Biometrie Fingerabdruck-Scan kann mit Fotos geknackt werden

Der angeblich so sichere Fingerabdruck kann leicht rekonstruiert werden. Iris-Scans sind sogar noch einfacher zu überlisten.

Von Ali Vahid Roodsari

Das Leben war noch nie einfacher: Eine Berührung und der Einkauf ist erledigt. Etwa mit PayPal. Das Unternehmen erlaubt Mitgliedern, per Fingerabdruck zu bezahlen. Doch offenbar ist die Identifizierung mit diesem biometrischen Verfahren viel unsicherer, als die meisten Menschen glauben. Zumindest haben kürzlich japanische Forscher vom National Institute of Informatics davor gewarnt, das Victory-Zeichen in die Kamera zu halten: Die Geste könne Fingerabdrücke weltweit verfügbar machen, sagte der Wissenschaftler Isao Echizen. Der Forscher schoss mit einer Digitalkamera Fotos von Fingern aus drei Metern Entfernung und nutzte die Aufnahmen, um den Fingerabdruck der Personen zu rekonstruieren.

Auch Falk Garbsch, Sprecher des Chaos Computer Clubs (CCC), kennt solche Methoden: "Aus dem Foto eines Fingerabdrucks eine Attrappe zu bauen, ist relativ einfach", sagt er. "Beim CCC sind schon vor zwölf Jahren solche Verfahren vorgestellt worden." Der Fingerabdruck der Verteidigungsministerin beispielsweise ist seit 2014 in der Hand der Hacker. CCC-Mitglied Jan Krissler - im Netz auch bekannt als starbug - hatte damals eine Kopie des Daumenabdrucks von Ursula von der Leyen erstellt. Dazu nutzte er ein Foto ihres Fingers. Krissler wollte damit auf Sicherheitslücken biometrischer Systeme aufmerksam machen.

Ein Fingerabdruck ist einzigartig. Wird er gestohlen, lässt er sich nicht ändern wie ein Passwort. Illustration: Jessy Asmus

(Foto: )

Einen solchen Abdruck kann im Prinzip jeder erstellen. Ein Foto von der Vorderseite des Fingers reicht: mit einer Software wie VeriFinger oder Photoshop lässt es sich bearbeiten. Das Ergebnis kommt auf eine Folie, dazu genügt ein handelsüblicher Laserdrucker: Ein gutes Gerät druckt das Höhenrelief des Fingers mit. Der Druck wird dann mit Latexmilch oder Holzleim bestrichen. Ist alles getrocknet, lässt sich der falsche Finger benutzen. Auf seiner Webseite zeigt der CCC solche Methoden zum Fälschen. Das heißt aber nicht, dass jedes Facebook-Foto gefährlich ist. "Es kommt auf die Qualität des Fotos an", sagt Garbsch. Fotos von Handy-Kameras sind qualitativ meist schlecht. Da zählt die Entfernung zum Finger. Bei Kompaktkameras ist es leichter und mit Profi-Equipment gibt es überhaupt keine Schwierigkeiten.

Per Fingerabdruck lässt sich bereits Geld überweisen

Anders ist es bei der Iriserkennung. Die Auflösung ist bei diesen Verfahren aber so gering, das ein Porträtfoto zum Überlisten meistens reicht. Eine exotischere Methode der biometrischen Authentifizierung ist der Handvenen-Scan. Handvenen sind wie der Fingerabdruck bei allen Menschen unterschiedlich und einzigartig. Ein entsprechendes Gerät kann entweder die Venen der Finger, der Handinnenfläche oder des Handrückens ablesen. Dazu erstellt das System mit Infrarotstrahlung ein Bild des Venenmusters. Um die Handvenen zu fälschen, bräuchten Kriminelle also eine Infrarotkamera.

Der Handvenenscan ist aber kein Teil des Alltags wie der Fingerabdruck- und Iris-Scan: Sei es im Smartphone, Notebook oder beim Bezahlen. Neben PayPal erlaubt beispielsweise die Postbank, Geld per Fingerabdruck zu überweisen. Mit Systemen wie "Windows Hello" können Nutzer sich per Iris-Scan auf ihrem Computer anmelden. Und seit Apple 2013 beim iPhone 5s die Entsicherung durch Fingerabdruck eingeführt hat, ist das System bei vielen neuen Smartphones üblich.

Apple nannte die Methode damals sicher. Hacker vom CCC konnten aber bereits innerhalb von 48 Stunden den Sensor überlisten: Sie scannten das Smartphone und kamen so an den Fingerabdruck. Danach mussten sie das Bild bearbeiten und eine Attrappe erstellen. Hacker Jan Krissler präsentierte die Methode bei einer CCC-Konferenz 2014: "Ich hatte damit gerechnet, zwei Wochen damit Spaß zu haben", sagte er. Nach nicht einmal zwei Tagen hatte er das System aber schon überwunden.

Ein Fingerabdruck ist einzigartig. Wird er gestohlen, lässt er sich nicht ändern wie ein Passwort

Die bewiesenen Sicherheitsmängel stören die Bevölkerung aber nicht. 60 Prozent der iOS-Nutzer mit der entsprechenden Hardware zahlen bei PayPal per Finger-Login. Eine Visa-Umfrage von 2016 mit mehr als 14 000 Teilnehmern zeigte: Zwei Drittel der Befragten sind von biometrischen Authentifizierungsverfahren beim Bezahlen angetan. Die beliebteste Methode ist dabei der Fingerabdruck, gefolgt vom Iris-Scan und der Gesichtserkennung. Der CCC warnt aber vor biometrischen Verfahren. Denn das Handy mit dem Fingerabdruck zu sichern mag zwar bequem sein. Aber ein biometrisches Muster ist ein Teil eines Menschen. Wird es gestohlen, kann sein Besitzer ihn nicht ändern. Garbsch rät stattdessen zu einem sicheren Passwort.

Das japanische National Institute of Informatics entwickelt jedoch derzeit ein Methode, die gegen biometrische Datendiebstahl schützen soll: Nutzer können sich eine transparente Folie auf die Finger kleben, die Titan-Oxid enthält. Ihre Geräte sollen sie damit aber immer noch entsperren können. Wie das genau funktioniert, ist noch streng geheim. Das Institut will die Methode frühestens in zwei Jahren vorstellen. Wer solange nicht warten will, hat laut Garbsch folgende Optionen: Entweder auf biometrische Authentizitätsverfahren ganz verzichten, oder aber "Handschuhe tragen, den ganzen Tag. Am besten auch im Schlaf."

Wutrede eines Hackers

Statt Bürger vor Überwachung zu schützen, kümmern sich Hacker um Business-Class-Flüge und das große Geld. Auf dem CCC rechnet ein IT-Experte mit seiner Branche ab. Von Hakan Tanriverdi mehr ...