Hacker-Kongress 31C3 Wie man die Iris der Kanzlerin simuliert

12 000 Teilnehmer werden in diesem Jahr beim Hackerkongress 31C3 erwartet. Aktivisten demonstrieren, wie schlecht Sicherheitssysteme funktionieren.

(Foto: dpa)
  • Auf dem Hacker-Kongress in Hamburg wird deutlich, wie schlecht die Sicherheitsmechanismen funktionieren auf die sowohl Banken als auch die Bundesregierung vertraut.
  • Ein bekannter Hacker demonstriert, wie leicht sich Iris-Scanner und Fingerabdruck-Sensor überlisten lassen.
Von Johannes Boie, Hamburg

Um das Publikum beim Hackerkongress 31C3 zum Johlen zu bringen, sollte der Referent einerseits einen spektakulären Hack vorführen und andererseits möglichst ein oder zwei Regierungsmitglieder zum Besten halten. Jan Krissler, in der Hackerszene als "starbug" bekannt, gelang am Samstagabend gleich beides. Der Hacker beschäftigt sich seit Jahren mit Sicherheitstechnik, die auf den Körper des Nutzers vertraut. Zum Beispiel auf einen Iris-Scanner oder einen Fingerabdruck-Sensor.

Beide Sicherheitssysteme hat Krissler vor den Gästen des Hackertreffens live geknackt. Auf seinem Pullover stand gut lesbar das Wort "Terrorist" und möglicherweise verordnet ihn Ursula von der Leyen demnächst auch in dieser Ecke. Krissler zeigte, dass ein Foto von den Händen der Verteidigungsministerin reichen kann, um ihren Fingerabdruck zu simulieren.

Das Foto wird am Computer bearbeitet und mit einer speziellen, in Hackerkreisen längst bekannten Methode in einen dreidimensionalen Fingerabdruck verwandelt. Dieser könnte theoretisch an einem Tatort hinterlassen oder beim Grenzübertritt erfasst werden. Spätestens seit das iPhone Fingerabdrücke zum Einloggen verwendet, ist die Methode global und massenhaft verbreitet. Dabei ist ein Fingerabdruck als Identitätsnachweis im Vergleich zu einem Passwort keine besonders clevere Idee. Ein öffentlich gewordenes Passwort kann man jederzeit ändern - den Fingerabdruck aber behält ein Mensch sein Leben lang.

"Iris-Erkennung ist endgültig kaputt"

Bei den Versuchen knackte Krissler mit seinem Team noch eine andere als sicher geltende Methode. Das Team kaufte einen Iris-Scanner für mehr als 1000 Euro. Ein Iris-Scanner ist eine kleine Box, die anhand der Pupille eines Menschen je nach Berechtigung der Person zum Beispiel eine Tür öffnet oder eben geschlossen hält. Solche Geräte werden weltweit zur Sicherung eingesetzt, zum Beispiel in Banken.

Krissler hielt einfach eine lebensgroß ausgedruckte Aufnahme eines Gesichtes vor das Gerät - und das Gerät akzeptierte die gedruckte Pupille genau so wie die eines echten Menschen. Das gelang dem Hacker selbst dann, wenn das Bild aus größerer Entfernung aufgenommen wurde oder wenn die Augen der Versuchsperson sehr dunkel waren. Fazit von Krissler: "Iris-Erkennung ist endgültig kaputt."

Um das Zugangssystem davon zu überzeugen, dass die ihm gezeigte Iris einer lebenden Person gehört, genügte es, wenn Krissler vor dem ausgedruckten Bild mit einem Filzstift wedelte - und so ein wenig Bewegung simulierte. Der Hacker zeigte Pressebilder und Wahlplakate von Angela Merkel, deren Druckqualität problemlos genügte, um die Iris der Kanzlerin zu simulieren.

Grund zur guten Laune

Das Interesse wächst ebenso wie die Relevanz: Beim Hacker-Kongress 31C3 werden 12 000 Menschen erwartet. Die Veranstaltung des "Chaos Computer Clubs" gleicht einer Transparenz-Maschine: Ein Vortrag zeigt, wie leicht Fingerabdruck-Scanner zu überlisten sind. Von Hakan Tanriverdi mehr ...

Bereits vor mehreren Jahren war Krissler an einer Aktion beteiligt, bei der der Fingerabdruck des damaligen Innenministers Wolfgang Schäuble von einem Wasserglas, aus dem der Minister getrunken hatte, kopiert wurde. Freunde in der Regierung dürfte der Hacker kaum haben, ebenso wenig bei den Herstellern von Fingerabdruck- und Iris-Scan-Systemen. Die Hacker allerdings dankten seinen Einsatz mit großem Applaus.

Krissler kündigte an, von der Leyens Fingerabdruck bald als 3D-Modell zu veröffentlichen. Anbieten würde sich dazu eine Folie, die zum Beispiel dem Heft "Datenschleuder", dem Organ des Chaos Computer Clubs, beigelegt werden könnte.