Handy per Gesicht entsperren: Test zeigt, wie unsicher das wirklich ist

Artikel von:  Lea Mitulla

Das Handy per Gesicht zu entsperren, ist nicht so sicher, wie viele denken. Ein Test zeigt, welche Smartphones mit einem einfachen Foto überlistet werden können.

Statt per PIN oder Fingerabdruck entsperren inzwischen die meisten Leute ihr Handy per Gesichtserkennung. Das Gerät muss einfach vor das Gesicht gehalten werden und die Kamera erkennt einen automatisch. Es geht schnell und unkompliziert - aber ist es auch sicher? Forschende haben herausgefunden, dass die Sperre leichter ausgetrickst werden kann, als wir dachten.

Das Problem: Bei einigen Smartphone-Modellen lässt sich die Gesichtserkennung durch ein Foto überlisten. Wenn jemand Zugriff auf dein Handy haben will, kann er also ein Bild von dir vor die Kamera halten und das Gerät wird entsperrt. Das ist besonders kritisch bei sogenannten Passkeys, die bei vielen Online-Diensten zur Authentifizierung zum Einsatz kommen. Laut Experten ist diese Methode besonders sicher, da sie statt eines eingetippten Passworts die jeweilige Entsperrmethode des Handys nutzt (meist Fingerabdruck oder Gesichtserkennung). Kann das Handy per Foto entsperrt werden, ist diese vermeintliche Sicherheit hinfällig.

Handy mit Gesicht entsperren: Foto-Trick überlistet Sicherheitssystem vieler Smartphone-Hersteller

Das britische Fachportal "Which?" hat seit 2022 unterschiedliche Handys getestet. 64 Prozent der Geräte ließen sich mit einem ausgedruckten Foto der Besitzer entsperren. Nur bei wenigen Herstellern habe es im Testzeitraum technische Verbesserungen gegeben. Bis 2024 habe sich das Problem sogar verschlimmert, heißt es aus dem Labor. Insgesamt wurden über die Jahre 208 Smartphones geprüft. Handys der folgenden Marken konnten im Test durch den Foto-Trick entsperrt werden:

  • Asus
  • Fairphone
  • Honor
  • HMD
  • Motorola
  • Nokia
  • Nothing
  • OnePlus
  • Oppo
  • Realme
  • Samsung
  • Vivo
  • Xiaomi

Die Ursache liegt in der Technologie hinter der Gesichtserkennung. Jedes Mal, wenn du dein Handy entsperrst, wird dein Gesicht mit einem oder mehreren zuvor gespeicherten Gesichtsbildern verglichen. Das funktioniert in der Regel so:

  • Das Handy erkennt automatisch, dass du auf den Bildschirm schaust.
  • Ein Scanner wird aktiviert, der per Kamera oder Infrarotstrahlen dein Gesicht erfasst und charakteristische Merkmale erkennt.
  • Die erkannten Merkmale (z. B. die Position der Augen) werden mit der hinterlegten "Vorlage" abgeglichen.
  • Stimmen die Merkmale überein, wird das Handy entsperrt.

Wie leicht sich dieses System überwinden lässt, hängt davon ab, ob der Gesichtsscan auf 2D- oder 3D-Kameratechnik basiert. Wie der Name schon sagt, kann nur die 3D-Technik auch die Tiefendimension deines Gesichts erfassen. Statt nur ein flaches Bild, wird also eine räumliche Landkarte deines Gesichts erstellt und abgeglichen. Dafür wird jedoch zusätzliche Hardware benötigt, eine sogenannte "True Depth Camera" wie Apple etwa für Face ID beim iPhone verwendet. Das kostet jedoch mehr. Daher begnügen sich viele Hersteller mit 2D-Verfahren.

Eine Alternative gibt es von Google. Bei den Pixel-Handys wird künstliche Intelligenz eingesetzt, um das 2D-Bild der Kamera in ein 3D-Modell umzuwandeln. Damit schafft es das System trotzdem, die höchste Sicherheitsstufe für biometrische Verfahren zu erfüllen (Klasse 3). Entsperrmethoden dieser Stufe gelten als besonders fälschungssicher und lassen sich nicht mit Fotos austricksen. Daher dürfen sie für die Freigabe von Zahlungen beim Online-Banking oder in Bezahl-Apps genutzt werden. 

Nutzer wissen es oft gar nicht: So unsicher ist die Gesichtserkennung beim Handy

Was die Experten von "Which?" besonders kritisch sehen, ist nicht die Tatsache, dass viele Handy-Hersteller scheinbar bei der Sicherheit sparen. Vielmehr fehle es an "ausreichenden Warnungen", die Nutzer auf die Schwächen des Systems hinweisen. Darunter versteht das Portal einen deutlichen, gut sichtbaren Hinweis während des Einrichtungsvorgangs, der dem Nutzer deutlich macht, "dass sein Smartphone durch ein 2D-Foto oder durch eine ihm ähnlich sehende Person umgangen werden könnte". 

Einige Hersteller haben dies bereits umgesetzt, darunter Xiaomi und Samsung. Bei anderen ist der Hinweis aber weiterhin nicht auffindbar, in den AGB oder hinter einem weiterführenden Link versteckt. Laut "Which?" haben einige Hersteller, nachdem sie damit konfrontiert wurden, lediglich auf den Fingerabdruck-Sensor als vorrangige Sicherungsmethode verwiesen.

Allerdings ist fraglich, wieso die Gesichtserkennung in diesem Fall als Option angeboten wird, wenn sie nicht zur Sicherung geeignet ist. Vom Kauf der betroffenen Handy-Modelle raten die Fachleute daher ab.

Warnhinweis fehlt: Diese Handys lassen sich mit einem Foto von dir entsperren

Folgende Handys sind durch den Test gefallen und geben Nutzern keinen Warnhinweis bei der Einrichtung der Gesichtserkennung:

  • Fairphone 6
  • Honor Magic 6 Lite (5G)
  • Motorola Moto G75 (5G), Moto G56 (5G), Moto G86, Moto G35, Moto G55, Moto G73
  • Motorola Edge 60 Pro, Edge 60 Fusion, Edge 40 Neo, Edge 50 Ultra, Edge 50 Pro
  • Motorola Razr 50 Ultra
  • Nothing Phone 2a und 2a Plus
  • Nothing Phone 3a und 3a Pro
  • Nothing Phone 3
  • OnePlus 13R, OnePlus 13, OnePlus 15
  • OnePlus Nord 5, Nord CE5, Nord 3 (5G)
  • Oppo Reno 13 F, Reno 13 Pro, Reno 11 F (5G)
  • Oppo Find X9 und Find X9 Pro

Wer bereits eines der betroffenen Smartphones benutzt, sollte sich des Risikos bewusst sein. Entsperren per Fingerabdruck oder ganz klassisch per PIN könnte die sicherere Option sein.

Vorschaubild: © Drobot Dean/Adobe Stock