Read the English version of this article here.

Mit einer Pinzette fischt Jan Krissler eine Kontaktlinse aus der Espressotasse, die auf seinem Schreibtisch steht, und lässt kurz das Wasser von ihr abtropfen. Dann legt er die kleine Linse auf ein Foto seines Auges, das er sich zuvor ausgedruckt hatte. Das Foto samt der Linse hält er anschließend vor die Kamera seines neuen Handys. Das Gerät reagiert sofort: Das Samsung Galaxy S8 hebt die Bildschirmsperre auf. Es ist überzeugt, der lebendige Jan Krissler sitze vor ihm und wolle es nun benutzen.

Krissler ist Doktorand an der Technischen Universität Berlin, und er ist Mitglied im Chaos Computer Club. Seit vielen Jahren beschäftigt er sich mit Biometrie, also mit all jenen Merkmalen, die Computer erkennen und nutzen können, um Menschen zu identifizieren. Krissler hat als Erster den Fingerabdruckscanner des iPhone ausgehebelt. Er hat nachgewiesen, wie sich mithilfe normaler Fotos die Fingerabdrücke beispielsweise von Politikern kopieren und damit stehlen lassen. Und nun kam er auf den simplen, aber effektiven Trick mit der Kontaktlinse.

Denn es genügt nicht, allein ein Auge zu fotografieren und dieses Foto vor die Iriserkennung des Telefons zu halten. Die Kamera im Gerät erkennt, dass das Bild flach ist und nicht gekrümmt wie der Augapfel. Diese Krümmung simuliert Krissler mit der Kontaktlinse, die es für wenige Euro zu kaufen gibt.

Der Irisscanner wird als besonders sicher angepriesen

Es klingt wie ein Witz, doch so einfach lässt sich die Sicherheitssperre des 800 Euro teuren Mobiltelefons der neuesten Generation austricksen. Samsung bewirbt den Augenscanner im Galaxy S8 mit großen Worten: Man habe eine effektive und trotzdem bequeme Technik zum Schutz der Privatsphäre geschaffen. Die Muster in der menschlichen Iris seien einzigartig und daher "so gut wie fälschungssicher", schreibt der Hersteller auf seiner Website. Deshalb sei die Iriserkennung "eine der sichersten Arten, Ihr Smartphone und Ihre privaten Daten zu schützen".

Von diesen Aussagen stimmt nur eine: Die menschliche Iris ist genau wie der Fingerabdruck einzigartig, kein zweiter Mensch trägt dasselbe Muster. Selbst eineiige Zwillinge haben unterschiedliche Augen. Anhand von Fingerkuppen und Iris können Menschen daher mit großer Sicherheit voneinander unterschieden werden. Deshalb nutzten Ermittler weltweit seit mehr als einhundert Jahren Fingerabdruckdatenbanken, um Kriminellen ihre Taten nachzuweisen. Augenstrukturen sind, was die korrekte Wiedererkennungsrate angeht, sogar noch viel genauer als Fingerabdrücke. Das bedeutet aber nicht, dass sie auch als Zugangssperre taugen.

Biometrie - Wie das Galaxy S8 ausgetrickst wird Im Video zeigt Jan Krissler vom Chaos Computer Club das Verfahren. Benötigt werden Drucker, Kontaktlinse und eine Kamera ohne IR-Sperrfilter vor dem Sensor. © Foto: Chaos Computer Club

Der Irisscanner des S8 nutzt den sogenannten nahen Infrarotbereich, um das Auge zu vermessen, also eine Wellenlänge von 850 Nanometer. Daher spielt die sichtbare Augenfarbe keine Rolle. Die feinen Linien und Punkte, die sich auf der menschlichen Iris finden, werden von der Kamera als helle und dunkle Flächen wahrgenommen und in digitale Werte umgewandelt. So entsteht ein Muster, das der Scanner mit der vorher gespeicherten Augenstruktur des Besitzers vergleicht.

Krissler fotografierte sein Auge mit einer Kamera, die einen Infrarotfilter hat, die also das sichtbare Licht herausfiltert und nur den nahen Infrarotbereich aufnimmt. Um ein besseres Ergebnis zu bekommen, leuchtete er sein Auge zusätzlich mit einem Infrarotstrahler an, so wie es auch das Handy macht, wenn es die Augen scannt. Dieses Infrarotlicht können Menschen nicht sehen, sodass es möglich ist, ihr Augenmuster zu fotografieren, ohne dass sie es mitbekommen. Dank einer Kamera mit entsprechendem Objektiv funktioniert das auch aus mehreren Metern Entfernung.

Dass Krissler eigentlich braune Augen hat, ist aufgrund der Infrarottechnik auf dem späteren Ausdruck nicht mehr zu erkennen. Das Foto zeigt nur noch graublaue Schatten und Umrisse. Für die Smartphonekamera sieht es so aus, als hätte sie es selbst geschossen. Das Bild hat der Forscher auf einem handelsüblichen Drucker auf normalem Papier ausgedruckt. Zusammen mit der Kontaktlinse wird daraus dann eine Kopie seiner Identität. Die öffnete das Smartphone am zuverlässigsten, wenn auch der Drucker von Samsung war. Erklären kann sich Krissler das nicht, er hat es eher durch Zufall herausgefunden.