Ein einfaches Foto reicht oft aus, um die Gesichtserkennung auszutricksen.**
Die Verbraucherorganisation Which? hat 208 Smartphone-Modelle seit Ende 2022 unter die Lupe genommen – mit alarmierendem Ergebnis. Rund 64 Prozent der getesteten Geräte, insgesamt 133 Modelle, ließen sich mit einem simplen 2D-Foto des Besitzers entsperren. Besonders brisant: Auch teure Flaggschiffe sind betroffen.
Viele Android-Nutzer verlassen sich auf Sicherheitsfeatures, die im Ernstfall versagen – wer diese 5 Schutzmaßnahmen nicht kennt, riskiert Datenverlust und finanzielle Schäden. Dieser kostenlose Ratgeber zeigt Ihnen, wie Sie Ihr Smartphone in wenigen Minuten effektiv gegen Hacker und fremde Zugriffe absichern. 5 Schutzmaßnahmen jetzt entdecken
Die Schwachstelle: 2D-Gesichtserkennung ohne Tiefensensor
Das Problem liegt in der Technik. Viele Hersteller setzen auf günstige 2D-Kameras, die keine räumliche Tiefe erfassen können. Ein flaches Bild reicht dann völlig aus, um das System zu überlisten. Die höchste Durchfallquote gab es 2024, als 72 Prozent der getesteten Geräte versagten. 2025 besserte sich die Lage leicht auf 63 Prozent.
Zu den prominenten Verlierern zählen das Motorola Razr 50 Ultra, das Oppo Find X9 Pro sowie Modelle der Samsung Galaxy S25-Serie. Sie alle erkannten den Unterschied zwischen einem lebendigen Gesicht und einer Fotografie nicht.
Apples Face ID und Google Pixel als Ausnahme
Eine Handvoll Hersteller zeigt, dass es auch anders geht. Apples iPhone-Reihe mit ihrer Face-ID-Technologie – die tausende unsichtbare Punkte projiziert und ein 3D-Tiefenprofil erstellt – bestand alle Tests. Ebenfalls sicher: die Google Pixel 10, 9 und 8, die Samsung Galaxy S26-Serie sowie das Honor Magic 8 Pro. Sie alle nutzen fortschrittliche 3D-Scansysteme.
Google schließt 26 Sicherheitslücken im Mai
Parallel zu diesen Erkenntnissen veröffentlichte Google Anfang der Woche sein Sicherheitsupdate für Mai 2026. Insgesamt 26 Schwachstellen wurden geflickt. Die kritischste: CVE-2026-0073 im Android-System. Der Fehler im Android Debug Bridge-Dienst (adbd) könnte Angreifern ermöglichen, aus der Ferne Code auszuführen – ohne dass der Besitzer auch nur eingreifen muss.
Um solche Lücken künftig schneller zu finden, hat Google sein Bug-Bounty-Programm massiv aufgestockt. Für einen Zero-Click-Exploit gegen den Pixel Titan M-Sicherheitschip werden nun bis zu 1,5 Millionen Euro geboten.
Deepfakes: Die nächste Gefahrenstufe
Die Bedrohung geht längst über einfache Fotos hinaus. Kriminelle nutzen zunehmend KI-generierte Deepfakes, die sie mit Banking-Trojanern aus dem Frontkamera-Material ihrer Opfer erstellen. Diese täuschend echten Videos überlisten die Lebenderkennung in Finanz-Apps und räumen Konten leer.
Das grundlegende Problem: Biometrische Systeme arbeiten mit Wahrscheinlichkeiten, nicht mit exakten Treffern. Anders als ein Passwort, das entweder richtig oder falsch ist, entscheidet ein Algorithmus auf einer Skala. Hacker manipulieren diese sogenannte False-Acceptance-Rate (FAR) – und schon wird ein hochauflösendes Foto als legitimer Nutzer akzeptiert.
Falsche Identifizierungen mit realen Folgen
Die Fehleranfälligkeit hat bereits konkrete Konsequenzen. Ein aktueller Bericht vom 6. Mai 2026 dokumentiert Fälle von Fehlidentifikationen durch Strafverfolgungsbehörden. Christopher Gatlin etwa saß 17 Monate unschuldig in Haft, weil eine Gesichtserkennungssoftware ihn fälschlich identifizierte. Studien zeigen zudem, dass die Fehlerquote bei Frauen und Menschen mit dunklerer Hautfarbe deutlich höher liegt – ein Problem voreingenommener Trainingsdaten.
Ein veraltetes Betriebssystem ist wie eine offene Haustür für Cyberkriminelle, die es auf Ihre persönlichen Daten und Konten abgesehen haben. Erfahren Sie in diesem kostenlosen PDF-Ratgeber, wie Sie mit den richtigen Updates und Einstellungen Sicherheitslücken dauerhaft schließen. Kostenlosen Sicherheits-Report herunterladen
Frankreichs Cybersicherheitsbehörde rät zum Umdenken
Die französische Behörde ANSSI hat nun eine klare Empfehlung ausgesprochen: Für sensible Transaktionen sollten Nutzer auf sechsstellige alphanumerische Passwörter setzen. Biometrie sei primär ein Komfortmerkmal, keine robuste Sicherheitsbarriere.
Viele Android-Hersteller warnen inzwischen bei der Ersteinrichtung ihrer Geräte, dass Gesichtserkennung unsicherer sein kann. Doch Organisationen wie Which? kritisieren Motorola, OnePlus und Nothing dafür, dass diese Hinweise zu versteckt oder unklar seien. Die Folge: Verbraucher wissen oft nicht, dass ihr Gesicht zwar das Smartphone entsperrt – für Banking-Apps oder mobile Bezahlsysteme aber ein zweiter, sicherer Faktor nötig ist.
Ausblick: 3D-Sensoren oder Multifaktor-Authentifizierung?
Branchenbeobachter erwarten, dass die Kluft zwischen sicheren 3D-Systemen und günstigen 2D-Lösungen weiter wachsen wird. Mehr Hersteller dürften gezwungen sein, in teure Tiefensensor-Hardware oder Ultraschall-Fingerabdrucksensoren von Anbietern wie Qualcomm zu investieren.
Doch ein grundlegendes Problem bleibt: Ein Gesicht oder ein Fingerabdruck lässt sich nicht zurücksetzen. Ist die biometrische Information erst einmal kompromittiert, bleibt sie es für immer. Der trend geht daher zur Multifaktor-Authentifizierung (MFA), kombiniert mit Verhaltensbiometrie – Systeme, die analysieren, wie ein Nutzer sein Gerät hält oder tippt. Bis dahin gilt: Biometrie als Komfortfunktion nutzen, aber niemals als alleinigen Schutz – ein starkes PIN-Passwort bleibt Pflicht.
