Fingerabdruckscanner datenschutztechnisch sicher?

[Oldie&SchlagerFreund]

Hallo!
Ich lege mir jetzt das Samsung Galaxy S6 zu und wollte vorher wissen, was von den Fingerabdrucksensor zu halten ist.
Mir geht es vor allem um Datenschutz. Wird der Fingerabdruck nur lokal auf dem Gerät gespeichert oder auch hochgeladen? Wird der Fingerabdruck sicher verschlüsselt gespeichert oder kann jeder der will ihn auslesen? Und zu guter letzt, ist bekannt, ob der Fingerabdruck auch gespeichert wird, wenn man zum Entsperren des Geräts nur ein Passwort oder Muster verwendet?
Danke und viele Grüße
OSF

 

[COB93]

Wenn du ihn nutzen willst, musst du deinen Abdruck erst ein mal speichern, das ist ein Prozess, der etwa 2 Minuten dauert. Dieser ist lokal auf dem Gerät gespeichert und löschbar. Allerdings ist es, genau wie mit allen Daten auf dem Smartphone, du weißt nie, was hochgeladen wird und was nicht, wer drauf zugreift usw.
Ich sage immer, wer sich sehr viel Sorgen um Daten macht, sollte sich kein Handy mit Internetverbindung kaufen.
Ob der Abdruckscanner auch aktiv ist, wenn man ihn nicht nutzt, wird niemand sagen können.

 

[Darktrooper]

Habe es mal in den Allgemeinen Bereich geschoben, ist ja keine S6 Spezifische Frage, sondern eher Allgemein bei Samsung's Fingerprint.

 

[Oldie&SchlagerFreund]

okay schonmal danke für die Antworten. Weiss jemand, ob er verschlüsselt gespeichert wird wie es wohl bei Apple der Fall ist? Beim M8 oder M9 war oder ist es ja wohl mal anders.

 

[missspelled]

Hallo, hier ein kurzes Statement von meiner Seite

Ich sage immer, wer sich sehr viel Sorgen um Daten macht, sollte sich kein Handy mit Internetverbindung kaufen.

Das trifft den Nagel auf den Kopf.

Wird der Fingerabdruck sicher verschlüsselt gespeichert oder kann jeder der will ihn auslesen? Und zu guter letzt, ist bekannt, ob der Fingerabdruck auch gespeichert wird, wenn man zum Entsperren des Geräts nur ein Passwort oder Muster verwendet?

Allgemeines (persönliche Meinung):
Aus meiner Sichtweise ist dein Fingerabdruck (biometrisch) aus Datenschutzsicht deutlich uninteressanter, als der Rest der Daten, die du auf deinem Gerät hast bzw. mit deinem Gerät verursachst. Auch wenn dein Fingerabdruck einmalig ist und Rückschlüsse auf deine Person ziehen lässt, sind Standortdaten, Zugriff auf Microphone und Kamera, etc. deutlich kritischer zu bewerten.

Aus technischer Sicht kann ich Entwarnung geben:
Es nicht so als dass der Fingerabdruck als 100%tige Kopie auf dem Gerät gespeichert wird - viel mehr kannst du es dir als eine Art "Prüfsumme" vorstellen, die gespeichert wird und dann zu rate gezogen wird, wenn das Gerät entsperrt werden soll bzw. deine Legitimation für Zahlungen oder Passwörter benötigt wird.
Bitte beachte, dass sich meine Aussagen auf Beiträge wie diesem beziehen - bin kein Samsung-Ingenieur und kann somit keine 100% Sicherheit für die Korrektheit der Angaben machen. Habe selbst aber schon mit dem SPass SDK gearbeitet und bewerte die Aussagen als glaubwürdig.

Weiteres:
Wenn der Fingerabdruck-Scanner dazu verwendet wird um das Gerät (ohne Verschlüsselung) zu sperren, ist er für die Katz', weil man mit minimalem Aufwand die Sperre deaktivieren kann (hierzu reicht ein Shell-Befehl - Root-Rechte vorausgesetzt - aber wenn das Handy nicht mehr in deinem Besitz ist, ist es für den "neuen Besitzer" auch kein großes Problem die Root-Rechte nachträglich anzufordern).

delete("/data/system/fingerprintpassword.key");
delete("/data/system/password.key");
delete("/data/system/locksettings.db-shm");
delete("/data/system/locksettings.db-wal");
delete("/data/system/personal.key");
delete("/data/system/gesture.key");

Das sind im Groben und Ganzen die relevanten Stellen im System. (Ich gehe einfach mal davon aus, dass jeder so schlau ist und diese Dateien nicht modifiziert, sollte es sich nicht um das eigene Gerät handeln. Alles andere könnte in unseren Breitengraden strafrechtliche Konsequenzen mit sich führen.)

Wenn das Gerät verschlüsselt ist, ist es schon um ein Vielfaches schwerer an deine Daten ranzukommen - nach aktuellem Stand annährend unmöglich <- das ist jedenfalls mein Kenntnisstand, ggf. gibt es Backdoors oder übliche Sicherheitslücken, die Hersteller, Geheimdienste, Kriminelle, etc nutzen können.

Fazit:
Wie COB93 schon vollkommen richtig gesagt hat, sollte man generell sehr genau abwägen, ob es ein Smartphone sein muss, wenn man sich "soo sehr um Datenschutz sorgt".
Aber bevor die große Panik ausbricht oder jemand unnötig verunsichert wird, möchte ich darauf verweisen, dass die wenigsten Nutzer die Datenschutzbestimmungen von Amazon, Google, Facebook, Whatsapp, etc, etc gelesen haben und dennoch diesen Menschen kein allzu großer Nachteil entstanden ist. Dies liegt wohl vor allem daran, dass die Unternehmen auch morgen noch mit uns als Nutzer rechnen möchten.
Witzig ist immer, dass fast jeder sagt "mir ist Datenschutz wichtig", dann aber trotzdem 99% der Nutzer zu faul sind eben diese DS-Bestimmungen zu studieren.

PS:
Wenn die Gesellschaft wirklich ein so großes Interesse daran hat, dass mit (persönlichen) Daten korrekt umgegangen wird, sollte man im Jahr 2015 ernsthafte Überlegungen anstellen "Datenschutz" als Schulfach einzuführen. Vielleicht sinnvoller als die 30.000ste Interpretation von Faust durchzukauen.

 

[COB93]

Vielleicht sinnvoller als die 30.000ste Interpretation von Faust durchzukauen.

Das mag sein, steht hier aber nicht wirklich zum Thema

 

[missspelled]

Das stimmt Allerdings sehe ich es (aus meiner Warte als Entwickler) als notwendig, dass Menschen mündige Entscheidungen zum Datenschutz treffen - deswegen habe ich mir auch die Mühe der umfassenden Gegenüberstellung gemacht.
Es ist immer schwierig auf der einen Seite dem Nutzer eine gewisse Dienstleistung / Komfort anzubieten und auf der anderen Seite an den Pranger gestellt zu werden, wenn man Email-Adressen speichert.

 

[Oldie&SchlagerFreund]

danke für die Infos. Ja, ich schätzte, dass viele die Datenschutzbestimmungen nicht lesen, weil sie es eh nicht ändern können und den Dienst so oder so nutzen wollen. Toll ist bei Apple die selektive Rechtevergabe für einzelne Apps. Ich weiß nicht, ob das bei neuen Android-Geärten inzwischen auch geht.
Na jedenfalls klingt das mit der Prüfsumme ganz gut. Woher weißt du das, bzw. ist die Info denn gesichert? Mir gehts vor allem und eine gegenüber bierseligen Freunden usw. sichere Tastensperre.
Viele Grüße
[DOUBLEPOST=1443992440,1443987449][/DOUBLEPOST]Ach und soweit ich das kenne muss man aber ein Passwort verwenden und kein Muster oder Fingerabdruck, wenn man das Gerät verschlüsseln will oder? Insofern ließe sich der Fingerabdruck nicht durch Verschlüsselung zusätzlich schützen.
Ach und noch was, wenn nur eine Prüfsumme gespeichert wird, heißt das doch mit anderen Worten, dass man daraus den Fingerabdruck nicht reproduzieren/kopieren kann, das wäre ja schonmal super.

 

[email.filtering]

Also wenn man an Deine Fingerabdrücke kommen will geht das definitiv einfacher als über den Umweg des von Dir benutzen Fingeabdruckscanners.

 

[Snake3]

Definitiv nicht.
Daten lassen sich schnell übertragen.
Innerhalb von Minuten Hast du theoretisch Millionen von abdrücken. Die alle per Hand bekommen dauert wesentlich länger.

 

[missspelled]

Woher weißt du das, bzw. ist die Info denn gesichert?

Habe meinen Beitrag nochmal etwas erweitert...

Mir gehts vor allem und eine gegenüber bierseligen Freunden usw. sichere Tastensperre.

Dafür ist der Schutz ideal.

Ach und noch was, wenn nur eine Prüfsumme gespeichert wird, heißt das doch mit anderen Worten, dass man daraus den Fingerabdruck nicht reproduzieren/kopieren kann, das wäre ja schonmal super.

Genau das heißt es.

 

[Oldie&SchlagerFreund]

Vielen Dank für die Antworten.

Wenn die Gesellschaft wirklich ein so großes Interesse daran hat, dass mit (persönlichen) Daten korrekt umgegangen wird, sollte man im Jahr 2015 ernsthafte Überlegungen anstellen "Datenschutz" als Schulfach einzuführen. Vielleicht sinnvoller als die 30.000ste Interpretation von Faust durchzukauen.

Datenschutz sollte in der Tat in der Öffentlichkeit und Politik eine wichtige Rolle spielen. Schlicht weil er so wichtig ist wenn man mal etwas in die Zukunft denkt.
Aber bitte nicht zu Lasten von dem was Deutschland mit ausmacht, nämlich unsere Kultur der Dichter und Denker. Das Denken das man in gutem Deutschunterricht lernt formt den Charakter und vielerlei Fähigkeiten mehr als jedes Smartboard. Abgesehen davon ist es aber auch falsch, jeden Schulinhalt nach seiner späteren ökonomischen Verwertbarkeit zu bewerten. Es gibt Forderungen Schreibschrift abzuschaffen, dümmer geht es nicht. Sowas passt nach China, wo Form und Design keine Rolle spielen nur frickeliger Pragmatismus. Man will hier am falschen sparen und sägt an dem Ast auf dem man sitzt. Wie viele große Ideen sind in Scheinschrift auf Papier entstanden und nicht auf einem Smartboard wo 'Kevin' auswendig gelernte Formeln reproduzieren kann.
So genug der Kulturkritik ;-)

 

[missspelled]

Interessante Stellungnahme. Da ich Lust habe weiter über das Thema zu diskutieren, verlinke ich gleich mal einen eigenen Thread in der Plauderecke. (denke, dass die Moderaten hier sonst noch durchdrehen - hat ja auch wirklich nichts mit der Frage des TE zu tun^^)