Ursula von der Leyen hat schöne Hände. Und sie nutzt sie geschickt, um ihre politischen Botschaften zu vermitteln. Wenn die Verteidigungsministerin spricht, unterstreicht sie ihre Worte oft mit raumgreifenden Gesten. Offene Handflächen, gespreizte Finger – ständig ist sie in Bewegung. Aus Sicht der politischen Kommunikation ist das klug, es wirkt tatkräftig und zupackend. Geht es jedoch um ihre persönliche Sicherheit, sollte die Ministerin lieber die Fäuste ballen. Denn sonst macht sie ihre Fingerabdrücke jedem zugänglich. Schon ein Foto ihrer offenen Hände reicht aus, um ihre Fingerabdrücke extrahieren und kopieren zu können. Das haben zwei Berliner Wissenschaftler ZEIT ONLINE demonstriert.

Jan Krissler und Tobias Fiebig erforschen an der Technischen Universität Berlin Sicherheitsverfahren. Sie sind Hacker und suchen nach Schwachstellen, um die Verfahren besser zu machen. Vor allem Krissler beschäftigt sich seit Jahren auch mit biometrischen Methoden, also damit, wie messbare Merkmale menschlicher Körper ausgelesen werden können. Er zeigte 2008 am Beispiel des damaligen Innenministers Wolfgang Schäuble, wie leicht sich ein achtlos auf einem Wasserglas hinterlassener Fingerabdruck sichern, kopieren und missbrauchen lässt.

Nun hat Krissler die Methode weiterentwickelt und kann die Abdrücke sogar aus Fotos abnehmen. Er braucht keinen physischen Kontakt mehr, um diese persönlichen und eindeutigen Daten einzusammeln. Als Beleg dient ihm unter anderem der rechte Daumenabdruck von Ursula von der Leyen.

Die Ministerin hatte am 29. Oktober in der Bundespressekonferenz ihre Attraktivitätsoffensive für die Bundeswehr vorgestellt. Die Bundespressekonferenz ist ein journalistischer Verein, der regelmäßig Politiker einlädt, um ihre Themen zu diskutieren. Eine dreiviertel Stunde lang redete von der Leyen dort mit Worten und Händen über bessere Bezahlung und flexiblere Dienstmodelle.

Ursula von der Leyens rechter Daumen

Die erste Stuhlreihe der Bundespressekonferenz ist für Fotografen reserviert. Nur zwei bis drei Meter sind es von ihren Linsen bis zu den Politikern auf der Bühne. Das genügte. Einer der Fotografen machte ein Bild von Ursula von der Leyens rechter Hand. Er nutzte ein Objektiv mit einer Brennweite von zweihundert Millimetern, ein Standardobjektiv für Pressefotografen.

Mit VeriFinger, einer Software, die jeder für weniger als 400 Euro kaufen kann, und etwas Handarbeit wandelte Krissler den Abdruck aus dem Foto in einen klaren und eindeutigen Fingerabdruck um. Er könnte diesen nun auf eine Attrappe drucken und damit Fingerabdruckscannern vorgaukeln, er sei die Ministerin – sei es am iPhone oder an einer automatisierten Grenzkontrolle. Oder er könnte ihren Abdruck an einem Tatort hinterlassen und sie so zu einer Verdächtigen machen.

"Mit der Sicherheit von Fingerabdrucksystemen ist es damit endgültig vorbei", sagt Krissler. "Man kann nahezu unbemerkt an Fingerabdrücke jeder Person kommen, um daraus Attrappen zu bauen." Für eine solche Attrappe braucht es lediglich Folie, einen Drucker und Holzleim. Schon lässt sich ein falscher Fingerabdruck herstellen, den man auf den eigenen Finger kleben kann. Diese Attrappen genügen, um gebräuchliche Fingerscanner zu überlisten.

Krissler ist im Chaos Computer Club aktiv, der sich seit langer Zeit mit den Risiken der Biometrie beschäftigt. Er wird seine Ergebnisse auf dem 31C3, dem Jahreskongress des Clubs in Hamburg vorstellen. Sie belegen abermals, wie gefährlich die Idee war, die Fingerabdrücke jedes deutschen Bürgers zu sammeln und im Reisepass und – freiwillig – auch im Personalausweis zu speichern.

Seit Beginn des 20. Jahrhunderts gelten Fingerabdrücke als eindeutiges Merkmal der Identität. Die Wirbel, Schlaufen, Endpunkte und Kreuzungen in den Hautleisten auf den Fingerkuppen, Minutien genannt, sind so einzigartig, dass sich mit ihnen jeder Mensch eindeutig identifizieren lässt. Vor Gericht genügen schon vierzehn Übereinstimmungen zwischen zwei Abdrücken, also mitunter schon ein Teilabdruck, um jemanden zu verurteilen – so typisch sind die Muster.

Fingerabdrücke sind kein Sicherheitsmerkmal

Screenshot der Software VeriFinger mit dem Fingerabdruck Ursula von der Leyens © Jan Krissler

In Deutschland werden Fingerabdrücke seit 1903 dazu verwendet, Täter zu identifizieren. Damals begann der Dresdner Polizeipräsident Paul Koettig, eine entsprechende Sammlung aufzubauen. Seitdem gilt die Daktyloskopie als eine der wichtigsten Waffen von Kriminalisten, auch wenn der genetische Code wichtiger wird. Die größte Datei dieser Art besitzt das Bundeskriminalamt, seit 1993 gibt es dort das Automatisierte Fingerabdruck-Identifizierungs-System (AFIS). Nach Angaben des BKA sind darin 2,8 Millionen Fingerabdruckblätter gespeichert, die jeweils einen bis zehn Abdrücke enthalten können.

Der Wert von Fingerabdrücken bei der Suche nach Straftätern ist unstrittig. Das aber hat in den vergangenen Jahren zu einem Missverständnis geführt: Zu dem Glauben, sie würden deshalb auch dazu taugen, Pässe, Türschlösser oder Smartphones sicherer zu machen. Das tun sie nicht, wie Krissler nun beweist. Zu leicht lassen sich die Fingerabdrücke von fremden Menschen beschaffen und missbrauchen, um solche Sicherungen zu knacken. Die Fotofinger zeigen das eindrücklich.

200-Millimeter-Teleobjektiv

Zudem haben Betroffene das Problem, dass sie ihren "Schlüssel" nicht beliebig oft ersetzen können. Passworte lassen sich ändern, Fingerabdrücke nicht. Sind erst einmal alle zehn Fingerbilder in den Händen von Unbefugten, sind sie zur Sicherung wertlos. Dass Fingerabdrücke in der Debatte um biometrische Ausweise als Sicherheitsmerkmal bezeichnet wurden, wirkt angesichts dessen absurd. Schlimmer noch: Die Methode, die Krissler entwickelt hat, lässt sich auch dazu nutzen, Fingerabdrücke anderer Menschen eben an Orten zu hinterlassen, die diese niemals betreten haben.

Im Auftrag von ZEIT ONLINE haben Fotografen versucht, weitere Fingerabdrücke von Politikern zu sammeln. Zugegeben, in der Praxis ist das nicht ganz so leicht. Unter Laborbedingungen können auch Laien noch aus sechs oder sieben Metern Entfernung problemlos Fotos machen, auf denen sich die Abdrücke identifizieren lassen. Bei Veranstaltungen, wo das Licht diffus ist und Menschen sich bewegen, ist das mühsamer. Aber es funktioniert, wie die Versuche gezeigt haben.

Dazu braucht es ein Teleobjektiv, eine Kamera, deren Bildsensor einige Megapixel Auflösung hat, und guten Lichteinfall. Denn das Bild der Finger muss scharf sein. Das ist bei großer Brennweite nicht leicht, weil die Fotos dann kaum noch Tiefenschärfe besitzen. Außerdem müssen die Finger direkt von vorne fotografiert werden. Gelingt das, kann Krissler die Fingerabdrücke scannen und anschließend manuell nachbarbeiten, um daraus einen Abdruck zu machen.

Merkel-Raute schützt vor Abdruckscan

Schwer fiel es, ein entsprechendes Foto von den Fingern der Bundeskanzlerin zu machen. Angela Merkel gestikuliert wenig, sie versteckt ihre Hände geradezu. Auch ihre Technik, alle Finger zur Raute aneinanderzulegen, erwies sich als guter Schutz gegen das Ausspähen. Aus Sicht der Sicherheit ist die Haltung nur jedem zu raten. Innenminister Thomas de Maizère hingegen ließ sich leichter ablichten und auswerten. Auch er gestikuliert beim Reden, vor allem sein Daumen ist oft genug gut sichtbar.

Die Hände der Bundeskanzlerin sind schwer zu fotografieren, dieses Bild hier genügte nicht für einen Fingerabdruck. © ZEIT ONLINE

Krissler ist vermutlich nicht der Erste, der auf diese Idee kam. Die Digitale Fotografie kann die nötigen hohen Auflösungen schon seit einigen Jahren liefern, auch die Software zum Umwandeln in klare Abdrücke ist alt.

Mit hoher Wahrscheinlichkeit nutzen Geheimdienste solche Verfahren längst. Der Bundesnachrichtendienst jedenfalls will biometrische Verfahren in den kommenden Jahren genauer erforschen. Er plant gleich mehrere Projekte dazu, wie aus geheimen Haushaltsunterlagen hevorgeht, die ZEIT ONLINE ausgewertet hat.

Krissler denkt derweil darüber nach, wie sich die Methode verbessern lässt. Zur Analyse wandelt er die Fotos in Schwarzweiß-Bilder um, um den Kontrast zu erhöhen. Das brachte ihn auf die Idee, von vornherein eine kontrastreichere Methode zu verwenden. So kam er auf Infrarotkameras, die noch viel bessere Ergebnisse liefern. Vor allem, wenn sie mit einem Infrarotblitz ausgestattet sind.

"Man kann Politikern nur empfehlen, in der Öffentlichkeit künftig immer Handschuhe zu tragen", sagt Krissler und lacht. Auch Sonnenbrillen wären nicht schlecht. Denn Scans der Augen lassen sich aus Fotos ebenfalls problemlos fertigen, wie Krissler und Fiebig zeigen können. Noch sind solche Irisbilder nicht sehr verbreitet und werden selten eingesetzt. Doch auch sie gelten fälschlicherweise als Sicherheitsmerkmal.

Haben Sie Informationen zu diesem Thema? Oder zu anderen Vorgängen in Politik und Wirtschaft, von denen Sie finden, dass die Öffentlichkeit sie erfahren sollte? Wir sind dankbar für jeden Hinweis. Dokumente, Daten oder Fotos können Sie hier in unserem anonymen Briefkasten deponieren.