Scannen von Fingerabdrucken

Fingerabdruck fälschen

So soll's gehen: Ein Scanner erfasst den Fingerabdruck.

Erkennt das System den Abdruck, so wird die Freigabe erteilt. (Im Beispiel eine Bezahlfunktion in einem Supermarkt.)...

Leider ist die Technik mit einfachen Mitteln zu überlisten: Der Fingerabdruck auf einem Wasserglas kann verwendet werden, um mit handelsüblichen Produkten eine Attrappe herzustellen.

... etwas Holzleim auf Folie und nun: Viel Spaß mit der neuen Identität....

Quelle: ARD-Plusminus v. 27.11.2007 (Mittlerweile nur noch auf Youtube als Video abrufbar.)

Vor kurzem sind von uns unterstützte Betriebsräte mit dem Ansinnen ihrer Geschäftsleitung konfrontiert worden, die Serversysteme in den Technik-Räumen mit Hilfe eines Systems zur Erkennung von Fingerabdrücken zu sichern. Was modern klingt, entpuppt sich bei genauerem Hinsehen nicht als Sicherheitsgewinn, sondern als Sicherheitsrisiko. Denn zusätzlich zu den ohnehin schon weitreichenden persönlichkeitsrechtlichen Problemen (Geknackte Passworte sind austauschbar, Fingerabdrücke nicht. ) sind die teuren Systeme einfach zu überlisten: Mit Holzleim und Sekundenkleber. Kein Wunder, dass der Betriebsrat den Einsatz abgelehnt hat.

Worum geht's?

Seit mehreren Jahren sind biometrische Erkennungssysteme auf dem Markt, deren Hersteller mit ihrem Einsatz eine zuverlässige Identifizierung und Authentifizierung von Benutzern versprechen. Neben der Gesichts- und Iriserkennung ist dabei die Erkennung von Fingerabdrucksystemen eines der wichtigsten Verfahren.

Das Verfahren setzt grundsätzlich darauf auf, dass jeder Mensch (auch Zwillinge) individuelle, einzigartige Fingerabdrücke besitzt. Theoretisch kann deshalb von einem erkannten Fingerabdruck auf die Identität einer Person zurück geschlossen werden. Für entsprechende automatische Vergleiche müssen allerdings die Fingerabdruckdaten im Erkennungssystem hinterlegt und abgespeichert sein.

Manipulationsmöglichkeiten

Leider verschweigen die Herstellerfirmen und Anwender eklatante Schwächen der Systeme. Denn Fingerabdrücke sind fälschbar: Nachgewiesenermaßen ist es möglich, mit leicht anzufertigenden Folien-Attrappen die Systeme zu täuschen. Um auf dieses Problem aufmerksam zu machen, hat der Chaos Computer Club e.V. (CCC), mittlerweile eine angesehene Instanz bei Fragen der Datensicherheit und Überwachungstechnologien, bereits 2004 dazu eine Bauanleitung ins Internet gestellt.

Mit wenig Aufwand ist eine entsprechende Manipulation möglich. Ausgangspunkt ist dabei ein brauchbarer Fingerabdruck, den eine Person auf einem Glas oder einem Kopierer oder einer anderen glatten Fläche hinterlassen hat. Mit nicht viel mehr als Sekundenkleber, Holzleim, Digitalkamera, etwas Folie und 30 Minuten Zeit steht dem Identitätsklau nichts mehr im weg.

Der CCC geht davon aus, dass keines der auf dem Markt befindlichen Erkennungssysteme fälschungssicher ist. Die Systemhersteller ignorieren das Problem nach der Vogel-Strauß-Methode: Im Herbst 2007 hat die ARD in der Sendung Plusminus mit dem oben vorgestellten Verfahren die Fingerabdruckerkennung des Kassensystems in einem Edeka-Supermarkt geknackt und unter gefälschter Identität Einkäufe vorgenommen. Trotzdem behauptet der Hersteller weiterhin, das System „sei sicher“. Der Hersteller verkauft übrigens auch „Lösungen“ für die Sicherheit in Unternehmensnetzwerken.

Wir empfehlen unbedingt, das im Internet bereit gestellte Video des Plusminus-Berichts anzusehen.

Weitere Probleme aus Mitbestimmungssicht

Fingerabdruckdaten sind höchstpersönliche Daten. An Ihre Speicherung und Verwendung sind ganz besonders hohe Datenschutz-Anforderungen zu stellen. Falls die Daten in die Hände Dritter gelangen, sind die negativen Folgen für davon betroffenen Personen in ihrem Ausmaß nicht ansatzweise abzuschätzen: Im Unterschied zu Passworten sind Fingerabdrücke nämlich nicht austauschbar. Eine fehlerhafte Konfiguration, ein Dateneinbruch, eine Unachtsamkeit im Umgang mit den Daten kann daher lebenslange Beeinträchtigungen des Trägers nach sich ziehen. Möglicherweise wären die Daten sogar zur Manipulation von Ausweisdokumenten verwendbar (Trotz heftiger Proteste von Datenschützern werden Fingerabdruckdaten in Reisepässen gespeichert.).

Das Bundesamtes für Sicherheit in der Informationstechnik weist darauf hin, dass bei einigen Personen das Fingerabdruckprofil zu wenig ausgebildet ist ist, um per Scan-Verfahren verwendet werden zu können. Weiterhin können verletzte Fingerkuppen etc. zu unerwünschten Nutzungseinschränkungen führen.

Fazit

Es ist offensichtlich, dass der Einsatz von Fingerabdrucksystemen beim jetzigen Stand der Technik nicht zur Verbesserung der IT-Sicherheit in Unternehmen beiträgt, sondern im Gegenteil ein erhebliches Sicherheitsrisiko darstellt.

Missbrauchsfähige Fingerabdrücke der Systemadministratoren befinden sich überall im Arbeitsumfeld: an Telefonen, Kaffeemaschinen, Kopierern u.v.m.

Auf dem jetzigen Stand der Technik sind die uns bekannten Systeme daher unserer Auffassung nach nicht zustimmungsfähig.

Haben Sie Fragen zum Thema? Brauchen Sie Unterstützung? Wir beraten Sie gerne!
tse GmbH - info@tse.de - 040/366951,-52