Grundlagen | Andreas Th. Fischer | 02/2026 | 9. Juni 2026

Biometrische Log-ins unter Linux

Biometrische Systeme verbreiten sich immer weiter. Nur Linux stellt seine Nutzer vor besondere Herausforderungen. Wir analysieren die Funktionsweise der Biometrie, gehen auf Sicherheitsaspekte ein und beschreiben die praktische Einrichtung und Verwendung.

Noch ist die biometrische Anmeldung mit einem Fingerabdruck unter Linux nicht weit verbreitet. Auf Systemen mit unterstützten Fingerprintsensoren ist sie aber heute schon möglich.

Abseits der Linux-Welt sind biometrische Log-ins bereits gang und gäbe, um sich ohne die Eingabe eines Passworts an einem System anzumelden. So hat etwa Microsoft 2015 mit der Einführung von Windows Hello in Windows 10 eine standardisierte Grundlage für biometrische Log-ins per Fingerabdruck und Gesichtserkennung geschaffen. Vorher gab es nur einen Wildwuchs an verschiedenen herstellerspezifischen Lösungen mit unterschiedlichen Oberflächen und Frameworks. Heute haben bereits Mittelklasse-Notebooks Windows Hello und kompatible Sensoren an Bord.

Apple hat 2013 mit Touch ID eine Unterstützung für Fingerabdrucksensoren eingeführt. Vier Jahre später folgte mit Face ID auch die biometrische Gesichtserkennung. Eine erste Welle von Android-Handys mit Fingerprint-Sensoren kam 2014. Heute hat die Mehrheit der Mittelklasse- und Flaggschiff-Modelle mit dem Google-System einen Fingerabdrucksensor an Bord. Bei Linux sieht es dagegen weit schlechter aus. Warum?

Technische Probleme

In einem Interview mit der Webseite Linuxnews ging Werner Sembach auf diese Frage ein. Er ist Entwickler beim Augsburger Linux-Spezialisten Tuxedo Computers (www.tuxedocomputers.com), der auf seiner Webseite bei manchen älteren Notebooks wie dem Tuxedo Book XP17 zwar Fingerprintsensoren auflistet, sie aber zugleich mit dem Warnhinweis „Windows only!“ versieht. Bei aktuellen Modellen wie dem Infinity Book Max 15 fehlt selbst dieser Vermerk.

Anbieter wie das Augsburger Unternehmen Tuxedo Computers haben zwar immer wieder Notebooks mit Fingerprintsensor verkauft, unterstützen sie aber noch nicht in der eigenen Linux-Distribution Tuxedo-OS.

Die Gründe sind laut Sembach vor allem technischer Natur. So sieht er etwa Probleme bei der biometrischen Mustererkennung. Es bräuchte nach seiner Aussage jemanden, der sich mit diesem Bereich oder Machine Learning auskennt, um die bislang verwendete NIST Biometric Image Software (NBIS) zu verbessern oder gleich durch „etwas Besseres zu ersetzen“. Auf Rückfrage teilte Tuxedo mit, dass sich die Situation seit dem Interview „kaum verändert“ habe. Die von Sembach getroffenen Aussagen hätten „bis heute Bestand“.

Allerdings integrierten beispielsweise die Linux-Mint-Entwickler im Sommer 2025 das damals brandneue Fingerprint-Konfigurationstool Fingwit in ihre aktuelle Distribution 22.2. Fingwit kann unter anderem erkennen, ob der Computer mit einem Fingerprintsensor ausgestattet ist, um dann auch die Fingerabdrücke des Anwenders zu erfassen. Anschließend soll das Tool Authentifizierungen per Fingerabdruck beim Log-in, beim Bildschirmschoner, bei sudo-Befehlen sowie bei Systemwerkzeugen ermöglichen, wenn sie root-Rechte benötigen.

Linux Mint 22.2 enthält seit Mitte des vergangenen Jahres mit Fingwit ein dediziertes Tool zur Einrichtung und Verwaltung von Fingerprintsensoren. Die XApp lässt sich auch in anderen Distributionen installieren und nutzen.

Vor- und Nachteile biometrischer Log-ins

Aber treten wir noch einmal einen Schritt zurück. Es gibt viele gute Gründe, die für oder gegen Biometrie sprechen. So lässt sich damit prinzipiell prüfen, ob die Person, die sich bei einem System anmelden oder erweiterte Berechtigungen anfordern will, auch wirklich physisch anwesend ist. Fingerabdrücke gelten gemeinhin als einzigartig. Allerdings gibt es Fälle von extrem ähnlichen Mustern, zum Beispiel bei engen Verwandten. Auch treten in der Praxis Probleme durch Schmutz, Verletzungen oder Sensorfehler auf.

Ein vor etwas über zehn Jahren im Auftrag des britischen Unterhauses durch das Beratungsunternehmen Lockstep Consulting erstellter Untersuchungsbericht kam jedenfalls zu einem verheerenden Urteil: Biometrie sei technisch unreif und deutlich schlechter, als es Werbung und Science-Fiction-Filme suggerierten. Es gebe kaum wissenschaftliche Belege dafür, dass die in biometrischen Lösungen verwendeten Merkmale wirklich von Natur aus einzigartig seien. Außerdem weise jede verwendete Methode eine „False Accept Rate“ (FAR) auf. Sie gibt an, mit welcher Rate ein biometrisches System eine unberechtigte Person als autorisiert akzeptiert.

Irreführende Werbung?

Je strenger ein Hersteller die FAR auslegt, desto mehr steigt jedoch die „False Reject Rate“ (FRR) an. Dabei handelt es sich um den Anteil abgelehnter, aber eigentlich legitimer Nutzer. Daneben gibt es auch eine „Equal Error Rate“ (EER). Das ist der Punkt, an dem beide Raten ausgewogen sind. Da FAR aber nie null sein kann, stuft das Beratungsunternehmen die Verwendung des Begriffs „einzigartig“ in Verbindung mit biometrischen Lösungen als „irreführende Werbung“ ein.

Erschwerend kommt ein weiterer Punkt hinzu, der oft unterschätzt wird. Biometrische Daten lassen sich nicht einfach ersetzen, wie Sie es etwa mit einem gestohlenen Passwort machen können. So ist die Zahl der Finger begrenzt, über die jeder von uns verfügt. Daher müssen biometrische Daten noch mehr als Passwörter vor unerwünschten Zugriffen geschützt werden. Gerade Fingerabdrücke hinterlassen wir aber nahezu überall. Es soll auch schon Fälle gegeben haben, in denen eine eifersüchtige Frau den Finger des schlafenden Partners auf den Fingerabdrucksensor seines Smartphones legte, um es heimlich zu entsperren.

Bleibt noch die schon mehrfach belegte Möglichkeit, Fingerabdrücke zu klauen und zu fälschen. So veröffentlichte der Chaos Computer Club (CCC) schon im Jahr 2008 ein Foto der Fingerabdrücke von Wolfgang Schäuble, das von einem Wasserglas stammte, das der derzeitige Bundesinnenminister genutzt hatte. Ein paar Jahre später legte CCC-Mitglied Jan Krissler (starbug) nach und erstellte eine Kopie des Fingerabdrucks der damaligen Verteidigungsministerin Ursula von der Leyen.

Auf seiner Webseite schreibt der CCC daher zum Thema Biometrie: „Sie hat Stärken und Schwächen.“ Man sollte genau prüfen, in „welchen Bereichen man sie als Werkzeug sinnvoll einsetzen kann“. Die Hersteller biometrischer Systeme hätten „ein natürliches Interesse, die Vorteile ihrer Systeme anzupreisen und die Schwächen weniger zu betonen“.

Der Chaos Computer Club (CCC) positioniert sich gegen die Nutzung biometrischer Verfahren zur Authentifizierung. Auch zeigten seine Mitglieder mehrfach, wie sich Fingerabdrücke klauen und fälschen lassen.

Pro & Contra unter Linux

Unter Linux kommen noch einige weitere Punkte hinzu, die die Nutzung von Fingerabdrücken für etwa Log-ins erschweren oder sogar ausschließen. So gibt es längst noch nicht für alle Fingerprintsensoren bereits passende Linux-Treiber. Die Entwickler des Fprint-Framework haben eine Liste der von ihnen unterstützten Sensoren unter https://fprint.freedesktop.org/supported-devices.html veröffentlicht.

Welcher Sensor verbaut ist, finden Sie in einem Terminalfenster mit dem Befehl lsusb heraus. Er listet alle Hardwarekomponenten auf, die per USB angeschlossen sind. Auch viele Fingerprintsensoren nutzen intern USB. Auf unserem Testsystem etwa ließ sich der Sensor am Vermerk „Synaptics, Inc.“ identifizieren. In der Spalte davor steht die „USB ID“, die Sie mit der von Fprint veröffentlichten Liste vergleichen können. So finden Sie heraus, ob der in Ihrem Gerät verbaute Sensor bereits von dem Framework unterstützt wird.

Der lsusb-Befehl listet alle Hardwarekomponenten schön übersichtlich auf, die USB unterstützen. Da viele Fingerprintsensoren intern USB nutzen, lassen sie sich damit auch zuverlässig identifizieren.

Aber selbst dann bietet Linux keinen sicheren Ort, um die erfassten biometrischen Daten vor fremden Zugriffen zu schützen. Beispielsweise Apple nutzt dafür ein vom Hauptprozessor isoliertes Secure-Enclave-Subsystem, das die Sicherheit sensibler Nutzerdaten auch dann garantiert, wenn der Kernel kompromittiert wird. Google verwendet Titan-M2-Security-Chips, Samsung seinen Knox Vault und Microsoft setzt auf TPM-2.0-Chips. Sie alle bieten sichere Orte, um auch die erfassten Fingerabdrücke zu speichern. Und Linux? Speichert die Daten einfach im System, wo jeder Nutzer und Prozess mit entsprechenden Berechtigungen darauf zugreifen kann.

Anmeldung per Fingerabdruck umsetzen

Jeder sollte sich also genau überlegen, ob er auf seinem Linux-System biometrische Daten erfassen und dann zur Authentifizierung nutzen will. Wir haben es auf einem Notebook mit kompatiblem Fingerprintsensor und Ubuntu 25.10 als Betriebssystem ausprobiert und beschreiben im Folgenden kurz das Prozedere.

Prüfen Sie zunächst mit dem oben bereits erwähnten lsusb-Befehl, ob der Sensor von Fprint unterstützt wird. „Einstellungen“ von Ubuntu und navigieren Sie zu „System –› Benutzer“. Hier finden Sie die Schaltfläche „Anmeldung mit Fingerabdruck“. Daneben steht „Deaktiviert“. Klicken Sie darauf und danach auf „Neuen Fingerabdruck einlesen“.

Wenn ein unterstützter Fingerprintsensor vorhanden ist, zeigt Ubuntu 25.10 in den Systemeinstellungen eine hier noch deaktivierte Option zum Einrichten der biometrischen Anmeldung.

Nun können Sie auswählen, welchen Finger Sie erfassen wollen. Nach der Eingabe des root-Passworts lernen Sie den ausgewählten Finger an. Legen Sie ihn mehrere Male in unterschiedlichen Positionen auf den Sensor, bis die Meldung „Abgeschlossen“ erscheint. Schließen Sie das Fenster.

Beim Anlernen eines neuen Fingerabdrucks sollten Sie den ausgewählten Finger mehrere Male in leicht unterschiedlichen Positionen auf den Sensor legen, damit es später bei der Erkennung keine Probleme gibt.

Nun können Sie sich vom System abmelden, um die Anmeldung per Fingerabdruck zu testen. Dabei besteht auch weiterhin die Möglichkeit, sich wie gewohnt per Passwort anzumelden. Im Test klappte der Log-in reibungslos. Andere Aktionen, die ebenfalls eine Freigabe mit höheren Rechten erfordern, werden aber nicht unterstützt. Hier können Mint-Nutzer dank des Tools Fingwit mehr erwarten – vorausgesetzt, ihr Fingerprintsensor wird unterstützt.