31C3: Biometrie, Mobilfunk und Banking im Visier der Hacker vom CCC

Auf dem 31C3 stellen Experten ihre Erkenntnisse über Sicherheitslücken vor.
Bild: dpa IT-Experten des Chaos Computer Clubs (CCC) haben den Fingerabdruck von Verteidigungsministerin Ursula von der Leyen kopiert. Ein Bild des Fingerabdrucks werde er bald auch online veröffentlichen, sagte Jan Krissler vom CCC während des 31. Chaos Communication Congress (31C3) in Hamburg. Krissler brauchte für seine Kopie keinen Gegenstand, den die Ministerin angefasst hatte. Er konnte einen Daumenabdruck aus einem Foto von einer Pressekonferenz ziehen.

Dazu habe er eine spezielle Software benutzt, doch es ginge auch manuell, sagte Krissler auf diesjährigen Treffen des CCC, dem 31C3. Er zeigte ein unvollständiges Bild des Fingerabdrucks. Die fehlenden Bereiche könne er ergänzen, etwa mit Fotos aus anderen Blickwinkeln, erklärte der Hacker. Zuvor hatte "Zeit Online" über die Fingerabdruck-Fälschung berichtet. Krissler veröffentlichte bereits 2008 den Fingerabdruck des damaligen Innenministers Wolfgang Schäuble (CDU).

Selbst Iris-Scan lässt sich überwinden

Auf dem 31C3 stellen Experten ihre Erkenntnisse über Sicherheitslücken vor.
Bild: dpa Doch die Möglichkeit der Fingerabdruck-Fälschung auf Basis eines Fotos betrifft auch Normalbürger. Fingerabdrücke und Bilder der Augen werden immer häufiger als Sicherheitsmerkmale eingesetzt. Krissler zeigte, wie sich viele solcher Systeme überlisten lassen. Ein Gerät zur Gesichtserkennung akzeptierte einen Ausdruck eines Fotos der Person anstelle des tatsächlichen Gesichts. Der Fingerabdruck-Sensor des iPhones ließ sich ebenfalls mit einer Attrappe überlisten.

Gegenüber Zeit online wiegelte das Bundesinnenministeriums bereits ab: "Nichts gravierend Neues" seien die jüngst vorgestellten Angriffsszenarien, so das Ministerium auf Anfrage der Zeitung. Außerdem sorgten die Hersteller dafür, dass die zum Einsatz kommenden Fingerabdruck-Scanner verbessert werden. In Kombination mit weiteren Identifizierungs­systemen sei die Technik daher recht zuverlässig, so das Ministerium.

Biometrie: Sicherheits-Experten sind skeptisch

Biometrie, speziell Fingerabdrücke, gelten in der Hacker-Community schon lange als unsicher. Als Argument wird unter anderem angeführt, dass der Fingerabdruck schon deswegen nicht als Authentifizierungs­mittel infrage kommt, weil er tagtäglich an vielen Stellen hinterlassen wird.

Am Beispiel von Apples iPhone finden sich für die Positionen der Befürworter und auch der Gegner der Biometrie-Technik Belege. Der Scanner des iPhone 5S ließ sich noch vergleichsweise leicht austricksen. Das iPhone 6 hingegen schluckte zwar ebenfalls Fälschungen, diese mussten allerdings mit viel höherem Aufwand angefertigt werden.

Banking-Apps erfassen zu viele Daten

Und auch um die Sicherheit von Banking-Apps steht es schlecht. Zeit Online berichtete über den Vortrag von zwei französische Forschern, die vorführten, dass viele Anwendungen von bekannten Banken schwerwiegende Sicherheitslücken aufweisen. Einige Apps erfassten mehr Informationen als für den alltäglichen Betrieb nötig. Eine Bank implementierte sogar eine vollständige Fernbedienung für das Smart­phone - und schwieg sich über die Gründe für diese Funktion aus.

Einschätzung: Perfekte Sicherheit gibt es nicht

Fraglich bleibt indes, ob die entdeckten Sicherheitslücken oder prinzipbedingten Schwachstellen tatsächlich geschlossen oder umgangen werden. Die Reaktion des Innenministeriums zeigt, dass die Behörden auch künftig auf kompromittierte Systeme setzen werden.

Immerhin beweist die Reaktion der Mobilfunk-Branche, dass es auch anders geht. So flickten die deutschen Netzbetreiber die UMTS-Abhörlücke - notdürftig, wie sie selber zugaben. Es dürften noch einige Hacker-Kongresse vergehen, bis die notwendigen Standardisierungs­prozesse abgeschlossen sind.

Süffisant zusammengefasst könnte man sagen: Wer seinen Fingerabdruck zum Entsperren seines Smart­phones einsetzt, sollte ihn beim nächsten Facebook-Post vielleicht verpixeln.