Das Bundesinnenministerium (BMI) widerspricht den Erkenntnissen zweier Berliner Wissenschaftler über schwerwiegende Sicherheitslücken in Fingerabdrucksystemen, wie sie im Reisepass und Personalausweis verwendet werden. "Nichts gravierend Neues" seien die Berichte über das Hacken von Fingerabdrücken, sagte ein Sprecher des Ministeriums ZEIT ONLINE. Er bestritt die Behauptung von Forschern der TU Berlin, dass Fingerscanner mit Attrappen getäuscht werden könnten: "Die Geräte haben sich auch verbessert und erkennen durchaus, ob das ein echter Fingerabdruck oder eine Attrappe ist." Mit der Sicherheit dieser Systeme sei es nicht vorbei, auch wenn deren Vorkehrungen "nicht völlig unüberwindbar" seien.

Der bloße Besitz eines fremden Fingerabdrucks reiche schließlich nicht, um sich eine Manipulation zu erschleichen, so der Sprecher. Außerdem hätten die Attrappen eine hohe Fehlerquote. Auch eine neue Qualität des Problems durch den technischen Fortschritt vermag das Innenministerium nicht zu erkennen: "Der wird mindestens aufgefangen durch die Verbesserung der Geräte. Im Übrigen gilt wie bei Türschlössern: Die Kumulation von Sicherheitsvorkehrungen ist wirksam." Es komme darauf an, den Fingerabdruck mit anderen Identifizierungssystemen zu kombinieren.

Zwei Wissenschaftler der Technischen Universität Berlin hatten ZEIT ONLINE demonstriert, wie leicht Fingerabdrücke von Fotos extrahiert, kopiert und für Attrappen verwendet werden können. Solche Attrappen seien geeignet, die Fingerscanner am iPhone oder bei automatisierten Grenzkontrollen zu überlisten, sagte Jan Krissler, der die Schwachstellen von Sicherheitsverfahren erforscht. Aus einem Foto der offenen Hände von Ursula von der Leyen erzeugte Krissler mithilfe einer handelsüblichen Software einen klaren Daumenabdruck der Verteidigungsministerin.

Physischer Kontakt ist nicht mehr nötig

"Mit der Sicherheit von Fingerabdrucksystemen ist es damit endgültig vorbei", hatte Krissler gesagt, der im Chaos Computer Club aktiv ist und sich seit Jahren mit den Risiken der Biometrie beschäftigt: "Man kann nahezu unbemerkt an Fingerabdrücke jeder Person kommen, um daraus Attrappen zu bauen." Krissler hatte 2008 einen Fingerabdruck des damaligen Innenministers Wolfgang Schäuble (CDU) auf einem Wasserglas kopiert; inzwischen ist nach seiner Überzeugung gar kein physischer Kontakt mehr nötig, um diese persönlichen Daten einzusammeln.

Bei einem Vortrag beim 31. Chaos Communication Congress am Samstag in Hamburg schilderte Jan Krissler eine weitere eklatante Sicherheitslücke: Um einen Irisscanner zu überlisten, genüge ein Foto der Augenpartie mit hoher Auflösung. Der Angreifer müsse das Foto nicht unbedingt selber machen, denn viele passende Bilder seien im Netz verfügbar; qualitativ hochwertige Wahlplakate von Angela Merkel seien zum Beispiel eine exzellente Vorlage.