Chaos Computer Congress: CCC-Sicherheitsforscher zerlegen biometrische Sicherheitssysteme
Biometrische Venenerkennungssysteme gelten als hoch-sicher und unüberwindbar. Wie leicht sich aber auch diese Sicherheitsschranken austricksen lassen, haben die Berliner Sicherheitsforscher Jan Krissler alias Starbug und Julian Albrecht eindrucksvoll auf dem auf dem 35. Chaos Communication Congress (35C3) in Leipzig demonstriert.
Die beiden IT Experten hatten den viel gelobten „PalmSecure“-Scanner von Fujitsu und den Fingervenen-Scanner „VeinID“ von Hitachi untersucht und stellten auf dem Kongress vor, wie einfach sich diese Software überlisten ließ. Dazu war nur eine aus Wachs gebastelte Attrappe für Finger oder Hände mit bearbeiteten Fotos der im Körper „versteckten“ Blutbahnen notwendig. In einer Live Demonstration konnten sie beide Systeme der japanischen Hitec-Konzernen überlisten und erhielten Zugang. Da ist fatal, denn die beiden Systeme decken derzeit 95% des Marktes für die automatische Venenerkennung ab.
In Asien Standard: biometrische Systeme
Die biometrischen Venerkennungssysteme sind in Asien Standard bei der Zutrittskontrolle zu Krankenhäusern, Kraftwerken, Banken oder militärischen Anlagen. Sie werden aber auch beim neuen Gebäudes des Bundesnachrichtendiensts (BND) in Berlin eingesetzt, was Erheiterung unter den Experten auslöste Zudem Krissler. Zudem arbeiten auch immer mehr Geldautomaten etwa in Japan, Brasilien, Russland, in der Türkei oder Polen mit der Venenerkennung.
1 Monat Vorbereitung
Jan Krissler und Julian Albrecht bereiteten ihren Life-Test rund einen Monat lang vor. Sie stellten fest, dass die Systeme immer Kameras ohne Infrarotfilter nutzen und verwendeten für den 15minütigen Live-Test eine handelsübliche Spiegelreflexkamera, die modifiziert wurde. Die Experten vom Chaos Computer Club machten rund 2500 Testfotos, um etwaige Fehler zu minimieren.
Die Experten geben an, dass selbst gebaute Attrappen die Systeme mit einer Wahrscheinlichkeit von 80% überlisten können.Auf die frage nach einem Mittel gegen unerwünschte Venenerkennung antwortete Jan Krissler „Wenn du dir mit einem Edding die Finger vollmalst, bist du auf der sicheren Seite.“ Starke Behaarung oder „dicke Finger“ seinen ebenfalls hinderlich für die Biometrie.
Der CCC beschäftigt sich schon länger mit biometrischen Erkennungssystemen. Bereits vor 4 Jahren hatte Jan Krissler einen nachgemachten Fingerabdruck von Bundesverteidigungsministerin von der Leyen vorgestellt, der nachweislich einsetzbar wäre. Auch Gesichtserkennungssysteme können leicht ausgetrickst werden, sind also nicht hoch-sicher.