Fingerabdruck an der Supermarkt-Kasse genauso unsicher wie
Biometrie im Reisepass

Biometrie-Experten des Chaos Computer Club (CCC) kooperierten mit dem
ARD Wirtschaftsmagazin PlusMinus bei einer Demonstration zur einfachen
Fälschbarkeit von Fingerabdrücken. Vor laufender Kamera wurde der
Fingerabdruck-Scanner an einer Supermarkt-Kasse getäuscht und auf fremde
Kosten eingekauft. Nach kurzer Einweisung durch die CCC-Experten waren
die Journalisten selbständig in der Lage, mit kopierten Fingerabdrücken
das Kassensystem zu überlisten. Damit sind die Behauptungen der
Biometrie-Befürworter und -Hersteller, dass so etwas – wenn überhaupt,
nur im Labor – möglich sei, nachdrücklich wiederlegt.
Fingerabdruck-Systeme, wie sie bereits in den neuen biometrischen
Reisepässen zum Einsatz kommen und für den Personalausweis geplant sind,
können mit einfachen Mitteln überlistet werden und bieten keinerlei
nennenswerte Sicherheit.

Als Experimientierfeld diente den Journalisten aus Gründen der eigenen
Sicherheit jedoch nicht ein Flughafen, sondern ein Lebensmittelmarkt in
Rülzheim [1]. In diesem Geschäft, wie auch in über einhundert weiteren
Fillialen, wird in einem groß angelegten Versuch den Kunden die
Bezahlung vom – allein von ihrem Fingerabdruck geschützten – Kundenkonto
angeboten. Wie schon vor drei Jahren vom CCC in einem einfach
nachzuvollziehenden Video [2] demonstriert, konnten die Fingerabdrücke
eines eingeweihten Kunden von einem Alltagsgegenstand abgenommen werden.
Nach einer einfachen, durch Biometrie-Experten des CCC entwickelten,
Methode konnten diese Abdrücke zu einer Attrappe verarbeitet werden, die
den Reportern umstandslos das Einkaufen auf fremde Rechnung erlaubte.
Die dafür notwendigen Materialien – Sekundenkleber, Holzleim und ein
Laserdrucker finden sich in fast jedem Haushalt.

Da an den deutschen Grenzkontrollstellen derzeit die Fingerabdruckleser
für die Passkontrolle installiert werden, steht zu befürchten, dass die
Sicherheit des bisher als eines der sichersten Dokumente der Welt
eingeschätzten Dokuments mit Einführung des ePass untergraben statt
verbessert wird.

Völlig ungeklärt ist die Haftungsfrage bei biometrischen Bezahlsystemen:
Ähnlich wie bei der von Betrugsfällen geplagten EC-Karte wird der Kunde
im Missbrauchsfall beweisen müssen, dass er nicht betrügerisch
gehandelt. Angesichts der Komplexität der Systeme dürfte dieser Nachweis
kaum zu führen sein. Der Chaos Computer Club kann daher nur dringend von
der Benutzung biometrischer Bezahlsysteme abraten. Wer sich bereits
registriert hat, sollte umgehend den Vertrag kündigen und auf die
schriftliche bestätigte Löschung seiner biometrischen Merkmale, wie etwa
des Fingerabdrucks, bestehen.

Im Gegensatz zu veränderlichen Sicherheitsmerkmalen wie einem Passwort
oder einer PIN ist ein Fingerabdruck unveränderlich. Wenn er einmal von
einem beliebigen Alltagsgegenstand abgenommen und nachgebaut wurde, ist
er unwiederbringlich außer Kontrolle. Ein einmal verlorener
Fingerabdruck ist lebenslang als Sicherheitsmerkmal unbrauchbar
geworden. Da die kleinen Finger in der Regel nicht genügend
identifizierbare Merkmale aufweist, hat jeder Bürger also maximal acht
Versuche.

Frank Rosengart, Sprecher der Chaos Computer Club fasste zusammen: „Der
Fingerabdruck als Sicherheitsmerkmal verliert umso mehr an Wert, in je
mehr elektronischen Systemen die biometrischen Daten gespeichert werden.
Der selbe Fingerabdruck, der im Dorfladen hochauflösend gescannt wird,
soll an der Grenze als Identifikationsmerkmal herhalten. Kein Kunde kann
überprüfen, ob nicht doch das hochauflösende Bild gespeichert wird.“

Rosengart geht noch weiter: „Wir fordern ein gesetzliches Verbot von
biometrischen Identifikationssystemen, da offensichtlich weder Betreiber
noch Benutzer des Systems die Risiken abschätzen können.“ Der Chaos
Computer Club hat in der Vergangenheit mehrfach und nachdrücklich darauf
hingewiesen, dass Fingerabdrücke weder in Bezahlsystemen noch in
Ausweisdokumenten als Sicherheitsmerkmal geeignet sind.

Für Rückfragen und Interview-Anfragen steht das Presseteam des CCC
bevorzugt per E-Mail presse@ccc.de zur Verfügung oder ruft nach einer
Nachricht auf unserer Sprachmailbox, Telefon: 0700 CHAOSFON zurück.

[1] http://www.daserste.de/plusminus/beitrag_dyn~uid,3bu1tfwxbnbp99cc~cm.asp
[2] ftp://ftp.ccc.de/pub/video/Fingerabdruck_Hack/fingerabdruck.mpg

http://www.ccc.de/