Biometrische Verfahren bieten keine Sicherheit

Der Fingerabdruck ist das älteste biometrische Verfahren. Die Kriminaltechnik hat sich schon längst darauf eingeschossen. Wen wundert’s. Ist es doch eine recht zielführende Methode, um einen Täter zu identifizieren. Denn Fingerabdrücke sind einzigartig. Das war besonders damals von großer Relevanz. Heutzutage sind DNA-Spuren der Heilige Gral der Verbrechensaufklärung. In unseren Köpfen hat sich eingebrannt, was vor 200 Jahren gut war. Fingerabdrücke gelten für viele als fälschungssicher, weil sie einzigartig sind. Sie identifizieren eindeutig diese eine Person. Genauso auch, wie es Irisscanner tun. Es ist aber seit Jahren ein offenes Geheimnis, dass eben jene biometrischen Erkennungsmerkmale keineswegs so fälschungssicher sind, wie oft behauptet wird.

Who’s been using my phone? (Quelle: Chris Isherwood, Liz. CC BY-SA 2.0)
Who’s been using my phone? (Quelle: Chris Isherwood, Liz. CC BY-SA 2.0)

Jan Krissler hat dies auf dem diesjährigen Hackerkongress des Chaos Computer Clubs erneut eindrucksvoll bewiesen. Mit seinen Ergebnissen kommt er meiner Meinung genau zur rechten Zeit. 2015 möchte die EU den Einsatz der elektronischen Grenzkontrolle erproben. Dabei werden Fingerabdruckscanner und Gesichtserkennung zum Einsatz kommen. Eben jene Technik, die potenziell als unsicher gilt. Derartige Methoden sind bereits seit Jahren umstritten. Als Apple sein erstes iPhone mit Fingerabdrucksensor vorstellte, ging ein Raunen und Jubeln durch die Masse. Die einen sagten sich: Wow, das Sicherheitsfeature wollte ich immer haben. So sicher war mein iPhone noch nie.

iPhone 5S fingerprint sensor (Quelle: Kārlis Dambrāns, Liz. CC BY 2.0)
iPhone 5S fingerprint sensor (Quelle: Karlis Dambrans, Liz. CC BY 2.0)

Sicherheitsexperten und Hacker grinsten innerlich. So dauerte es nicht lange, bis der Sensor im iPhone überlistet wurde. Dazu braucht es nur den Fingerabdruck des Opfers, ein bisschen Fingerspitzengefühl und Latexmilch. Fertig ist der gefälschte, aber echte Fingerabdruck. Danach hat der Angreifer Zugriff auf das so sicher geglaubte iPhone.

Die räumliche Distanz zwischen Hacker und Opfer wächst

Auf dem 31C3 stellte Krissler nun also seine Ergebnisse vor. Für ihn ist es ein Kinderspiel aus einem Foto einen Fingerabdruck oder eine Iris zu extrahieren. Das sei mit der heutigen Technik relativ einfach zu bewerkstelligen. Beispielsweise genügen Pressebilder oder Wahlplakate von Politikern, um an ihre biometrischen Daten zu gelangen. Damit ist kein physischer Kontakt mehr nötig. Geht man davon aus, dass der technische Fortschritt weiter anhält, wird es immer leichter. Verfahren werden billiger und damit einer breiten Masse zugänglich gemacht. Dann gehört eines nahen Tages das Hacken von biometrischen Verfahren zum kleinen Einmaleins des passionierten Hackers. Zudem sind die eingesetzten Systeme zur Prüfung biometrischer Merkmale schon heute überlistbar.

Iris (Quelle: U.S. Department of Agriculture, Liz. CC BY 2.0)
Iris (Quelle: U.S. Department of Agriculture, Liz. CC BY 2.0)

Wenn ein lebloses Bild durch einen Bleistift blinzeln lernt, dann ist das mehr als nur bedenklich. Klar, Hersteller sind dazu angehalten, ihre Systeme zu verbessern. Aber Hacker optimieren ebenso ihre Methoden. Damit entsteht ein Wettlauf zwischen Hase und Igel. Nach den aufschlussreichen Erkenntnissen von Krissler muss man sich nicht mehr fragen, ob diese Methoden sicher seien. Sie sind es schlichtweg nicht. Daher kann ich auch unsere Politik nicht ganz verstehen. Warum hält das Innenministerium derart dagegen und behauptet, dass Fingerabdruckscanner nahezu zuverlässig sein sollen. Nur weil die Verfahren kombiniert werden müssten? Sorry, aber selbst das wird keine erhöhte Sicherheit bieten. Krissler glaubt, dass Biometrie nicht für Sicherheitssysteme tauge.

Hollywood macht es vor, die Realität eifert hinterher

Stellen wir uns einfach mal folgendes Szenario vor: Ein Mann kommt in Berlin auf dem Flughafen an und geht zur Passkontrolle. Er zeigt seinen elektronischen Reisepass vor, worauf zwei Fingerabdrücke gespeichert sind. Zur Identifizierung muss er sie am Flughafen abermals scannen lassen. Als Zweites wird ein Augenscan vorgenommen. Beide Tests besteht der Mann mühelos und darf passieren. In Wirklichkeit ist der Mann ein Hacker. Den Pass hat er seinem Opfer geklaut. Die Fingerabdrücke hat er ausgelesen und sich hauchdünne Abdrücke aus Latex auf die Fingerkuppen geklebt. Die Iris fand er per Social Engineering bei Facebook auf einem qualitativ hochwertigen Foto. So konnte er sie auf Kontaktlinsen replizieren. Dazu noch ein bisschen Maskerade, um dem Reisepassinhaber ähnlich zu sehen. Wer würde da Verdacht schöpfen?

Pass control (Quelle: Alvaro Galve, Liz. CC BY-SA 2.0)
Pass control (Quelle: Alvaro Galve, Liz. CC BY-SA 2.0)

Das klingt zwar stark nach Hollywood, könnte aber bald Realität sein. Egal wie man das Blatt dreht und wendet, solche Methoden können keinesfalls als fälschungssicher gelten. Ein gravierendes Problem an diesem falschen Sicherheitsgedanken ist die Tatsache, dass die Merkmale an uns einzigartig sind. Wir können sie nicht einfach tauschen. Klaut uns also ein Hacker unsere Fingerabdrücke, steht ihm unsere Welt offen. Fingerabdrücke kann man weder löschen, noch sperren. Das eröffnet eine ganz neue Dimension des Identitätsdiebstahls. Der Schaden wäre irreversibel. Zudem erlaubt diese Erfassung jeder Regierung weitreichende Möglichkeiten, uns zu verfolgen und Persönlichkeitsprofile anzulegen. Diese Gefahr ist gerade nach den Enthüllungen von Edward Snowden nicht von der Hand zu weisen. Sicherheit und Überwachung sind zwei gegensätzliche Begriffe, die mittlerweile oft in einen Topf geschmissen werden.

Biometrie alleine kann uns niemals den erhofften Schutz bieten. Das müssen wir endlich begreifen. Krissler wird weiterhin daran arbeiten, biometrische Verfahren zu überlisten. Als Nächstes hat er sich Handvenenscanner vorgenommen. Ebenfalls ein sehr spannendes Thema.


Avatar von reraiseace
Autor: Markus Werner (reraiseace) Twitterreraiseace, Google+reraiseace, Twittercb_werner
Ich bin Redaktionsvolontär bei der COMPUTER BILD in Hamburg, Fernstudent am Deutschen Journalistenkolleg und schreibe auf re{raise}ace privat über Webdesign und Programmierung. Seit 2015 schrieb ich auch regelmäßig für andere Medien.

4 Kommentare

Du kannst diesen Artikel nicht mehr kommentieren.

  1. Kommentar von Zeddy · · #

    Die Frage nach dem Warum die Regierung dennoch solche Dinge einführt ist klar: Entweder geht es um Geld seitens irgendwelcher großen Konzerne die diese Teile herstellen werden (irgendwer wird es ja schließlich tun müssen, wenn sie per Gesetz etabliert werden müssen)

    Oder aber um der Überwachung der bösen Bürger zu dienen, schließlich ist jeder ein möglicher Terrorist (Vorsicht Sarkasmus)

    Ihren Blog werde ich gerne weiter verfolgen =)

  2. Kommentar von reraiseace · · #

    Wie sagt man so schön: Wissen ist Macht, egal ob Unternehmen oder Staat. Beide sind an Kunden- bzw. Bürgerdaten interessiert. Man versucht am Ende eine Welt ohne Geheimnisse zu haben. Reinste Utopie.

  3. Kommentar von Didi · · #

    Dem Artikel vom 30.12.2014 möchte ich vorerst zustimmen, aber man hat vergessen zu diesem Thema den Handvenenscan anzuführen. Der Handvenenscan gehört ebenso zu den biometrischen Verfahren. Im Gegensatz zum Fingerprint ist diese Sicherungsmethode aber fälschungssicher. Handvenen liegen im Inneren des Körpers und können nicht gefälscht werden. Ebenso ist dieses biometrische Verfahren nur am Lebendobjekt anwendbar.

    Ich finde man sollte auch dieses Verfahren berücksichtigen, wenn es um Biometrie geht.

    LG Didi

  4. Kommentar von reraiseace · · #

    Hallo Didi, den Handvenenscan habe ich nicht vergessen. Hierzu steht etwas im letzten Absatz meines Artikels. Dazu möchte ich aber die Erkenntnisse von Jan Krissler abwarten. ich stimme dir zu, dass Handvenenscanner sicherer sind, aber wie sicher kann ich derzeit selbst nicht einschätzen. Deshalb möchte ich mir an dieser Stelle kein Urteil erlauben.

    VG Markus