Fingerabdruck-Scanner sind zwar spätestens seit der Integration in Smartphones für viele Menschen keine Besonderheit mehr, andere biometrische Techniken wie Iris-Scanner, Gesichtserkennung oder Venen-Scanner gelten dagegen noch immer als recht exotisch was den privaten Einsatz angeht. Das könnte sich durch »Windows Hello« von Microsoft bald ändern, die Technik erlaubt nämlich das Einloggen in einen Computer per Biometrie.
In der aktuellen Preview-Version von Windows 10 ist eine erste Version von Windows Hello bereits enthalten. Noch funktioniert darin zwar nur die Gesichtserkennung mit einer passenden 3D-Kamera wie Intels Realsense, weitere Funktionen werden aber bis zum Release von Windows 10 im Sommer und möglicherweise auch darüber hinaus von Microsoft ergänzt.
Klingt nach einer heilen, neuen Biometrie-Welt, die das lästige Merken von kryptischen, ellenlangen Passwörtern endlich obsolet macht, doch Vorsicht ist geboten: Die Verfahren halten in Sachen Sicherheit nicht immer das, was sie versprechen, wie unsere Übersicht der unterschiedlichen Methoden und ihrer größten Schwachstellen zeigt.
Fingerabdruck-Scanner
Es gibt bereits Fahrzeuge, die sich per Fingerabdruck starten lassen, Supermärkte nehmen Zahlungen per Fingerabdruck an, selbst Hochsicherheits-Systeme setzen teilweise noch immer auf die einmaligen Muster der Fingerkuppe und der elektronische Personalausweis kann optional ebenfalls zwei Fingerabdrücke speichern. Zu den Kritikern solcher Verfahren gehören die Experten des Chaos Computer Clubs, die immer wieder auf Schwachstellen hinweisen und diese teilweise sehr medienwirksam präsentieren.
Im Jahr 2008 zeigten sie einen Hack, in dessen Mittelpunkt der aktuelle Bundesfinanzminister Wolfgang Schäuble stand, der als Bundesinnenminister ein starker Verfechter biometrischer Daten in Ausweisen war. Ein von Schäuble verwendetes Wasserglas fand den Weg zum CCC, die daraufhin den Abdruck mit Sekundenkleber und einer Digitalkamera sicherten. Eine kleine Folie, die sogar über die Clubzeitung »Datenschleuder« verteilt wurde, diente mit etwas Holzleim als Grundlage für eine Attrappe von Schäubles rechtem Zeigefinger - der damit für alle Zeiten als unsicher gelten muss.
Es gibt viele weitere Möglichkeiten, Fingerabdruck-Scanner mit Fälschungen zu überlisten. In der bekannten Fernseh-Serie »Mythbusters« versuchten Jamie Hyneman und Adam Savage in einer sehr interessanten Folge, einen Hochsicherheits-Scanner auszutricksen. Als Master-Abdruck wurde der Daumenabdruck von Show-Mitarbeiter Grant Imahara verwendet. Anschließend gelang es den Mythbusters, das als »absolut sicher« bezeichnete System mit gleich allen drei ausprobierten Methoden zu überwinden: Ein 3D-Abdruck in Latex, der über einen Daumen gezogen wurde, ein 3D-Abdruck in ballistischer Gelatine und sogar eine Fotokopie eines Scans des Daumens von Imahara.
Teilweise musste für eine erfolgreiche Erkennung die Daumenkopie einfach nur kurz abgeleckt werden, um Hautfeuchtigkeit zu simulieren. Auch wenn die Folge nicht alle notwendigen Schritte zeigte, um keine komplette Anleitung zu bieten, belegt der durchgehende Erfolg, wie leicht selbst hochwertigste Fingerabdruck-Scanner zu überlisten sind – da hilft dann auch alle Komfort-Gewinn nur wenig.
Ursulas Finger
Der CCC hatte fünf Jahre nach dem Schäuble-Experiment auch kein Problem damit, den TouchID-Sensor eines iPhone 5S zu überlisten - diesmal zwar mit einem hochwertigen Foto eines Fingerabdrucks mit 2.400 dpi und einer laserbedruckten Folie, aber erneut mit Holzleim. Auch hier reichte es aus, die Abdruckkopie einfach anzuhauchen. Im Dezember 2014 führten Experten der Technischen Universität Berlin dann auch noch vor, wie sie mit einem mit einem aus wenigen Metern aufgenommenen Foto der rechten Hand von Bundesverteidigungsministerin Ursula von der Leyen einen klaren Fingerabdruck erstellen konnten. Die weiteren Schritte sind dann kein Problem mehr.
Fingerabdrücke sind daher alles andere als sicher und können häufig relativ einfach in Besitz gebracht und kopiert werden. Neben der Tatsache, dass jeder Mensch nur zehn dieser »biometrischen Passwörter« besitzt, können auf diese Weise auch Fingerabdrücke an Orten hinterlassen werden, an denen der eigentliche Besitzer niemals war. Gleichzeitig gibt es Befürchtungen, dass die Verbreitung von Fingerabdruck-Scannern dazu führen könnte, dass Geheimdienste ganze Datenbanken damit anlegen. Apple hat beispielsweise im Jahr 2013 einen Patentantrag für die Synchronisierung von Fingerabdrücken über die iCloud beschrieben. Im Licht aktueller Entwicklungen sicher kein beruhigender Gedanke, auch wenn die Daten verschlüsselt sein sollen.
Nur angemeldete Benutzer können kommentieren und bewerten.
Dein Kommentar wurde nicht gespeichert. Dies kann folgende Ursachen haben:
1. Der Kommentar ist länger als 4000 Zeichen.
2. Du hast versucht, einen Kommentar innerhalb der 10-Sekunden-Schreibsperre zu senden.
3. Dein Kommentar wurde als Spam identifiziert. Bitte beachte unsere Richtlinien zum Erstellen von Kommentaren.
4. Du verfügst nicht über die nötigen Schreibrechte bzw. wurdest gebannt.
Bei Fragen oder Problemen nutze bitte das Kontakt-Formular.
Nur angemeldete Benutzer können kommentieren und bewerten.
Nur angemeldete Plus-Mitglieder können Plus-Inhalte kommentieren und bewerten.