Report München


13

Persönlichkeitsklau Biometrische Daten im Visier von Hackern

Immer öfter wird mit Hilfe des Fingerabdrucks bezahlt. Nutzer melden sich damit an Laptop und Handy an oder weisen sich an Landesgrenzen aus, weil es so praktisch ist: Ein biometrisches Merkmal hat man dabei, kann es nicht vergessen. Die Industrie findet das gut. Ein Problem aber ist: Keiner kann seinen Fingerabdruck geheim halten. Hacker wissen das und machen mobil zum Fingerabdruck-Klau.

Von: Sabina Wolf

Stand: 16.05.2017

Passwörter und Codes sind out, biometrische Daten sollen sie ersetzen. Individuell sind sie, man hat sie überall dabei, kann sie nicht vergessen. Das ist praktisch. Derzeit ist der Fingerabdruck das am meisten genutzte Merkmal, beim Sichern des Handys, dem Öffnen der Smart Home App oder beim Online Banking. Doch das neue Sicherheitskonzept hat einen Fehler: Der Fingerabdruck ist nicht geheim! Jeder hinterlässt Fingerabdrücke – überall, zum Beispiel auf Kaffeetassen oder Türklinken, dem Autogriff.

Fingerabdruck-Sensor mit Attrappe

Mit dem Cyberexerten Starbug verabredet report München einen Fingerabdruck-Tausch. Er scannt dazu seinen eigenen Abdruck ein, den er zuvor auf der Oberfläche seines Handys hinterlassen hat – vom Eintippen einer Telefonnummer.

Das sind die Arbeitsschritte: Der gescannte Fingerabdruck wird kurz am PC nachbereitet, dann auf einer Folie ausgedruckt, auf einem Laserdrucker, der ergibt eine Struktur.

"Das ist jetzt die Abformgrundlage, die drucken wir jetzt aus. Und dann nehmen wir ein bisschen Holzleim als Attrappen-Material, schmieren das dann rüber und das kannst du dir dann auf den Finger kleben."

Cyberexperte Starbug

Fingerabdruckscanner lassen sich überlisten

Mit dem so gefälschten Fingerabdruck gelingt es beim Test mühelos, einen  Fingerabdruckscanner, wie er an der EU-Außengrenze Frankreich eingesetzt ist, zu überlisten. Obendrein ist es ein Gerät zur Lebenderkennung!

"Eigentlich sollte man erkennen, dass man da eine Attrappe auflegt und sagen, nee, geht nicht, weil ist ein gefälschter Finger, aber bei uns hat es trotzdem funktioniert."

Cyberexperte Starbug

Auf Anfrage von report München will sich die französische Polizei nicht äußern, man sage nichts zu Behördengeräten.

Daten von Bürgern im Darknet

Doch nicht nur für Grenzkontrollen besteht ein erhebliches Risiko. Da viele Datenbanken Sicherheitslücken haben, greifen Kriminelle zu: Sie stehlen biometrische Identitäten im großen Stil, weltweit gab es allein in den vergangenen drei Jahren über 200 Millionen Opfer.

Geldautomaten gezielt im Visier

Experten wie Christian Funk vom Anti-Virenhersteller Kaspersky beobachten seit kurzem, dass Cyber-Kriminelle Geldautomaten gezielt im Visier haben. Bisher griffen sie mit sogenannten Skimmern, Aufsatzgeräten auf dem Kartenschlitz oder doppelten Pinboards die Geldautomaten an und plünderten fremde Konten. Jetzt gibt es  Aufsatzgeräte, die zusätzlich noch biometrische Daten auslesen.

"Wir haben 12 Anbieter gesehen, die mit Fake Fingerabdruckscannern arbeiten und dort schon die ersten Produkte auch auf den Markt bringen. D.h. die Angreifer sind am Puls der Zeit und dementsprechend ist auch die biometrische Authentifizierung nur ein neues Ziel. Es wird keine neue Sicherheit bringen."

Christian Funk, Kaspersky Labs Deutschland

Gelungene Authentifizierung

Biometrische Daten sind das neue Cyber-Gold. Sie sind unsicher. Dennoch setzt die Finanzwirtschaft, zum Beispiel die Deutsche Bank, auf biometrische Authentifizierung. In den AGBs heißt es: Die Bank lasse als „personalisiertes Sicherheitsmerkmal“ den „eigenen Fingerabdruck“ zu. Gleichzeitig aber verlangt sie „die Geheimhaltung der personalisierten Sicherheitsmerkmale“.

"Man muss ihn geheim halten. Da muss ich sagen, da hätte ich als Verbraucher ein Problem mit. Das ist ein Verfahren, das ist schön, dass es die Bank zulässt, da würde ich nicht mitmachen."

Annabel Oelmann, Verbraucherzentrale Bremen

Um die Fingerabdrücke wirklich zu schützen, müsste man Handschuhe tragen, und das kann nicht der richtige Ansatz zum Schutz biometrischer Daten sein. Und auch auf die Absicherung der Datenbanken sollte sich der Bürger nicht allzu sehr verlassen. Die bisherigen Opferzahlen zeigen, dass biometrische Daten alles andere als ausreichend geschützt sind.

Manuskript zum Druck

Manuskript als PDF:

Sendung

  • report München Dienstag, 16.05.2017 um 21:45 Uhr [Das Erste]

13