Biometrische Sicherheit: Venenerkennung mit Hausmitteln überlistet

Michael Schäfer 46 Kommentare
Biometrische Sicherheit: Venenerkennung mit Hausmitteln überlistet
Bild: VISHNU_KV | CC0 1.0

Lange galt sie als das sicherste biometrische Verfahren zur Identifizierung bei gesicherten Zugängen, noch vor Fingerabdruck- und Iriserkennung: Die Venenerkennung. Nun haben zwei Experten es geschafft, das System mit teils einfachen Methoden zu umgehen. Das hat weitreichende Folgen.

Geräte zur Zugangssicherung auf Basis der Venenerkennung sind heutzutage allgegenwärtig: Sie sichern Zugänge zu Banken oder Kernkraftwerken sowie das neue BND-Gebäude in Berlin. In Japan soll darüber der Zahlungsverkehr sicherer gestaltet werden und auch in einigen Notebooks ist dieser Schutz zu finden. Das System galt bisher als sehr zuverlässig und sicher, da die einzelnen Venenmuster unter der Haut ähnlich dem Fingerabdruck bei jedem Menschen einzigartig sind.

System leicht zu überlisten

Wie einfach dieses Sicherheitssystem zu umgehen ist, zeigten die Informatiker Jan Krissler alias Starbug und Julian Albrecht am gestrigen Abend im Rahmen des aktuell in Leipzig stattfindenden Chaos Communication Congress (35C3). Krissler, der sich bereits seit über 15 Jahren mit biometrischen Sicherheitssystemen befasst, ist in der Szene keine unbekannte Figur. Im letzten Jahr überlistete er die Iriserkennung in Samsungs Galaxy S8, bereits 2013 deckte er Lücken in der Fingerabdruckerkennung des iPhone 5s von Apple auf.

Leicht zu beschaffende Materialien

Um das System zu umgehen, sind lediglich eine umgebaute Spiegelreflexkamera, ein Laserdrucker und Wachs nötig – Materialien für wenige hundert Euro und für jedermann leicht zu beschaffen. Aus der Kamera wurde zunächst der Infrarotfilter entfernt, damit diese auch infrarotes Licht aufnehmen kann. Anleitungen für einen Umbau finden sich zuhauf im Netz, präparierte Geräte sind auf Gebrauchtmarktportalen wie Ebay bereits günstig erhältlich.

Aus der Entfernung nur schwer möglich umsetzbar

Zwar lassen sich schon mit einem starken Blitz Venenmuster in den Händen bei einer Entfernung von fünf Metern gut sichtbar ablichten, gegenüber Spiegel Online erklärte Krissler aber die Einschränkungen dieser Vorgehensweise: „In den Fingern liegen die Venen tiefer, da muss man durchstrahlen‟. Dies bedeutet, dass auf der anderen Seite eine Infrarot-LED für das benötigte Licht sorgen muss. Aus der Entfernung entsprechende Aufnahmen zu machen gestaltet sich somit schwierig, es gibt aber Szenarien, wo dies – zumindest theoretisch – möglich ist, etwa mit Kameras in Handtrocknern, welche auf vielen öffentlichen Toiletten zu finden sind.

Auf eine Handattrappe aus gelbem Wachs wird die mittels einem Laserdrucker, dessen Partikel das infrarote Licht absorbieren, ausgedruckte Aufnahme angebracht und mit rotem Wachs übergossen. Das Venenmuster scheint nun durch, wenn die Attrappe mit infrarotem Licht bestrahlt wird.

Forscher überrascht

Dieser Vorgang reichte aus, um im Labor in diversen Tests Systeme von den Marktführern Hitachi und Fujitsu zu überlisten. „Als wir das System das erste Mal überwunden haben, war ich schon ziemlich überrascht, dass das doch so einfach ist“, erinnert sich Krissler. „Ich behaupte, das funktioniert so zuverlässig, dass wir es auch woanders machen könnten“.

Methode laut Hersteller in der Praxis nicht umsetzbar

Vor drei Monaten haben Albrecht und Krissler in Japan vor Ort den beiden Herstellern Fujitsu und Hitachi ihre Entdeckungen vorgeführt und gezeigt, wie einfach sich die Systeme aushebeln lassen. Fujitsu erachtet die Methode jedoch nicht als praxistauglich, da die Venenerkennung nur ein Teil des ganzen Sicherheitssystems darstellen würde. Krissler weist jedoch darauf hin, dass er seinen Angriff auch auf Rechnern der Mitarbeiter vorgeführt habe, an denen keine Anpassungen vorgenommen wurden.

Zudem scheint die „Fake Objective Detection‟, welche das Umgehen des Sicherheitssystems mittels Attrappen verhindern soll, nicht zuverlässig zu arbeiten. „Nun ist es an den Herstellern, zusätzliche Sicherheitsmechanismen einzubauen, wie eine funktionierende Lebend- beziehungsweise Attrappenerkennung‟, so Krissler. Seiner Meinung nach sind die Hersteller zu lange davon ausgegangen, dass ihre Systeme per se sicher sind und haben daher nur wenig Energie und somit auch Geld in die Forschung investiert.

Katz-und-Maus-Spiel

Dass solche Systeme nicht im Endkundenbereich erhältlich sind, macht eine Einschätzung über die Anzahl der betroffenen Systeme schwierig. Es kann jedoch nicht ausgeschlossen werden, dass auch schon Kriminelle auf ähnliche Methoden gestoßen sind. Somit wird erneut deutlich, dass biometrische Verfahren bisher keine allgemeine Sicherheit bieten können: „Bei Biometrie ist es eben immer ein Arms Race. Die Hersteller verbessern ihre Systeme, die Hacker kommen und machen es kaputt und so geht es dann wieder weiter‟, sagte Krissler.