31C3: Chaos Computer Club demonstriert Schwachstellen bei Fingerabdruck- und Iris-Scannern

Um eine Fingerattrappe zu erzeugen und Fingerabdruckscanner zu überlisten, reichen den Mitgliedern des CCC Fotos aus mehreren Metern Entfernung. Auch Iris-Scanner lassen sich ihnen zufolge leicht aushebeln.

Auf ihrem 31. Jahreskongress (31C3) haben jetzt Mitglieder des Chaos Computer Clubs eindrucksvoll gezeigt, wie leicht biometrische Sicherheitssysteme wie Fingerabdruck- und Iris-Scanner zu überlisten sind.

iPhone mit Touch ID (Bild: CNET)

iPhone mit Touch ID (Bild: CNET)

Bei ihrem letztjährigen Chaos Communication Congress überlisteten die Hacker die mit dem iPhone 5S eingeführte biometrische Sicherheitsfunktion Touch ID mit einem von einer Glasoberfläche abfotografierten Fingerabdruck und einem damit geschaffenen künstlichen Finger. Beim diesjährigen 31C3 gingen sie noch einen Schritt weiter und bewiesen, dass zum Austricksen eines solchen Systems nicht einmal ein angefasster Gegenstand erforderlich ist.

„Iris-Erkennung ist endgültig kaputt“, sagte Sicherheitsforscher Jan Krissler von der Technischen Universität Berlin, in Hackerkreisen auch als „starbug“ bekannt. Ihm zufolge genügen vielmehr Fotos, die mit einer regulären Kamera aus einigen Metern Entfernung gemacht wurden und den fraglichen Finger zeigen – selbst eine Handykamera soll dafür ausreichen. Für seine Demonstration nutzte er eine Aufnahme von Verteidigungsministerin Ursula von der Leyen, die bei einer Pressekonferenz entstand, und ergänzte sie mit Informationen von anderen Fotos aus unterschiedlichen Blickwinkeln. Mithilfe der frei erhältlichen Software VeriFinger entstand ein klarer Abdruck, der sich zur Schaffung einer Fingerattrappe der Bundesministerin eignete. Damit wiederum könnten Sicherheitssysteme überlistet oder auch falsche Fingerabdrücke an einem Tatort hinterlassen werden.

Die Iris-Erkennung machte den Hackern eher noch weniger Schwierigkeiten. Um sie zu überlisten, genügen gute Fotos aus einigen Metern Entfernung – und selbst Wahlplakate bringen eine genügend hohe Auflösung mit. Erforderlich ist ein Ausdruck mit der Auflösung von 1200 dpi. Wie Krissler sagte, sind damit selbst zur Grenzsicherung eingesetzte Lesegeräte auszutricksen – ihm seien keine nicht überlistbaren Geräte bekannt. Er demonstrierte außerdem, dass sich auch eine auf „Lebenderkennung“ setzende Gesichtserkennung mit geringem Aufwand aushebeln lässt. Dabei führte er einfach einen schmalen Bleistift über das vor das Lesegerät gehaltene Bild, um einen Blinzeleffekt vorzutäuschen.

Als nächstes Biometriesystem hat sich Jan Krissler die Überlistung der Handvenenerkennung vorgenommen, bei denen Menschen durch das Venenmuster ihrer Hand identifiziert werden. Nicht überzeugen von seinen Demonstrationen beim 31C3 ließ sich das Bundesinnenministerium und beharrte gegenüber Zeit Online darauf, dass Fingerabdrucksysteme weiterhin sicher seien. „Nichts gravierend Neues“, machte ein Behördensprecher aus. Auch wenn biometrische Systeme „nicht völlig unüberwindbar“ seien, werde das „mindestens aufgefangen durch die Verbesserung der Geräte“. Wie bei Türschlössern komme es auf eine „Kumulation von Sicherheitsvorkehrungen“ an – es empfehle sich, Fingerabdruck und andere Identifizierungssysteme zu kombinieren.

[Mit Material von Bernd Kling, ZDNet.de]

Anja Schmoll-Trautmann
Autor: Anja Schmoll-Trautmann
Redakteurin
Anja Schmoll-Trautmann Anja Schmoll-Trautmann Anja Schmoll-Trautmann

Neueste Kommentare 

Eine Kommentar zu 31C3: Chaos Computer Club demonstriert Schwachstellen bei Fingerabdruck- und Iris-Scannern

  • Am 30. Dezember 2014 um 14:50 von Manuel Bonik

    Immer wieder das böse digitale „Neuland“. Eine Zeitlang hatte ich gehofft, dass das durch die Piraten-Partei besser wird – allein schon dadurch, dass sie andere Parteien zwingt, Kompetenz aufzubauen -, war aber nicht (gibt’s die Piraten eigentlich noch?). Auch der NSA-Skandal – kam da mehr als Kopf in den Sand? Realitätsverweigerung stärkt nicht gerade das Vertrauen in die Politik.

Schreib einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *