Biometrie-Risiken Der Hacker und der Fingerabdruck der Ministerin

Den Fingerabdruck von Ursula von der Leyen nachbilden? Mit modernen Kameras ist das machbar, sagt der Hacker Jan "Starbug" Krissler - und demonstriert beim Jahrestreffen des Chaos Computer Clubs, wie das geht.
Ursula von der Leyen bei einem öffentlichen Auftritt (Archivbild, nicht die erwähnte Bildvorlage): Hochauflösende Kameras als Datenschutzrisiko

Ursula von der Leyen bei einem öffentlichen Auftritt (Archivbild, nicht die erwähnte Bildvorlage): Hochauflösende Kameras als Datenschutzrisiko

Foto: THOMAS PETER/ REUTERS

"Jetzt wissen wir auch, warum Frau Merkel immer so dasteht", kommentiert der Sicherheitsforscher Jan Krissler ein Foto, das die Kanzlerin mit ihrer berühmten Raute zeigt. Gelächter im Publikum beim 31C3, dem Jahrestreffen des Chaos Computer Clubs (CCC) - und das nicht ohne Grund.

Erst wenige Minuten zuvor hat Krissler, den Hacker als "Starbug" kennen, erklärt, wie leicht es ist, auf Basis hochauflösender Fotos Fingerabdrücke zu kopieren. Eins seiner Beispiele war dabei ein Pressefoto von Verteidigungsministerin Ursula von der Leyen, das im Oktober auf der Bundespressekonferenz aufgenommen worden war. Ein Fotograf hatte es mit einem Standardobjektiv gemacht, mit zweihundert Millimetern Brennweite .

Schon mit solch einem Bild sei es mit ein wenig Mühe möglich, von der Leyens rechten Daumenabdruck nachzubilden, so Krisslers Einschätzung, die er mit einer nicht ganz vollständigen Skizze des Abdrucks untermauerte. Vor seinem Vortrag hatte der Hacker bereits gescherzt, dass Politiker künftig wohl nur noch in Handschuhen zu öffentlichen Auftritten gehen.

Iris-Scan? Alles andere als sicher

In seinem Vortrag  gelingt es Krissler auch mit anderen Beispielen, gängige Sicherungsmethoden als nur auf den ersten Blick sicher zu entlarven. So schaffte es der Hacker etwa, einen praxisüblichen Iris-Scanner auszutricksen - mit einem schlichten Fotoausdruck.

Um von der Leyens Fingerabdruck für sich nutzbar zu machen, setzte der Sicherheitsforscher auf eine Software namens VeriFinger, die die entsprechenden Teile des Fotos in einen klaren und eindeutigen Fingerabdruck umwandelt. Das Programm koste weniger als 400 Euro, berichtet "Zeit Online" . Mit ihm erstellte Abdrucke sollen sich beispielsweise auf Attrappen drucken und bei automatisierten Grenzkontrolle einsetzen lassen. Der CCC hatte Krisslers Vortrag mit den Worten beworben, die Fingerabdruck-Biometrie sei nun "endgültig nur noch ein Sicherheitsplacebo".

Schäubles Fingerabdruck veröffentlicht

Krissler und andere Experten haben schon oft davor gewarnt, sensible Daten ausschließlich per Fingerabdruck zu sichern. Im Sommer 2013 erfuhr das CCC-Mitglied Krissler weltweit Beachtung, als es ihm gelang, den Fingerabdruckscanner des iPhone 5S zu überwinden. Fünf Jahre zuvor hatte Krissler bereits den Fingerabdruck von Wolfgang Schäuble nachgemacht und im Magazin "Die Datenschleuder" veröffentlicht. Grundlage war damals noch kein Foto, sondern ein Wasserglas, das Schäuble angefasst hatte.

Auf die Sicherung seiner eigenen Daten angesprochen, hatte Krissler 2013 gesagt , er halte seine Passwörter für sicherer als seinen Fingerabdruck: "Das Problem ist, dass man Fingerabdrücke überall hinterlässt. Mein Passwort ist in meinem Kopf, und wenn ich bei der Eingabe vorsichtig bin, bleibe ich auch der einzige, der es kennt."

So gut das klingt, nach Krisslers diesjährigem Vortrag kann einem selbst beim Passwort-Eintippen mulmig werden: An einer Stelle zeigte der Forscher ein per Smartphone-Frontkamera gemachtes Selfie. Darauf zu sehen ein Gesicht, in dessen Pupille sich das Handydisplay spiegelt - genau, während jemand seinen Pin-Code eingibt.

Die Wiedergabe wurde unterbrochen.