bedeckt München 20°

Biometrie und IT-Sicherheit:Wie eintätowierte Passwörter

Fingerabdruck

Der Fingerabdruck: Nicht so sicher, wie manche Politiker beteuern.

(Foto: picture alliance / Marcus Führer / Bearbeitung: SZ.de)
  • Biometrie als Sicherheitsmerkmal wird Alltag: Die EU will Fingerabdrücke verpflichtend in Personalausweisen speichern.
  • Doch Zugangssperren können geknackt, biometrische Datenbanken gehackt werden.
  • Deutschland will vorerst keine zentrale Datenbank für solche biometrischen Merkmale errichten, andere Länder haben sie schon - und gehen damit Risiken ein.

Der Fingerabdruck des heutigen Bundestagspräsidenten Wolfgang Schäuble (CDU) ist berühmt. Als Bundesinnenminister machte er sich 2008 für die Speicherung biometrischer Merkmale in den Personalausweisen der Deutschen stark. Aus Protest gegen seinen Plan veröffentlichte der Chaos Computer Club (CCC) Schäubles Fingerabdruck - gewonnen von einem Wasserglas - und empfahl seinen Mitgliedern, den Abdruck freiwillig in ihren Ausweisen zu hinterlegen. 5000 sogenannte "Schäubletten" will der Club damals unters Volk gebracht haben. Wie viele davon tatsächlich in gültige Ausweisdokumente geschmuggelt wurden, ist nicht bekannt.

Damals kannten viele Bürger Fingerabdrücke hauptsächlich als Indizien aus dem Tatort. Heute sind sie Teil der alltäglichen Technik: Smartphone-Besitzer entsperren ihre Geräte mit der Fingerkuppe oder gleich per Gesichtserkennung. Biometrie ist in der Gesellschaft angekommen und gilt vielen als Mittel, die Sicherheit elektronischer Geräte zu verbessern. Und der Staat sieht biometrische Merkmale als Möglichkeit, die innere Sicherheit zu verbessern. Beides ist umstritten.

Biometrische Sicherheitssperren können umgangen werden - mit ein bisschen Aufwand und Holzleim, zum Beispiel. Staatliche Datenbanken von Fingerabdrücken oder anderen biometrischen Merkmalen können gehackt werden. Schon 2008 bemerkte der damalige Sprecher des Chaos Computer Clubs (CCC), Dirk Engling: "Fingerabdruck-Biometrie ist nicht so sicher, wie die Politik beteuert. Sie gehört in keine sicherheitsrelevante Anwendung - und erst recht nicht in den ePass."

Fingerabdruck-Attrappen aus Holzleim

Heute heißt der Bundesinnenminister Horst Seehofer (CSU), und das Thema Biometrie in Personalausweisen steht wieder auf der politischen Agenda. Während die Abgabe eines Fingerabdrucks in neuen Reisepässen seit 2007 bereits verpflichtend ist, war sie für Personalausweise bisher freiwillig. Das soll sich nun ändern: Mitte Februar haben sich die EU-Institutionen auf einen Gesetzentwurf geeinigt, wonach die Abdrücke in Ausweisdokumenten von Mitgliedsstaaten künftig standardmäßig gespeichert sein sollen.

Bei der Einreise würde eine befugte Behörde - etwa die Bundespolizei - die Finger scannen und sie mit den im Ausweisdokument gespeicherten Daten abgleichen. Neuausgestellte Ausweise sollen zudem alle im Scheckkartenformat gehalten sein und einen maschinenlesbaren Teil enthalten. Demnächst soll der Libe-Ausschuss des Europäischen Parlaments, der für bürgerliche Freiheiten, Justiz und Inneres zuständig ist, den Entwurf bestätigen. Danach müssen noch Parlament und Mitgliedsstaaten zustimmen. Deutschland wird das wohl tun: Seehofer nennt das neue Gesetz "zwingend erforderlich".

CCC fordert von Seehofer gute Argumente für den Eingriff

Die aktuelle Sprecherin des CCC, Constanze Kurz, fordert von Seehofer, seine Position besser zu begründen: "Die Bundesregierung hat bisher nicht belegen können, dass mit der zwangsweisen Fingerabdruckabgabe tatsächlich ein Mehr an Sicherheit erreicht werden kann. Das aber müsste sie dringend tun, denn biometrische Merkmale sind höchst sensible Körperdaten, die besonders geschützt gehören." Eine "erkennungsdienstliche Behandlung der gesamten Bevölkerung" sei ohnehin abzulehnen.

Das Innenministerium argumentiert, dass die Fingerabdrücke auf dem Ausweis Identitätstäuschungen verhindern. So ließe sich vermeiden, dass Unbefugte die Ausweise ähnlich aussehender EU-Bürger nutzen, um nach Deutschland einzureisen. Es lägen Berichte vor, wonach die Fälle von versuchten Identitätsbetrugs dieser Art zunähmen. Eine Statistik, die dies belegt, gibt es dem Ministerium zufolge allerdings nicht.

Der Widerstand des CCC gegen biometrische Sicherheitsmerkmale hat Tradition. Regelmäßig demonstrieren Hacker auf den Jahreskonferenzen des Vereins, wie sich Sicherheitslücken nutzen lassen - in Technologien, die als modern und schwer zu knacken angepriesenen werden. Der Schäuble-Fingerabdruck von 2008 war nur der Anfang.

Für die meisten Biometrie-Hacks des CCC ist der Berliner Jan Krissler zuständig, unter Hackern als "Starbug" bekannt. 2014 erstellte er einen Fingerabdruck von Verteidigungsministerin von der Leyen, basierend auf einem hochauflösenden Pressefoto der Ministerin. 2015 demonstrierte er, wie der Fingerabdruck-Sensor einen iPhones mit einer Abdruck-Attrappe aus Holzleim umgangen werden kann. Ende 2018 präsentierte Starbug seinen neuesten Coup: Zugangssperren, die die Venen einer Hand scannen, werden als sichere Varianten für Zugangskontrollen zu sensiblen Unternehmensbereichen angepriesen, vor allem von japanischen Herstellern wie Hitachi und Sony. Auch dieses System wurde von Starbug und dem Informatiker Julian Albrecht im Rahmen von dessen Bachelorarbeit überlistet - diesmal mit einer Attrappe aus Bienenwachs.

Digitale Privatsphäre Neue Macht für die obskurste Behörde der EU
Kriminalität und Migration

Neue Macht für die obskurste Behörde der EU

Bisher kannten nur Nerds und Polizisten "EU-Lisa". Nun bekommt das Amt eine Super-Suchmaschine, um Verbrecher und Asylbewerber zu überwachen. Kritiker finden das "brachial". Ein Besuch im Hochsicherheits-Datentresor.   Von Jannis Brühl

Die Ausweitung biometrischer Datensammlung hält Starbug auf mehreren Ebenen für problematisch. Seine eigene Forschung zeige: Missbrauch ist einfach, die Datenbanken sind also lohnende Ziele für Angriffe. "Außerdem haben die Biometrie-Datenbanken eine inhärente Fehlerwahrscheinlichkeit. Anders als bei Passwörtern - die richtig oder falsch sind - gibt es bei Biometrie nur Wahrscheinlichkeiten der Übereinstimmung", sagt Starbug. Zudem steige die Gefahr von sogenannten Falschpositiven.