31C3: Biometriesysteme lassen sich leicht umgehen

“Iris-Erkennung ist endgültig kaputt”, sagte Sicherheitsforscher Jan Krissler von der Technischen Universität Berlin, auch bekannt als “starbug” auf dem 31. Jahreskongress (31C3) des Chaos Computer Clubs. Mitglieder haben dort demonstriert, wie einfach sich biometrische Sicherheitssysteme wie Fingerabdruck- und Iris-Scanner umgehen lassen.

Im vergangenen Jahr konnten die Hacker die biometrische Sicherheitsfunktion Touch ID des iPhone 5S mit einem von einer Glasoberfläche abfotografierten Fingerabdruck überlisten. Aus den Fotos erstellten sie einen künstlichen Finger. Beim diesjährigen 31C3 konnten sie beweisen, dass nicht einmal ein angefasster Gegenstand nötig ist, um ein solches System auszutricksen.

Wie Krissler erklärt, reiche es Aufnahmen des fraglichen Fingers mit einer normalen Kamera aus einigen Metern Entfernung zu machen. Sogar eine Handykamera sei dafür ausreichend. Er demonstrierte sein Vorgehen mit einer Aufnahme von Verteidigungsministerin Ursula von der Leyen während einer Pressekonferenz. Das Foto ergänzte er mit Bildern aus unterschiedlichen Blickwinkeln.

Mit der frei verfügbaren Software VeriFinger erstellte er einen klaren Abdruck. Dieser ermöglichte eine Fingerattrappe der Bundesministerin, die sich einsetzen ließe, um Sicherheitssysteme zu überlisten oder falsche Fingerabdrücke an einem Tatort zu hinterlassen.

Wahlplakate für die Iris-Erkennung

Die Iris-Erkennung konnten die Hacker sogar noch einfacher umgehen. Dafür reichen ebenfalls gute Fotos aus einigen Metern Entfernung – selbst Wahlplakate verfügen über eine genügend hohe Auflösung. Ein Ausdruck braucht mindestens eine Auflösung von 1200 dpi.

Krissler zufolge können damit auch Lesegeräte bei Grenzkontrollen ausgetrickst werden. Ihm seien keine nicht überlistbaren Geräte bekannt. Darüber hinaus führte er vor, wie sich auch eine auf “Lebenderkennung” setzende Gesichtserkennung mit geringem Aufwand aushebeln lässt. Dabei führte er einfach einen schmalen Bleistift über das vor das Lesegerät gehaltene Bild, um einen Blinzeleffekt vorzutäuschen.

Als nächstes soll die als sichergeltende Handvenenerkennung genkackt werden. (Bild: Screenshot YouTube-Video “Pay with your hand using vein scanning”, LundUniversity)

Das nächste Ziel von Krissler ist das Aushebeln der Handvenenerkennung. Damit können sich Menschen anhand des Venenmusters ihrer Hand identifizieren. Das Bundesinnenministerium zeigt sich von den Demonstrationen beim 31C3 nicht beeindruckt und hält Zeit Online zufolge weiterhin daran fest, dass Fingerabdrucksysteme sicher seien.

“Nichts gravierend Neues”, machte ein Behördensprecher aus. Auch wenn biometrische Systeme “nicht völlig unüberwindbar” seien, werde das “mindestens aufgefangen durch die Verbesserung der Geräte”. Wie bei Türschlössern komme es auf eine “Kumulation von Sicherheitsvorkehrungen” an – es empfehle sich, Fingerabdruck und andere Identifizierungssysteme zu kombinieren.

[mit Material von Bernd Kling, ZDNet.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Lesen Sie auch : Cisco meldet Hackerangriff
Andre Borbe

Andre ist Jahrgang 1983 und unterstützte von September 2013 bis September 2015 die Redaktion von silicon.de als Volontär. Erste Erfahrungen sammelte er als Werkstudent in den Redaktionen von GMX und web.de. Anschließend absolvierte er ein redaktionelles Praktikum bei Weka Media Publishing. Andre hat erfolgreich ein Studium in politischen Wissenschaften an der Hochschule für Politik in München abgeschlossen. Privat interessiert er sich für Sport, Filme und Computerspiele. Aber die größte Leidenschaft ist die Fotografie.

Recent Posts

Sophos: Automotive-Lieferant wird dreimal Opfer von Cybererpressern

Innerhalb von rund zwei Wochen kompromittieren die Gruppen LockBit, Hive und BlackCat das Netzwerk. Anscheinend…

3 Stunden ago

Deutsche Telekom bleibt auf Kurs

Konzernumsatz klettert zwischen April und Juni um fast sechs Prozent auf rund 28 Milliarden Euro.

4 Stunden ago

Cisco meldet Hackerangriff

Unbekannte dringen in das Netzwerk des Unternehmens ein. Zuvor hacken sie das Google-Konto eines Cisco-Mitarbeiters…

5 Stunden ago

Im Blindflug in Richtung Nachhaltigkeit

Eine Mehrheit der deutschen Unternehmen will klimaneutral werden. Aber wie? Für eine Antwort fehlen ihnen…

20 Stunden ago

Unternehmen unterschätzen Cyberrisiken durch vernetzte Partner und Lieferanten

Firmen stufen Sicherheitsrisiken ihrer Partner in digitalen Ökosystemen und Lieferketten als wenig besorgniserregend ein.

20 Stunden ago

Silicon DE im Fokus Podcast: Microsoft und der Mittelstand

Im Silicon DE Podcast erläutert Oliver Gürtler, Leiter des Mittelstandsgeschäfts bei Microsoft Deutschland, im Gespräch…

22 Stunden ago