Sicher dank Iris- & Fingerabdruck-Scanner?

Wie Biometrie-Hacker uns mit uns selbst betrügen

Thomas Wespel ist seit 2011 Geschäftsführer der Avast Software Deutschland GmbH. Zuvor war er ab 2006 als Chief Software Architekt und ab 2007 als Entwicklungsleiter bei Avira tätig. Bereits während seines Studiums hat Thomas Wespel seine erste eigene Firma namens TAO Computersysteme GmbH gegründet und war als technischer Geschäftsführer tätig. Mit dieser Firma spezialisierte er sich auf Windows NT und Novell Netware Vernetzungen. Im Jahr 1998 verkaufte er die TAO Computersysteme GmbH und gründete die datapol GmbH. Auch hier war er als technischer Geschäftsführer für den Bereich Entwicklung innovativer Security- und Recovery Software für Windows verantwortlich. In seiner Freizeit ist er gerne mit seinem Motorrad in den Alpen unterwegs – und er interessiert sich für die Börse und Aktien, sowie für Sachbücher und Biografien.
Sie halten Fingerabdruck-, Retina- und Stimm-Scanner für den Security-Stein der Weisen? Lassen Sie sich eines Besseren belehren.

Jeder, der schon einmal einen Spionage-Thriller oder einen Science-Fiction-Film gesehen hat, kennt dieses Szenario: Der Held trickst das biometrische Sicherheitssystem seines Gegenspielers mithilfe von Make-Up, einer Perücke, eines Kostüms oder - etwas raffinierter - mit Latex-Fingerabdrücken aus. Das Imitieren von Stimmen nicht zu vergessen. "Ist doch alles nur ein Film", mag mancher jetzt vielleicht argumentieren. Und doch stellt man sich die Frage: Lassen sich biometrische Security-Systeme wie Fingerabdruck- oder Iris-Scanner wirklich nur mit ein wenig Make-up oder einstudierten Imitationen überlisten?

Wie sicher sind biometrische Security-Systeme wirklich?
Wie sicher sind biometrische Security-Systeme wirklich?
Foto: HQuality - shutterstock.com

Biometrik-Hack: Wie im Film?

Die Identifikation über biometrische Daten - also die Verifizierung der Identität einer Person durch Stimmerkennung, einen Retina- oder Fingerabdruck-Scanner - gehört für viele Unternehmen inzwischen zum guten Ton. Und das aus gutem Grund: Obwohl es eigentlich ein alter Hut sein sollte, nutzen die meisten Verbraucher auch heute noch keine sicheren Passwörter oder PIN-Kombinationen.

Die Idee hinter der Verschlüsselung über Biometrie ist relativ einfach: Unsere biometrischen Daten, Gesicht, Stimme, Augen und Fingerabdrücke sind individuelle Identifikationsmerkmale und bei jedem Menschen einzigartig. In der Theorie sollte demnach ein hohes Sicherheitslevel garantiert sein. In der Praxis kann die Technologie das aber leider (noch) nicht sicher umsetzen.

Was für viele filmische Utopien sind, ist für findige Hacker heutzutage kein Problem mehr. Aber auch Sicherheitsexperten haben bereits mehrfach aufgezeigt, dass biometrische Security-Systeme mithilfe von - technisch relativ simplen - Tricks umgangen werden können.

Fingerabdruck-, Iris- & Stimm-Hacks: Die Tricks der Kriminellen

Es sind nicht zu leugnende Indizien dafür, dass die Nutzung von biometrischen Daten zur Sicherung von IT-Systemen noch einiges an Intelligenz zulegen müssen. Wir haben die gängigen Methoden der kriminellen Biometrik-Hacker für Sie zusammengefasst:

Fotos und Ausdrucke

Wer regelmäßig Selfies postet, könnte das demnächst bereuen. Denn sowohl Hacker als auch Sicherheitsexperten konnten biometrische Sicherheitslösungen mithilfe von einfachen Fotos überlisten. Es gab sogar Behauptungen, dass Retina- und Iris-Scanner mithilfe von hochauflösenden Detailfotos eines menschlichen Auges ausgehebelt wurden. Und Wissenschaftler der Michigan State University zeigten auf, dass auch gedruckte Fingerabdrücke zum Hacken des Fingerabdruck-Scanners von Smartphones verwendet werden können. Der Ausdruck wurde mit einem Tintenstrahldrucker und leitfähiger Silbertinte angefertigt.

HD-Video

Die Berichte über solche Foto-Hacks haben dazu geführt, dass Hersteller von Systemen zur Gesichtserkennung nun einen "Blinzeltest" in ihre Lösungen einbauen. So soll sichergestellt werden, dass das System nicht mit einer Fotografie überlistet werden kann. Kurz darauf bewiesen White-Hat- und Black-Hat-Hacker, dass die Videoaufnahme einer blinzelnden Person in HD-Qualität ausreicht, um einige Geräte mit "Blinzeltest" zu entsperren.

Modelliermasse

Das Problem mit Fingerabdrücken ist bekanntlich, dass wir sie auf den meisten Gegenständen hinterlassen. Jeder hat schon einmal einen Krimi oder Spionagefilm gesehen, in dem mit einem einfachen Klebeband Fingerabdrücke vom Tatort genommen wurden. Es sind Fälle von Wissenschaftlern bekannt, die Zahnabdruckmasse und Modelliermasse verwendeten, um einen außergewöhnlich gut gefälschten Fingerabdruck zu erstellen. Mit diesem gelang es innerhalb von nur fünf Minuten iPhone 6 und Samsung Galaxy S6 Edge zu entsperren.

"Stimmdiebstahl"

Ein Passwort ist ein binärer Sicherheitstest: Entweder man kennt es oder man kennt es nicht. Auf die Stimmerkennung trifft das allerdings nicht zu, denn unsere Stimme verändert sich unter verschiedenen Umständen: zum Beispiel, wenn man krank oder gestresst ist oder wenn man sich in einer lauten oder leisen Umgebung befindet. Tendenziell berücksichtigt die Technologie zur Stimmerkennung gewisse "Fehlermargen", um die Stimme trotz dieser natürlichen Schwankungen zu erkennen. Hacker konnten auch diese Sicherheitsmaßnahme überlisten. Und zwar indem man die benötigte Stimme überzeugend nachahmt. Dazu reicht bereits eine kurze Stimmaufnahme, an die kriminelle Hacker entweder durch einen mitgeschnittenen Spam-Anruf oder durch den Diebstahl einer Mailbox-Nachricht gelangen könnten.

Darüber hinaus gibt es ein weiteres allgemeineres Sicherheitsrisiko im Hinblick auf die Stimmerkennung in Form einer ganzen Reihe smarter Devices, die gesprochene Sätze aufzeichnen und dem Hersteller zur Verfügung stellen. Dazu gehören zum Beispiel IoT-Geräte wie Smart-TVs oder auch digitale Spielzeuge wie "Hello Barbie". Geräte, die ununterbrochen auf Sprachanweisungen "hören", können potenziell auch dazu verwendet werden, private Gespräche mit- oder abzuhören.

So schützen Sie Ihre biometrischen Daten

Die technologische Herausforderung besteht darin, die Verifizierung für den autorisierten Nutzer so einfach wie möglich zu gestalten. Und auf der anderen Seite den kriminellen Hackern das Selbige so schwer wie möglich zu machen. Am besten lässt sich dies mit einem - mindestens - zweistufigen Authentifizierungs-Verfahren umsetzen. Je wichtiger die Daten, desto mehr Schritte sollten vor dem Zugriff zwischengeschaltet sein.

Gleichzeitig sollten Sie sowohl an Kunden als auch an Ihre Mitarbeiter appellieren, die grundlegende Sicherheit zu verbessern und etwa statt herkömmlichen Passwörtern Passphrasen zu verwenden. Zur Erstellung einer Passphrase wird ein Satz verwendet, an den sich der Nutzer gut erinnern kann. Aus den Anfangsbuchstaben sowie aus den enthaltenen Ziffern und Symbolen wird dann ein Passwort erstellt.

Um unsere Daten und Informationen wirklich zu schützen, wird auch in Zukunft erstmal mehr als ein einziger bequemer Schritt notwendig sein. Sicherheitsunternehmen arbeiten stets an neuen Lösungen, aber auch kriminelle Hacker sind immer auf dem neusten Stand und nehmen die Herausforderung gerne an, diese Sicherheitsbarrieren möglichst schnell zu durchbrechen. (fm)