensibles persönliches Merkmal ist.

Meine Fragen an euch:
1. Besitzt ihr ein Smartphone mit Fingerabdrucksensor?
2. Nutzt ihr den verbauten Fingerabdrucksensor?
3. Habt ihr Bedenken hinsichtlich des Datenschutzes? Falls nicht: warum?
4. Habt ihr euch informiert, was mit den biometrischen Daten passiert bzw. ob/wo/wie sie gespeichert und verarbeitet werden?

Wie könnte ich z.B. herausfinden oder sicherstellen, dass ein bestimmtes Gerät meine biometrischen Daten ausschließlich lokal speichert und verarbeitet, die Daten also nicht in die Cloud fließen? Vermutlich überhaupt nicht ohne übermäßig hohen Aufwand? Wisst ihr, was die Geräte- bzw. OS-Entwickler darüber sagen, wie sie mit dieser Thematik umgehen (was natürlich immer ein gewisses Vertrauen in das jeweilige Unternehmen bedingt)? Kann man denn aus eurer Sicht davon ausgehen, dass die Daten lokal auf dem Smartphone bleiben, oder ist diese Annahme utopisch?

Kurz: Wie geht ihr mit diesem Thema insgesamt um?

Danke und Gruß,
Jonny

 

[fishmac]

31C3: CCC-Tüftler hackt Merkels Iris und von der Leyens Fingerabdruck

 

[cyberjonny]

31C3: CCC-Tüftler hackt Merkels Iris und von der Leyens Fingerabdruck

Kenne ich, was willst du damit sagen?

 

[Rottopf]

Kurz: Wie geht ihr mit diesem Thema insgesamt um?

Ich habe bei meinem Perso keinen Abdruck abgegeben, da fange ich bei einem Phone nicht damit an. Mein Nokia E63 und BB Bold 9900 funktionieren auch ohne.

 

[Gummiente]

Ich habe weniger Gedanken gemacht als ich hätte wahrscheinlich machen sollen.

Mein Handy hatte ich ganz ohne Abfrage beim Entsperren genutzt. Hatte damit auch kein Problem denn so wie z.B. Bargeld sichere ich es allein durch den exklusiven Zugriff auf das Gerät. Als ich jedoch VPN konfigurierte bestand mein Handy auf eine Sicherung. Entweder Passwort oder Fingerabdruck. Dass Passwort nicht praktikabel ist wird jeder der sein Handy normal nutzt sofort einsehen. Seitdem nutze ich Fingerabdruck.

 

[gatasa]

Ich muss (unter anderem) meinen Fingerabdruck bei einer Erkennungsdienstlichen Behandlung abgeben, wenn dies im Rahmen eines Ermittlungsverfahren nötig ist und rechtlich gefordert.
Freiwillig werde ich keine Fingerabdrücke, Gesundheitsdaten mittels Activity Tracker, etc. an eine Firma/Behörde abgeben, da ich nie weiß, wo meine Daten bleiben und wie sie gegen mich genutzt werden können.

 

[Mornsgrans]

Freiwillig werde ich keine Fingerabdrücke, Gesundheitsdaten mittels Activity Tracker, etc. an eine Firma/Behörde abgeben, da ich nie weiß, wo meine Daten bleiben und wie sie gegen mich genutzt werden können.

+1

...und gerade bei diesen datensammelwütigen Apps (die fast immer mehr Zugriffe haben wollen, als sie tatsächlich benötigen) auf den Wischhandys reicht mein Vertrauen nur bis Außenseite Display.

 

[Lpz3sn]

da müsste man erstmal betrachten wie er funktioniert... die daten müssten den leser ja nicht verlassen... es reicht ja wenn sie dort als biometrisches muster gespeichert sind und der abdruckleser die authorisierung nur frei gibt...

btw... in den staaten kann man nicht zur herausgabe eines passworts gezwungen werden... aber einen zwingen den finger auf den leser legen, das dürfen die ^^

 

[plexus]

...und gerade bei diesen datensammelwütigen Apps (die fast immer mehr Zugriffe haben wollen, als sie tatsächlich benötigen) auf den Wischhandys reicht mein Vertrauen nur bis Außenseite Display.

Jeder für sich muss einen Kompromiss finden zwischen den Extremen "kein Internet nutzen, sich von Handies/Smartphones fernhalten (Wanzen mit Peilsender, mit denen man übrigens auch telefonieren kann), sich von Öffentlichen Plätzen fern halten (Bewegungsprofilerstellung mittels Gesichtserkennung...)", und andererseits der kompletten Preisgabe der eigenen Privatsphäre (Google Glass, Wearable Computing, Google Genomics etc.).

 

[Mornsgrans]

sich von Öffentlichen Plätzen fern halten (Bewegungsprofilerstellung mittels Gesichtserkennung...)"

Mal sehen, wann die ersten Stealth-Gesichtsmasken in den Handel kommen

und andererseits der kompletten Preisgabe der eigenen Privatsphäre (Google Glass, Wearable Computing, Google Genomics etc.).

Wer braucht sowas denn? - So'n Mist kommt mir nicht ins Haus.

 

[plexus]

Mal sehen, wann die ersten Stealth-Gesichtsmasken in den Handel kommen

Ideen gibt es schon:

https://cvdazzle.com/

 

[Rottopf]

Ideen gibt es schon

Hübsch geht anders.

 

[B$TIStalin]

Ich benutze den Fingerprint Sensor an meinem Nexus 5x ohne Bedenken da es einfach viel schneller geht

 

[supertux]

1) Nein
2) Ja, am L530 und X200t (auch überwiegend der Bequemlichkeit wegen)
3) Nur bedingt, Fingerabdrücke hinterlässt man sogut wie immer und überall
4) Nein, aber selbst die von dir angedeuteten Unternehmen würden mit größeren Fehlern in diesem sensiblen Bereich gewaltig draufzahlen (sofern es auffliegt)

 

[cyberjonny]

Danke für euren Input!

Weiß jemand, ob man z.B. beim Nexus 5X zumindest nach dem Gerätestart bzw. nach einer gewissen Zeitspanne auch wieder Pin/Passcode eingeben muss (was ja immerhin noch ein kleiner zusätzlicher Schutz wäre), oder ob der FP, wenn einmal aktiviert, dauerhaft zur Authentifizierung funktioniert? Davon abgesehen bleibt aber wohl weiterhin fraglich, ob die biometrischen Daten tatsächlich (dauerhaft) nur lokal auf dem Gerät bleiben... wie gut sie dort geschützt/verschlüsselt sind... ob andere Software/Apps darauf zugreifen kann... ob die Daten ggf. Behörden zugänglich gemacht werden müssen...

Insgesamt habe ich mich vom FPR eher wieder verabschiedet, auch wenn er eine echte Steigerung des Bedienkomforts darstellen würde.

 

[slainte]

Danke für euren Input!

Weiß jemand, ob man z.B. beim Nexus 5X zumindest nach dem Gerätestart bzw. nach einer gewissen Zeitspanne auch wieder Pin/Passcode eingeben muss (was ja immerhin noch ein kleiner zusätzlicher Schutz wäre), oder ob der FP, wenn einmal aktiviert, dauerhaft zur Authentifizierung funktioniert? Davon abgesehen bleibt aber wohl weiterhin fraglich, ob die biometrischen Daten tatsächlich (dauerhaft) nur lokal auf dem Gerät bleiben... wie gut sie dort geschützt/verschlüsselt sind... ob andere Software/Apps darauf zugreifen kann... ob die Daten ggf. Behörden zugänglich gemacht werden müssen...

Insgesamt habe ich mich vom FPR eher wieder verabschiedet, auch wenn er eine echte Steigerung des Bedienkomforts darstellen würde.

Ja, weiß ich. Im Falle meines Nexus 5x muss ich beim Gerätestart immer meine PIN eingeben (habe ich aber auch so eingestellt). Ab und an muss ich zur Sicherheit immer meinen selbst gewählten PIN eingeben. Dauerhaft funktioniert das Ding dauerhaft zur Authentifizierung auf keinen Fall, sonst wäre es auch kein Defaulteinstellung, Pin/Passcode unbedingt zu wählen, wenn man den Sensor nutzen möchte.
Auch wenn du dich vom Gedanken verabschiedet hast, vom Bedienkomfort her ist das Ding genial.

 

[cuco]

Auch wenn mein Handy keinen Fingerabdruckscanner hat, mache ich mir viel mehr Gedanken über die Daten und Metadaten, die sonst so auf meinem Smartphone sind bzw. anfallen. Da kann man glaube ich bedeutend mehr mit anfangen als mit einem ollen Fingerabdruck.

Und nein, Fingerabdrücke muss man nicht nur bei einer erkennungsdienstlichen Maßnahme abgeben. Die Beantragung eines Reisepasses reicht und wenn z.B. die amerikanischen Behörden die Fingerabdrücke haben wollen würden, dann würden sie es wohl spätestens bei der Einreise in die USA aus dem Pass auslesen.

Ich kann den Gedanken an den Datenschutz beim Fingerabdruck verstehen - aber nur, wenn man viele Dinge vorher schon beachtet hat.

 

[cyberjonny]

Auch wenn mein Handy keinen Fingerabdruckscanner hat, mache ich mir viel mehr Gedanken über die Daten und Metadaten, die sonst so auf meinem Smartphone sind bzw. anfallen. Da kann man glaube ich bedeutend mehr mit anfangen als mit einem ollen Fingerabdruck.

Das steht außer Frage, ist aber nochmal eine andere Baustelle, eine ganz grundsätzliche Problematik.
Ein Smartphone (sinnvoll) zu nutzen, ohne (Meta-)Daten zu hinterlassen, ist quasi unmöglich. Ein Smartphone ohne FPR zu nutzen, ist aber durchaus möglich.

Und nein, Fingerabdrücke muss man nicht nur bei einer erkennungsdienstlichen Maßnahme abgeben. Die Beantragung eines Reisepasses reicht und wenn z.B. die amerikanischen Behörden die Fingerabdrücke haben wollen würden, dann würden sie es wohl spätestens bei der Einreise in die USA aus dem Pass auslesen.

Dessen bin ich mir bewusst. Die Amis lesen den Fingerabdruck übrigens nicht (nur) aus, sondern nehmen ihn bei der Einreise auch manuell. Daran lässt sich auch nichts ändern - außer man meidet die USA.

 

[plexus]

Ein meiner Einschätzung nach nicht zu vernachlässigender Vorteil des FPR ist, dass Diebe (oder entsprechend versteckte Kameras) nicht so einfach bei der Passworteingabe zuschauen können bevor das Smartphone entwendet wird. Ich schätze die Wahrscheinlichkeit, dass man Opfer eines solchen Szenarios wird, deutlich größer ein, als dass die eigenen Fingerabdruckdaten "abhanden kommen" und zum eigenen Schaden missbraucht werden.

 

[Seaman]

Ich finde es praktisch und der Fingerabdruck hängt wenigstens nicht als Post It am Monitor.
Wenn die NSA ihn haben möchte bekommt sie ihn sowieso.