Face ID für Banking-Apps: Wie sicher ist die Gesichtserkennung wirklich?

Wie Face ID technisch funktioniert – und warum das für Banking relevant ist

Face ID ist beim Online-Banking heute eine der sichersten Authentifizierungsmethoden, die Verbraucher nutzen können. Das liegt nicht an Marketing, sondern an der Hardware dahinter. Das TrueDepth-Kamerasystem projiziert über 30.000 unsichtbare Infrarotpunkte auf dein Gesicht. Aus der Verzerrung dieser Punkte errechnet ein spezialisierter Prozessor – die Neural Engine – eine präzise dreidimensionale Tiefenkarte deines Gesichts.

Gleichzeitig nimmt eine Infrarotkamera ein ergänzendes Bild auf. Beide Datensätze fließen in Echtzeit in die Auswertung ein. Das System misst Abstände zwischen Augen, Nase und Mund, erfasst die Konturen von Wangenknochen und Kinn und erkennt selbst feinste Tiefeninformationen, die auf einem flachen Foto schlicht nicht vorhanden sind.

Genau dieser Punkt ist entscheidend: Face ID arbeitet dreidimensional. Eine einfache 2D-Gesichtserkennung, wie sie auf vielen günstigeren Smartphones zu finden ist, lässt sich mit einem Foto täuschen. Face ID nicht – zumindest nicht ohne erheblichen Aufwand. Der Unterschied ist technisch fundamental, nicht graduell.

Was passiert mit diesen Daten? Apple speichert keine Gesichtsbilder. Die biometrischen Informationen werden in eine mathematische Repräsentation umgewandelt – ein Datensatz, aus dem das Originalgesicht technisch nicht rekonstruiert werden kann. Diese Repräsentation liegt verschlüsselt in der Secure Enclave des Geräts. Das ist ein isolierter Sicherheitschip, der vom restlichen System abgeschottet ist. Weder Apple noch deine Bank haben Zugriff darauf.

Für Banking-Apps hat das eine wichtige Konsequenz: Die App bekommt bei der Authentifizierung ausschließlich eine binäre Antwort – Authentifizierung erfolgreich oder nicht erfolgreich. Kein Rohbild, keine mathematische Repräsentation, keine biometrischen Rohdaten. Die Bank weiß nach einer erfolgreichen Face-ID-Prüfung nur: Diese Person hat das Gerät entsperrt, das dem Konto zugeordnet ist. Mehr nicht.

Das ist aus Datenschutzsicht ein erheblicher Vorteil gegenüber älteren Verfahren. Frühere Systeme speicherten biometrische Daten auf Servern oder in leicht auslesbaren Dateien. Ein bekannter Sicherheitsvorfall aus dem Jahr 2015 zeigte, dass bestimmte Android-Geräte Fingerabdrücke als unverschlüsselte Bitmap-Dateien ablegten – für jeden mit Gerätezugriff lesbar. Die Secure-Enclave-Architektur schließt dieses Risiko strukturell aus.

Für dein Banking bedeutet das konkret: Selbst wenn ein Angreifer dein Gerät physisch in Händen hält, kommt er ohne dein Gesicht nicht an die biometrisch gesicherten Apps. Die Daten verlassen das Gerät nicht. Das ist die Grundlage, auf der alle weiteren Sicherheitsüberlegungen aufbauen.

Face ID, Touch ID und Passwort im Sicherheitsvergleich

Zahlen machen Sicherheitsunterschiede greifbar. Die False Accept Rate – die Wahrscheinlichkeit, dass eine zufällige fremde Person dein Gerät entsperrt – liegt bei Face ID bei 1 zu 1.000.000. Bei Touch ID beträgt sie 1 zu 50.000. Face ID ist damit statistisch gesehen 20-mal schwerer von Fremden zu überwinden als der Fingerabdrucksensor.

Passwörter und PINs sind in dieser Rechnung noch schwächer – nicht weil das Verfahren schlecht ist, sondern weil Menschen schlechte Passwörter wählen. Kurze PINs (vierstellig: 10.000 Kombinationen), wiederverwendete Passwörter und leicht erratbare Muster machen Passwort-Authentifizierung in der Praxis zum schwächsten Glied. Umfragen zeigen regelmäßig, dass ein erheblicher Anteil der deutschen Nutzer dasselbe Passwort für mehrere Dienste verwendet.

Beim Spoofing-Aufwand – also dem Aufwand, den ein Angreifer betreiben muss, um das System zu täuschen – sieht die Rangfolge ähnlich aus. Ein Passwort lässt sich durch Beobachten (Shoulder Surfing), Phishing oder Datenlecks stehlen. Einen Fingerabdruck kann man mit einem Latexabdruck nachbilden – das erfordert schon mehr Aufwand und physischen Zugang. Face ID zu umgehen erfordert eine dreidimensionale Nachbildung des Gesichts, was erhebliche Ressourcen voraussetzt.

Ein struktureller Nachteil verbindet Face ID und Touch ID: Biometrische Merkmale sind nicht zurücksetzbar. Wenn ein Passwort kompromittiert wird, änderst du es in zwei Minuten. Wenn deine biometrischen Daten gestohlen werden, kannst du dein Gesicht nicht ändern. Das ist kein theoretisches Problem – Malware wie GoldPickaxe (dazu mehr im nächsten Abschnitt) zielt genau darauf ab, Gesichtsdaten dauerhaft zu kompromittieren.

Für die PSD2-Starke Kundenauthentifizierung zählen Face ID und Touch ID als Inhärenz-Faktor (etwas, das du bist), während Passwörter und PINs als Wissen-Faktor gelten. Das Smartphone selbst ist der Besitz-Faktor. Für eine vollständige SCA-Authentifizierung braucht es mindestens zwei dieser Faktoren – Face ID auf dem Smartphone kombiniert also Inhärenz und Besitz.

Die Tabelle zeigt: Face ID gewinnt in fast allen technischen Kategorien. Der einzige echte Nachteil gegenüber dem Passwort ist die fehlende Rücksetzbarkeit. Das ist kein Argument gegen Face ID – aber ein Argument dafür, die lokale Speicherung in der Secure Enclave als absolute Mindestanforderung zu betrachten.

73 Prozent der Deutschen bewerteten biometrische Verfahren in einer Erhebung aus dem Jahr 2022 als sicher – ein Anstieg von 10 Prozentpunkten gegenüber 2018. Die Akzeptanz wächst, und die Technik hält mit.

Gesetzliche Anforderungen: PSD2, SCA und DSGVO im Überblick

Face ID beim Banking ist nicht nur eine technische Frage – es ist auch eine rechtliche. Zwei Regelwerke sind hier entscheidend: die EU-Zahlungsdiensterichtlinie PSD2 mit ihrer Pflicht zur Starken Kundenauthentifizierung (SCA) und die Datenschutz-Grundverordnung (DSGVO).

Die PSD2 schreibt vor, dass Zahlungsvorgänge mit mindestens zwei unabhängigen Faktoren aus den Kategorien Wissen (PIN, Passwort), Besitz (Smartphone, TAN-Generator) und Inhärenz (Fingerabdruck, Gesichtserkennung) abgesichert sein müssen. Face ID erfüllt den Inhärenz-Faktor. Das Smartphone, auf dem Face ID läuft, gilt gleichzeitig als Besitz-Faktor. Damit sind die SCA-Anforderungen mit einem einzigen Gerät erfüllbar – und die BaFin überwacht die Einhaltung dieser Vorgaben in Deutschland.

Nicht jede Transaktion löst eine vollständige SCA aus. Das Regelwerk kennt Ausnahmen: Reine Kontostandsabfragen erfordern eine SCA nur alle 180 Tage. Zahlungen, die per Echtzeit-Risikoanalyse als risikoarm eingestuft werden, können ebenfalls ausgenommen sein – mit gesetzlich festgelegten Obergrenzen für die zulässige Betrugsquote. Für risikoreiche Transaktionen, insbesondere Überweisungen an neue Empfänger, verlangen Banken typischerweise zusätzliche Bestätigungsschritte. Face ID allein reicht hier nicht.

Die DSGVO betrachtet biometrische Daten als besonders schützenswert. Artikel 4 Nr. 14 DSGVO definiert sie als besondere Kategorie personenbezogener Daten. Ihre Verarbeitung ist grundsätzlich verboten – erlaubt nur in eng definierten Ausnahmen nach Artikel 9 Absatz 2 DSGVO. Die wichtigste Ausnahme für Banking-Apps ist die ausdrückliche Einwilligung des Nutzers.

Wer biometrische Daten zur eindeutigen Identifizierung verarbeitet, muss zwingend eine Datenschutz-Folgenabschätzung (DSFA) nach Artikel 35 DSGVO durchführen. Das ist keine Formalie – die DSFA muss dokumentieren, welche Risiken die Verarbeitung birgt und welche Schutzmaßnahmen ergriffen werden. Für Banken bedeutet das erheblichen Compliance-Aufwand.

In der Praxis löst die Architektur der Secure Enclave einen Großteil der DSGVO-Problematik: Da die biometrischen Daten das Gerät nie verlassen und die Bank nur eine Ja/Nein-Antwort erhält, verarbeitet die Bank selbst keine biometrischen Daten im DSGVO-Sinne. Die Verarbeitung findet ausschließlich auf dem Gerät des Nutzers statt – unter seiner Kontrolle.

Trotzdem gilt: Wenn du Face ID für eine Banking-App aktivierst, stimmst du einer Datenverarbeitung zu. Diese Einwilligung muss freiwillig, informiert und widerrufbar sein. Banken, die Face ID als einzige Anmeldeoption anbieten würden, würden gegen das Freiwilligkeitsprinzip verstoßen. In der Praxis bieten alle Banken alternative Authentifizierungswege an.

Bekannte Angriffsvektoren: So kann Face ID beim Banking versagen

Face ID ist stark – aber nicht unfehlbar. Es gibt mehrere dokumentierte Angriffsvektoren, die du kennen solltest. Nicht alle sind gleich wahrscheinlich, aber alle sind real.

Das „Alternative Erscheinungsbild“ – die unterschätzte Schwachstelle

Apple erlaubt es, ein zweites Gesicht in Face ID zu hinterlegen, ohne das erste zu löschen. Das ist als Komfortfunktion gedacht – etwa für Paare, die das Gerät teilen. Es ist aber auch ein Sicherheitsrisiko. Ein Dieb, der deine Geräte-PIN kennt (zum Beispiel weil er dich beim Eintippen beobachtet hat), kann in wenigen Sekunden sein eigenes Gesicht als alternatives Erscheinungsbild eintragen. Danach entsperrt sein Gesicht alle per Face ID gesicherten Apps – einschließlich deiner Banking-App. Eine Neueinrichtung von Face ID ist dafür nicht notwendig. Das Opfer merkt davon zunächst nichts.

Biometrisches Phishing und Overlay-Angriffe

Gefälschte App-Overlays imitieren echte System-Prompts zur biometrischen Bestätigung. Du siehst einen Dialog, der wie eine offizielle Face-ID-Anfrage aussieht – und bestätigst damit unwissentlich eine betrügerische Transaktion. Echte System-Prompts erkennst du an zwei Merkmalen: Der gesamte Bildschirm wird abgedunkelt (Dimming-Effekt), und die App im Hintergrund ist eingefroren. Gefälschte Overlays erlauben weiterhin Interaktion im Hintergrund. Erscheint ein Prompt unaufgefordert – etwa „Dringendes Sicherheitsupdate, bitte per Face ID bestätigen“ – ist das ein klares Warnsignal.

GoldPickaxe und Deepfake-Angriffe

Seit 2023 ist eine mobile Malware namens GoldPickaxe aktiv, die von Sicherheitsforschern bei Group-IB entdeckt wurde. Sie sammelt Gesichtsdaten und Ausweisdokumente des Opfers, um daraus KI-generierte Deepfake-Videos zu erstellen. Diese Videos werden über virtuelle Kamera-Tools in den Authentifizierungsprozess eingeschleust – das System „sieht“ das Gesicht des Opfers, obwohl das Opfer gar nicht anwesend ist.

Die Dimension dieses Problems wächst rasant: Virtuelle Kamera-Angriffe auf biometrische Systeme nahmen im Jahr 2024 weltweit um das 25-Fache gegenüber 2023 zu. Das ist kein gradueller Anstieg – das ist eine Explosion.

Physisches Spoofing

Kurz nach dem Launch des iPhone X gelang es Sicherheitsforschern, Face ID mit einer 3D-gedruckten Teilnachbildung des Gesichts zu umgehen. Der Aufwand war erheblich – und Apple hat seitdem nachgebessert. Einfache Papiermasken konnten in Tests ältere Systeme ohne ausreichende Lebenderkennung (Liveness Detection) täuschen. Apples aktuelle Implementierung ist deutlich robuster, aber kein System ist absolut sicher.

Das strukturelle Risiko: Unveränderbarkeit

Gestohlene biometrische Daten können nicht zurückgesetzt werden. Ein kompromittiertes Passwort ist in Minuten geändert. Ein kompromittiertes Gesicht bleibt kompromittiert – für immer. Das ist kein Argument gegen Face ID, aber ein starkes Argument dafür, die lokale Speicherung in der Secure Enclave als nicht verhandelbare Mindestanforderung zu behandeln.

Apple Face ID vs. Android-Gesichtserkennung: Was Banken wirklich akzeptieren

Nicht alle Gesichtserkennung ist gleich. Das ist keine Meinung – das ist der Grund, warum viele Banken Face ID nur auf Apple-Geräten freigeben und Android-Nutzern stattdessen nur den Fingerabdruck erlauben.

Apples Face ID basiert auf einem proprietären TrueDepth-System mit strikten Hardware-Anforderungen. Jedes iPhone, das Face ID unterstützt, verwendet dieselbe Technologie mit denselben Sicherheitsstandards. Die Secure Enclave ist in jedem Gerät verbaut. Banken können sich darauf verlassen, dass ein iOS-Nutzer, der Face ID aktiviert hat, tatsächlich das 3D-Tiefenerkennungssystem nutzt.

Bei Android ist die Situation grundlegend anders. Das Android-Ökosystem umfasst Hunderte von Gerätemodellen verschiedener Hersteller – von Flaggschiffen mit eigenen 3D-Sensoren bis zu Einsteiger-Smartphones, die nur die Frontkamera für eine einfache 2D-Gesichtserkennung nutzen. Eine 2D-Gesichtserkennung lässt sich mit einem Foto täuschen. Das ist kein theoretisches Risiko.

Google schreibt seit etwa 2015 vor, dass Fingerabdruckdaten auf Android-Geräten in einem Trusted Execution Environment (TEE) verarbeitet und verschlüsselt gespeichert werden müssen. Diese Vorgabe entstand nach einem dokumentierten Sicherheitsvorfall, bei dem bestimmte Geräte Fingerabdrücke als unverschlüsselte Bitmap-Dateien ablegten. Für die Gesichtserkennung gibt es keine vergleichbar einheitliche Mindestanforderung, die alle Geräte erfüllen müssen.

Das Ergebnis in der Bankpraxis: Mehrere Banken – darunter Raiffeisen und die Migros Bank – unterstützen Gesichtserkennung explizit nur auf Apple-Geräten. Auf Android wird ausschließlich der Fingerabdruck als biometrische Methode akzeptiert. Die Begründung ist technisch nachvollziehbar: Banken können die Qualität der Android-Gesichtserkennung nicht geräteübergreifend garantieren.

Für dich als Nutzer bedeutet das: Wenn du ein Android-Gerät verwendest und deine Bank keine Gesichtserkennung unterstützt, ist das kein Fehler – das ist eine bewusste Sicherheitsentscheidung. Der Fingerabdruck mit TEE-Pflicht ist auf Android die zuverlässigere Wahl.

Die Nutzerakzeptanz biometrischer Verfahren in Deutschland ist in den letzten Jahren deutlich gestiegen: von rund 63 Prozent im Jahr 2018 auf 73 Prozent im Jahr 2022. Das zeigt, dass Verbraucher die Sicherheit dieser Methoden zunehmend anerkennen. Die Frage ist nicht mehr ob, sondern wie gut die Implementierung ist.

Ein weiterer Unterschied zwischen iOS und Android betrifft die Transaktionsautorisierung. Selbst auf iOS gilt: Face ID allein reicht für risikoreiche Überweisungen nicht aus. Banken schalten bei Zahlungen an unbekannte Empfänger zusätzliche Faktoren vor – typischerweise eine SMS-TAN oder Push-Benachrichtigung. Das ist keine Schwäche von Face ID, sondern eine bewusste Designentscheidung der Banken, um den Besitz-Faktor (das Gerät) und den Inhärenz-Faktor (das Gesicht) durch einen weiteren unabhängigen Kanal zu ergänzen.

Praktische Schutzmaßnahmen: So sicherst du dein Banking wirklich ab

Die Technologie ist stark. Aber Technologie allein schützt nicht – dein Verhalten entscheidet mit. Hier sind die konkreten Maßnahmen, die den Unterschied machen.

PIN-Eingabe abschirmen

Der gefährlichste Angriff auf Face ID beim Banking beginnt nicht mit Technik, sondern mit Beobachten. Wer deine Geräte-PIN kennt, kann in Sekunden sein eigenes Gesicht als alternatives Erscheinungsbild eintragen. Decke die PIN-Eingabe immer mit der Hand ab – in der U-Bahn, im Café, überall. Das klingt trivial, ist aber der effektivste Schutz gegen den „Alternatives Erscheinungsbild“-Angriff.

Alternatives Erscheinungsbild deaktivieren oder kontrollieren

Gehe in den iPhone-Einstellungen zu Face ID & Code und prüfe, ob ein alternatives Erscheinungsbild eingerichtet ist. Wenn du es nicht selbst eingerichtet hast und es trotzdem vorhanden ist, solltest du Face ID sofort zurücksetzen und neu einrichten. Danach: Geräte-PIN ändern.

Overlay-Angriffe erkennen

Echte Face-ID-Prompts verdunkeln den gesamten Bildschirm und frieren die App ein. Wenn du einen Bestätigungsdialog siehst, der unaufgefordert erscheint oder bei dem du noch im Hintergrund mit anderen Elementen interagieren kannst, brich sofort ab. Schiebe die App per Wischgeste in den Hintergrund – ein echtes System-Overlay verhält sich anders als ein App-eigenes Fenster.

Apps nur aus offiziellen Quellen installieren

GoldPickaxe und ähnliche Malware verbreiten sich über inoffizielle App-Quellen und Social-Engineering-Angriffe. Installiere Banking-Apps ausschließlich aus dem App Store oder Google Play. Klicke nie auf Links in SMS oder E-Mails, die dich zur Installation einer App auffordern – auch wenn sie offiziell aussehen.

Betriebssystem und Apps aktuell halten

Sicherheitslücken in der Gesichtserkennung werden regelmäßig durch Updates geschlossen. Apple und Google veröffentlichen Patches oft innerhalb von Tagen nach Bekanntwerden einer Schwachstelle. Automatische Updates aktivieren ist hier keine Option, sondern Pflicht.

Gerät bei Verlust sofort sperren

Wenn dein Smartphone gestohlen wird oder verloren geht, sperre es sofort über die Fernzugriffsfunktion (Find My iPhone / Find My Device). Informiere danach deine Bank. Die meisten Banken können den Zugang zur App aus der Ferne deaktivieren – nutze diese Möglichkeit.

Transaktionslimits setzen

Viele Banking-Apps erlauben es, tägliche Überweisungslimits zu setzen. Auch wenn Face ID kompromittiert wird, begrenzt ein niedriges Limit den möglichen Schaden erheblich. Setze das Limit auf einen Betrag, den du im Notfall verschmerzen kannst.