Read the English version of this article here.

Mit einer Pinzette fischt Jan Krissler eine Kontaktlinse aus der Espressotasse, die auf seinem Schreibtisch steht, und lässt kurz das Wasser von ihr abtropfen. Dann legt er die kleine Linse auf ein Foto seines Auges, das er sich zuvor ausgedruckt hatte. Das Foto samt der Linse hält er anschließend vor die Kamera seines neuen Handys. Das Gerät reagiert sofort: Das Samsung Galaxy S8 hebt die Bildschirmsperre auf. Es ist überzeugt, der lebendige Jan Krissler sitze vor ihm und wolle es nun benutzen.

Krissler ist Doktorand an der Technischen Universität Berlin, und er ist Mitglied im Chaos Computer Club. Seit vielen Jahren beschäftigt er sich mit Biometrie, also mit all jenen Merkmalen, die Computer erkennen und nutzen können, um Menschen zu identifizieren. Krissler hat als Erster den Fingerabdruckscanner des iPhone ausgehebelt. Er hat nachgewiesen, wie sich mithilfe normaler Fotos die Fingerabdrücke beispielsweise von Politikern kopieren und damit stehlen lassen. Und nun kam er auf den simplen, aber effektiven Trick mit der Kontaktlinse.

Denn es genügt nicht, allein ein Auge zu fotografieren und dieses Foto vor die Iriserkennung des Telefons zu halten. Die Kamera im Gerät erkennt, dass das Bild flach ist und nicht gekrümmt wie der Augapfel. Diese Krümmung simuliert Krissler mit der Kontaktlinse, die es für wenige Euro zu kaufen gibt.

Der Irisscanner wird als besonders sicher angepriesen

Es klingt wie ein Witz, doch so einfach lässt sich die Sicherheitssperre des 800 Euro teuren Mobiltelefons der neuesten Generation austricksen. Samsung bewirbt den Augenscanner im Galaxy S8 mit großen Worten: Man habe eine effektive und trotzdem bequeme Technik zum Schutz der Privatsphäre geschaffen. Die Muster in der menschlichen Iris seien einzigartig und daher "so gut wie fälschungssicher", schreibt der Hersteller auf seiner Website. Deshalb sei die Iriserkennung "eine der sichersten Arten, Ihr Smartphone und Ihre privaten Daten zu schützen".

Von diesen Aussagen stimmt nur eine: Die menschliche Iris ist genau wie der Fingerabdruck einzigartig, kein zweiter Mensch trägt dasselbe Muster. Selbst eineiige Zwillinge haben unterschiedliche Augen. Anhand von Fingerkuppen und Iris können Menschen daher mit großer Sicherheit voneinander unterschieden werden. Deshalb nutzten Ermittler weltweit seit mehr als einhundert Jahren Fingerabdruckdatenbanken, um Kriminellen ihre Taten nachzuweisen. Augenstrukturen sind, was die korrekte Wiedererkennungsrate angeht, sogar noch viel genauer als Fingerabdrücke. Das bedeutet aber nicht, dass sie auch als Zugangssperre taugen.

Biometrie - Wie das Galaxy S8 ausgetrickst wird Im Video zeigt Jan Krissler vom Chaos Computer Club das Verfahren. Benötigt werden Drucker, Kontaktlinse und eine Kamera ohne IR-Sperrfilter vor dem Sensor. © Foto: Chaos Computer Club

Der Irisscanner des S8 nutzt den sogenannten nahen Infrarotbereich, um das Auge zu vermessen, also eine Wellenlänge von 850 Nanometer. Daher spielt die sichtbare Augenfarbe keine Rolle. Die feinen Linien und Punkte, die sich auf der menschlichen Iris finden, werden von der Kamera als helle und dunkle Flächen wahrgenommen und in digitale Werte umgewandelt. So entsteht ein Muster, das der Scanner mit der vorher gespeicherten Augenstruktur des Besitzers vergleicht.

Krissler fotografierte sein Auge mit einer Kamera, die einen Infrarotfilter hat, die also das sichtbare Licht herausfiltert und nur den nahen Infrarotbereich aufnimmt. Um ein besseres Ergebnis zu bekommen, leuchtete er sein Auge zusätzlich mit einem Infrarotstrahler an, so wie es auch das Handy macht, wenn es die Augen scannt. Dieses Infrarotlicht können Menschen nicht sehen, sodass es möglich ist, ihr Augenmuster zu fotografieren, ohne dass sie es mitbekommen. Dank einer Kamera mit entsprechendem Objektiv funktioniert das auch aus mehreren Metern Entfernung.

Dass Krissler eigentlich braune Augen hat, ist aufgrund der Infrarottechnik auf dem späteren Ausdruck nicht mehr zu erkennen. Das Foto zeigt nur noch graublaue Schatten und Umrisse. Für die Smartphonekamera sieht es so aus, als hätte sie es selbst geschossen. Das Bild hat der Forscher auf einem handelsüblichen Drucker auf normalem Papier ausgedruckt. Zusammen mit der Kontaktlinse wird daraus dann eine Kopie seiner Identität. Die öffnete das Smartphone am zuverlässigsten, wenn auch der Drucker von Samsung war. Erklären kann sich Krissler das nicht, er hat es eher durch Zufall herausgefunden.

Verknüpfung mit Samsung Pay

Das Experiment ist jedoch, genau wie der Hack der Fingerabdruckscanner, keine akademische Spielerei. Weltweit werden biometrische Daten eingesetzt, um Dinge zu sichern – obwohl Biometrie dazu nicht geeignet ist. Fälschungssicher sind weder die Iris noch der Fingerabdruck. Wer die Technik nutzt, sollte sich dessen bewusst sein.

Viele Millionen Besitzer von Smartphones haben eine Kreditkarte mit ihrem Handy verknüpft. So können sie Apps, Musik, Filme, Essen oder Dienstleistungen bequem bezahlen. Als Beleg, dass gerade der richtige Mensch mit diesem Handy und mit dieser Kreditkarte einkauft, akzeptiert Apple in seinem iTunes Store auch den Fingerabdruck. Und Samsung hat angekündigt, den Irisscanner in das eigene Bezahlsystem namens Samsung Pay zu integrieren. Wer also jemandes Handy klaut und ein Infrarotfoto von dessen Auge macht, der kann anschließend nicht nur auf alle Daten darin zugreifen, sondern damit auch einkaufen gehen.

Das ist längst nicht das einzige Problem dieser Technik. Die in Smartphones verbauten Chips und Scanner sind sehr klein. Um Platz und Daten zu sparen, fotografieren sie nicht den gesamten Fingerabdruck, sondern nur Ausschnitte. Die sind im Alltag aussagekräftig genug, um den Benutzer zu identifizieren. Allerdings haben Wissenschaftler der New York University, Brooklyn, in dieser Studie gerade gezeigt (MasterPrint: Exploring the Vulnerability of Partial Fingerprint-based Authentication Systems), dass sie aufgrund dieser Beschränkung sogar einen Generalschlüssel für Fingerabdrücke bauen können. Mit ein und demselben digital erzeugten Fingerabdruck können sie bis zu 65 Prozent aller Smartphones aufschließen, ohne dass sie den echten Fingerabdruck der Nutzer je gesehen haben.

Können Selfies bald als Vorlage dienen?

Es gibt bei der von Samsung und anderen Herstellern verwendeten biometrischen Technik eine weitere Gefahr, die nicht zu unterschätzen ist. Wer seinen Haustürschlüssel verliert, der wird das wahrscheinlich schnell bemerken und das Schloss auswechseln, damit niemand einbrechen kann. Wie aber will jemand bemerken, dass ihm der Fingerabdruck oder das Augenmuster abhanden gekommen sind?

Die Bösewichte im James Bond-Film Sag niemals nie haben 1983 noch ein komplettes Auge transplantiert, um die Iris des US-Präsidenten zu fälschen und Atomsprengköpfe stehlen zu können. Jan Krissler zeigte vor knapp zwei Jahren, dass ein hochaufgelöstes Foto der Hand genügt, um daraus Fingerabdrücke zu extrahieren, die sich missbrauchen lassen. Mit Fotos der Augen ist es ebenso, wie er nun beweist. Noch ist es ihm nicht gelungen, beispielsweise im Internet veröffentlichte Selfies als Vorlage für seine Augenkopien einzusetzen. Doch er fürchtet, dass genau das auch bald möglich sein könnte.

Und was ist, wenn alle biometrischen Merkmale "verbraucht" sind? Die meisten Menschen haben zehn Finger und zwei Augen. Sind alle entsprechenden Abdrücke mit der Zeit gestohlen worden, können sich die Betroffenen nicht mehr auf diese Art ausweisen, da die Systeme nicht sicher wissen können, ob nun der wahre Mensch vor ihnen steht oder eine illegale Kopie. "Man hat dann nur noch die zehn Zehen, aber es sieht sicher komisch aus, wenn man vor dem Bezahlen immer die Schuhe ausziehen muss", sagt Krissler.

Selbstverständlich kann man auch eine PIN verlieren oder vergessen. Das ist ärgerlich, aber sie kann wie ein Schlüssel problemlos durch immer neue PINs ersetzt werden.

Die Iriserkennung könne höchstens dazu dienen, unvorbereitete Fremde vom Inhalt des Telefons fernzuhalten, sagt Dirk Engling, einer der Sprecher des Chaos Computer Clubs. "Wem die Daten auf seinem Telefon lieb sind oder wer sogar daran denkt, mit seinem Telefon bezahlen zu wollen, der greift besser auf den bewährten PIN-Code-Schutz zurück."

Samsung ist anderer Ansicht. Der beschriebene Sachverhalt sei bekannt, erklärte das Unternehmen. "Wir versichern jedoch, dass die Iriserkennungstechnolgie, die im Galaxy S8 zum Einsatz kommt, rigorosen Tests unterzogen wurde." Sie erziele eine hohe Genauigkeit und verhindere "effektiv Versuche, den Authentifizierungsvorgang beispielsweise mittels Foto einer menschlichen Iris zu umgehen." Sollte eine Sicherheitslücke vorliegen, werde man sie schnell schließen.

Haben Sie Informationen zu diesem Thema? Oder zu anderen Vorgängen in Politik und Wirtschaft, von denen Sie finden, dass die Öffentlichkeit sie erfahren sollte? Wir sind dankbar für jeden Hinweis. Dokumente, Daten oder Fotos können Sie hier in unserem anonymen Briefkasten deponieren.