Der Fingerabdruck als biometrische Entsperrungsmethode gehört spätestens seit der Einführung durch Apple und Samsung zum Mainstream der Sicherheitsmaßnahmen bei Mobiltelefonen. Doch laut einem deutschen Experten ist diese Methode nicht ganz so sicher, wie viele glauben.
Auf dem diesjährigen Chaos Communication Congress in Hamburg zeigte Jan Krissler – alias Starbug – vom Chaos Computer Club (CCC), wie er mithilfe von Fotos den Daumenabdruck der deutschen Verteidigungsministerin Ursula von der Leyen nachbilden konnte. Dazu nutzte er verschiedene Nahaufnahmen der Politikerin sowie eine Software namens Verifinger.
Fingerabdruck – wirklich sicher?
Wie der CCC erklärt, konnte in den vergangenen Jahren schon häufig gezeigt werden, wie einfach es ist, mithilfe von Objekten, die eine Person angefasst hat, an deren Fingerabdruck zu gelangen. In seinem Vortrag geht Krissler allerdings noch einen Schritt weiter und zeigt, dass unter Umständen schon ein einfaches Nachrichtenfoto genügt, um die Abdrücke zu rekonstruieren.
„Nach diesem Vortrag werden Politiker vermutlich Handschuhe tragen, wenn sie in der Öffentlichkeit sprechen”, erklärte Starbug.
Doch ganz so leicht ist es für einen potenziellen Angreifer natürlich nicht, mithilfe dieser Technik Zugang zu einem System zu gelangen: Denn zum einem braucht er eine Maschine, mit der er den aus den Fotos identifizierten Fingerabdruck herstellen kann, zum anderen benötigt er physikalischen Zugriff auf das Gerät, das mithilfe des Fingerabdrucks entsperrt werden soll.
Schon jetzt eine veraltete Methode?
Bereits im April 2014 hatte The Register in einem Bericht Zweifel an der Sicherheit von Authentifizierungssystemen geäußert, die von Fingerabdrücken Gebrauch machen. Damals war es Forschern der Security Research Labs gelungen, mithilfe eines digitalen Fotos einen Fingerabdruck nachzubilden und damit Samsungs kurz zuvor erschienenes Galaxy S5 zu entsperren. „Das Problem ist, dass sie nicht absolut sicher sind – zumindest nicht, wenn es um Standards der Regierungsarbeit geht“, schrieb The Register in dem Artikel.
Venturebeat erklärt allerdings, dass Fingerabdrücke – ganz unabhängig von Krisslers Methode – nach wie vor sicherer sind als manch andere Entsperrungsmethoden wie PIN-Codes.
Auf der Seite heißt es: „Selbst wenn die Herstellung eines falschen Fingerabdrucks eine realisierbare Methode wäre, um in ein System einzubrechen – sei es ein Smartphone oder ein Hochsicherheitstrakt –, bedeuten diese Neuigkeiten nicht, dass Fingerabdrücke plötzlich nutzlos sind. Perfekte Sicherheitsmaßnahmen existieren nicht und Fingerabdrücke haben definitiv immer noch ihre Berechtigung.“