Fingerabdruck fälschen So soll's gehen: Ein Scanner erfasst den Fingerabdruck. Quelle: ARD-Plusminus v. 27.11.2007 (Mittlerweile nur noch auf Youtube als Video abrufbar.) |
Seit mehreren Jahren sind biometrische Erkennungssysteme auf dem Markt, deren Hersteller mit ihrem Einsatz eine zuverlässige Identifizierung und Authentifizierung von Benutzern versprechen. Neben der Gesichts- und Iriserkennung ist dabei die Erkennung von Fingerabdrucksystemen eines der wichtigsten Verfahren.
Das Verfahren setzt grundsätzlich darauf auf, dass jeder Mensch (auch Zwillinge) individuelle, einzigartige Fingerabdrücke besitzt. Theoretisch kann deshalb von einem erkannten Fingerabdruck auf die Identität einer Person zurück geschlossen werden. Für entsprechende automatische Vergleiche müssen allerdings die Fingerabdruckdaten im Erkennungssystem hinterlegt und abgespeichert sein.
Leider verschweigen die Herstellerfirmen und Anwender eklatante Schwächen der Systeme. Denn Fingerabdrücke sind fälschbar: Nachgewiesenermaßen ist es möglich, mit leicht anzufertigenden Folien-Attrappen die Systeme zu täuschen. Um auf dieses Problem aufmerksam zu machen, hat der Chaos Computer Club e.V. (CCC), mittlerweile eine angesehene Instanz bei Fragen der Datensicherheit und Überwachungstechnologien, bereits 2004 dazu eine Bauanleitung ins Internet gestellt.
Mit wenig Aufwand ist eine entsprechende Manipulation möglich. Ausgangspunkt ist dabei ein brauchbarer Fingerabdruck, den eine Person auf einem Glas oder einem Kopierer oder einer anderen glatten Fläche hinterlassen hat. Mit nicht viel mehr als Sekundenkleber, Holzleim, Digitalkamera, etwas Folie und 30 Minuten Zeit steht dem Identitätsklau nichts mehr im weg.
Der CCC geht davon aus, dass keines der auf dem Markt befindlichen Erkennungssysteme fälschungssicher ist. Die Systemhersteller ignorieren das Problem nach der Vogel-Strauß-Methode: Im Herbst 2007 hat die ARD in der Sendung Plusminus mit dem oben vorgestellten Verfahren die Fingerabdruckerkennung des Kassensystems in einem Edeka-Supermarkt geknackt und unter gefälschter Identität Einkäufe vorgenommen. Trotzdem behauptet der Hersteller weiterhin, das System „sei sicher“. Der Hersteller verkauft übrigens auch „Lösungen“ für die Sicherheit in Unternehmensnetzwerken.
Wir empfehlen unbedingt, das im Internet bereit gestellte Video des Plusminus-Berichts anzusehen.
Fingerabdruckdaten sind höchstpersönliche Daten. An Ihre Speicherung und Verwendung sind ganz besonders hohe Datenschutz-Anforderungen zu stellen. Falls die Daten in die Hände Dritter gelangen, sind die negativen Folgen für davon betroffenen Personen in ihrem Ausmaß nicht ansatzweise abzuschätzen: Im Unterschied zu Passworten sind Fingerabdrücke nämlich nicht austauschbar. Eine fehlerhafte Konfiguration, ein Dateneinbruch, eine Unachtsamkeit im Umgang mit den Daten kann daher lebenslange Beeinträchtigungen des Trägers nach sich ziehen. Möglicherweise wären die Daten sogar zur Manipulation von Ausweisdokumenten verwendbar (Trotz heftiger Proteste von Datenschützern werden Fingerabdruckdaten in Reisepässen gespeichert.).
Das Bundesamtes für Sicherheit in der Informationstechnik weist darauf hin, dass bei einigen Personen das Fingerabdruckprofil zu wenig ausgebildet ist ist, um per Scan-Verfahren verwendet werden zu können. Weiterhin können verletzte Fingerkuppen etc. zu unerwünschten Nutzungseinschränkungen führen.
Es ist offensichtlich, dass der Einsatz von Fingerabdrucksystemen beim jetzigen Stand der Technik nicht zur Verbesserung der IT-Sicherheit in Unternehmen beiträgt, sondern im Gegenteil ein erhebliches Sicherheitsrisiko darstellt.
Missbrauchsfähige Fingerabdrücke der Systemadministratoren befinden sich überall im Arbeitsumfeld: an Telefonen, Kaffeemaschinen, Kopierern u.v.m.
Auf dem jetzigen Stand der Technik sind die uns bekannten Systeme daher unserer Auffassung nach nicht zustimmungsfähig.