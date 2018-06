Biometrie und Sicherheit passen nicht zusammen. Findet jedenfalls Jan Krissler. Der Forscher von der TU Berlin demonstrierte am Samstagabend beim 31. Chaos Communication Congress (31C3), wie haarsträubend einfach Systeme auszuhebeln sind, die biometrische Merkmale zur Authentifizierung verwenden.



Um einen Fingerabdruck zu fälschen, reicht ihm ein hochauflösendes Foto, zum Beispiel eines von den Händen von Bundesverteidigungsministerin Ursula von der Leyen. Das zu besorgen, ist für einen Fotografen kein größeres Problem. Schon ein Objektiv mit einer Brennweite von zweihundert Millimetern reicht, um geeignete Bilder selbst aus sechs Metern Entfernung zu machen. Der Abdruck kann dann für eine Attrappe genutzt werden.



Andere Sicherheitssysteme verwenden nicht den Finger als biometrisches Merkmal, sondern die Iris oder das Gesicht. Aber auch die sind mit guten Fotos problemlos zu täuschen. Mitunter reicht es, Fotos mit hoher Auflösung (1.200 dpi) auszudrucken und vor den Irisscanner beziehungsweise die Kamera zu halten. Krissler zeigt das am Beispiel der Software KeyLemon. Die entsperrt einen Rechner auf Wunsch nur nach Gesichtsabgleich, fällt aber auch auf ein Foto herein.

Der Biometrieforscher weist nebenbei darauf hin, dass ein Angreifer solche Fotos nicht unbedingt selbst machen muss. Von vielen Menschen gibt es geeignete Bilder im Netz. Von Politikern wie Angela Merkel etwa finden sich dort qualitativ hochwertige Wahlplakate – eine exzellente Vorlage. Der Ausdruck muss nur gut genug sein, bei 600 dpi klappt es meist nicht.



Noch absurder wird es, wenn der Angreifer auf das Smartphone seines Opfers zugreifen kann, genauer gesagt auf die Kamera. Dann braucht das Opfer den Finger nur kurz über das Gerät zu halten. Unter Laborbedingungen hat es Krissler geschafft, mithilfe einer präparierten App ein Bild des Fingers zu machen. Auch das reichte aus, um eine funktionierende Fingerabdruckattrappe herzustellen. Krissler kommt dabei zugute, dass heutige Smartphonekameras zum Teil 13 Megapixel Auflösung und mehr bieten. Sogar die schwächeren Frontkameras werden immer besser, um sie für Selfies und Videotelefonie nutzen zu können.



Unter Umständen reicht das dann für einen Trick, für den Krissler beim 31C3 großen Applaus bekommt: In Fotos, die mit der Frontkamera gemacht werden, spiegelt sich das Display des Smartphones in der Pupille des Nutzers. Reicht die Auflösung, kann Krissler im Zoom erkennen, wie der Finger des Nutzers die PIN eingibt. "Videos sind in der Regel weniger hoch aufgelöst", sagt er im Gespräch mit ZEIT ONLINE. "Deswegen ist es aus Sicht eines Angreifers sinnvoller, mehrere Fotos pro Sekunde zu machen. Oder man löst die Kamera immer dann aus, wenn das Gyroskop im Smartphone die PIN-Eingabe, also das Tippen auf dem Display registriert." Noch sei das ein wenig in die Zukunft gedacht, weil die meisten Frontkameras nur mit 1,2 bis zwei Megapixel auflösen. Aber dass es prinzipiell funktioniert, hat Krissel bereits zusammen mit Tobias Fiebig und Ronny Hänsch in einer Forschungsarbeit mit dem Titel Security Impact of High Resolution Smartphone Cameras beschrieben.

Kontaktlinsen mit Infrarotfarbe

Während des Gesprächs hat er schon die nächsten Ideen: "Man kann sich auch Kontaktlinsen bemalen lassen, das ist weniger auffällig, als ein Foto vor eine Kamera zu halten." Solche Irislinsen gibt es bereits zu kaufen, sie sind allerdings teuer. Geld dürfte für entschlossene Gegner jedoch kein Hindernis darstellen. Ausprobiert hat Krissler den Trick noch nicht. "Aber man kann die Strukturen einer Iris sehr fein nachmalen. Ich bin relativ sicher, dass es funktionieren würde."



Dann fängt Krissler an, laut über holografische Kontaktlinsen nachzudenken: "Es gibt Holografie, die auf eine definierte Wellenlänge ausgerichtet ist. Man sieht das Hologramm also nur, wenn man es aktiv mit Licht dieser Wellenlänge beleuchtet." Eine entsprechend präparierte Kontaktlinse würde in Weißlicht ganz normal aussehen. Im typischen Infrarotlicht eines Irisscanners dagegen würde das Hologram auf der Linse sichtbar werden und die Iriserkennung austricksen können.



Jetzt ist der Berliner Forscher in Fahrt: "Man kann die Kontaktlinse natürlich auch mit Infrarotfarbe bedrucken, das ist noch viel einfacher! Die ist im normalen Licht nicht zu sehen, aber im Infrarotlicht des Scanners. Warte, das muss ich mir aufschreiben. Ich glaube, das werde ich mal ausprobieren."