Der Nachteil einer biometrischen gegenüber der klassischen Anmeldung (beispielsweise mit einem Passwort) ist vor allem, dass sich diese Merkmale nicht ändern lassen. Während man ein geknacktes Kennwort einfach austauscht, lässt sich ein Fingerabdruck nicht verändern.
Darüber hinaus sind teilweise bereits seit Jahren Verfahren bekannt, wie man biometrische Merkmale kopieren kann.
Die Schwachstellen im Überblick
Fingerabdruck-Scan: Im Jahr 2019 demonstrierte der Leiter von Tencent Security in Shanghai, wie er mit einer normalen Smartphone-Kamera den Fingerabdruck einer Person von einem Trinkglas abfotografieren und über eine App ausdrucken konnte. Damit ließen sich nicht nur weitere Handys entsperren, sondern auch ein Anwesenheitsautomat mit Fingerabdrucksensor täuschen.
Gesichtserkennung: Die normale, zweidimensionale Gesichtserkennung lässt sich bereits mit dem Foto einer Person täuschen. Wartet die Software auf ein Zwinkern, kann der Hacker das durch Überfahren des Bildes mit einem Stift simulieren. Schwieriger zu knacken sind Systeme wie Windows Hello oder Apple Face ID, die mit Infrarot- beziehungsweise 3D-Bildern arbeiten. Doch auch sie konnten mit Infrarot-Aufnahmen beziehungsweise 3D-Drucken vom Kopf des Benutzers mit darauf projizierten Fotografien ausgetrickst werden.
Iris-Scan: Schon 2013 demonstrierte der Berliner Sicherheitsexperte Jan Krissler, wie er von einem Wahlplakat von Angela Merkel das Muster ihrer Iris abnehmen konnte. Später entwickelte er ein Verfahren, wie er solche Muster auf eine Kontaktlinse übertragen und damit einen Iris-Scan überlisten konnte. Heute genügt ein Foto mit einer handelsüblichen Smartphone-Kamera, um eine Iris abzulichten.
Auf dem Kongress des Chaos Computer Clubs demonstrierte ein Sicherheitsforscher, wie man das Iris-Muster von Angela Merkel von einem ihrer Wahlplakate abnehmen kann.
IDG
Stimmerkennung: Mit Voice-Morphing-Systemen lässt sich aus aufgenommenen Sprach-Samples ein künstlicher Sprecher entwickeln, der jeden beliebigen Satz mit der fremden Stimme vorliest. Wegen der schlechten Sprachqualität kann ein Hacker damit vor allem die Stimmerkennung per Telefon einfach überwinden.
Venenscanner: Auch das Muster der Handvenen eines Menschen ist einmalig, zudem lassen sie sich nicht einfach fotografieren. Jan Krissler gelang das dennoch: Er baute einen Händetrockner von Dyson, wie man ihn in Waschräumen findet, so um, dass er mit Infrarotlicht das Venenmuster aufnahm. Dieses Muster übertrug er auf eine Wachshand, die der Venenscanner anstandslos als Original anerkannte.
Siehe auch: Vorsicht Hacker – Ist Zwei-Faktor-Anmeldung sicher?
Fazit
Die Sicherheit biometrischer Merkmale ist oftmals trügerisch, teilweise liegt der Schutzfaktor deutlich unter dem eines starken Passworts. Einige Smartphone-Hersteller warnen etwa vor dem Einsatz einer Gesichtserkennung und empfehlen stattdessen die Definition einer PIN, eines sicheren Passworts oder eines Musters. Anwender sollten sich vor allem bewusst sein, dass auch der Einsatz biometrischer Merkmale keine hundertprozentige Sicherheit gewährleistet.
Security