Wie Biometrie-Hacker uns mit uns selbst betrügen

Sie halten Fingerabdruck-, Retina- und Stimm-Scanner für den Security-Stein der Weisen? Lassen Sie sich eines Besseren belehren. [...]

Jeder, der schon einmal einen Spionage-Thriller oder einen Science-Fiction-Film gesehen hat, kennt dieses Szenario: Der Held trickst das biometrische Sicherheitssystem seines Gegenspielers mithilfe von Makeup, einer Perücke, eines Kostüms oder – etwas raffinierter – mit Latex-Fingerabdrücken aus. Das Imitieren von Stimmen nicht zu vergessen. „Ist doch alles nur ein Film“, mag mancher jetzt vielleicht argumentieren. Und doch stellt man sich die Frage: Lassen sich biometrische Security-Systeme wie Fingerabdruck- oder Iris-Scanner wirklich nur mit ein wenig Makeup oder einstudierten Imitationen überlisten?
Biometrik-Hack: Wie im Film?
Die Identifikation über biometrische Daten – also die Verifizierung der Identität einer Person durch Stimmerkennung, einen Retina- oder Fingerabdruck-Scanner – gehört für viele Unternehmen inzwischen zum guten Ton. Und das aus gutem Grund: Obwohl es eigentlich ein alter Hut sein sollte, nutzen die meisten Verbraucher auch heute noch keine sicheren Passwörter oder PIN-Kombinationen.
Die Idee hinter der Verschlüsselung über Biometrie ist relativ einfach: Unsere biometrischen Daten, Gesicht, Stimme, Augen und Fingerabdrücke sind individuelle Identifikationsmerkmale und bei jedem Menschen einzigartig. In der Theorie sollte demnach ein hohes Sicherheitslevel garantiert sein. In der Praxis kann die Technologie das aber leider (noch) nicht sicher umsetzen.
Was für viele filmische Utopien sind, ist für findige Hacker heutzutage kein Problem mehr. Aber auch Sicherheitsexperten haben bereits mehrfach aufgezeigt, dass biometrische Security-Systeme mithilfe von technisch relativ simplen Tricks umgangen werden können.
Fingerabdruck-, Iris- & Stimm-Hacks: Die Tricks der Kriminellen
Es sind nicht zu leugnende Indizien dafür, dass die Nutzung von biometrischen Daten zur Sicherung von IT-Systemen noch einiges an Intelligenz zulegen muss. Wir haben die gängigen Methoden der kriminellen Biometrik-Hacker für Sie zusammengefasst.
Fotos und Ausdrucke
Wer regelmäßig Selfies postet, könnte das demnächst bereuen. Denn sowohl Hacker als auch Sicherheitsexperten konnten biometrische Sicherheitslösungen mithilfe von einfachen Fotos überlisten. Es gab sogar Behauptungen, dass Retina- und Iris-Scanner mithilfe von hochauflösenden Detailfotos eines menschlichen Auges ausgehebelt wurden. Und Wissenschaftler der Michigan State University zeigten auf, dass auch gedruckte Fingerabdrücke zum Hacken des Fingerabdruck-Scanners von Smartphones verwendet werden können. Der Ausdruck wurde mit einem Tintenstrahldrucker und leitfähiger Silbertinte angefertigt.
HD-Video
Die Berichte über solche Foto-Hacks haben dazu geführt, dass Hersteller von Systemen zur Gesichtserkennung nun einen „Blinzeltest“ in ihre Lösungen einbauen. So soll sichergestellt werden, dass das System nicht mit einer Fotografie überlistet werden kann. Kurz darauf bewiesen White-Hat- und Black-Hat-Hacker, dass die Videoaufnahme einer blinzelnden Person in HD-Qualität ausreicht, um einige Geräte mit „Blinzeltest“ zu entsperren.
Modelliermasse
Das Problem mit Fingerabdrücken ist bekanntlich, dass wir sie auf den meisten Gegenständen hinterlassen. Jeder hat schon einmal einen Krimi oder Spionagefilm gesehen, in dem mit einem einfachen Klebeband Fingerabdrücke vom Tatort genommen wurden. Es sind Fälle von Wissenschaftlern bekannt, die Zahnabdruckmasse und Modelliermasse verwendeten, um einen außergewöhnlich gut gefälschten Fingerabdruck zu erstellen. Mit diesem gelang es innerhalb von nur fünf Minuten iPhone 6 und Samsung Galaxy S6 Edge zu entsperren.
„Stimmdiebstahl“
Ein Passwort ist ein binärer Sicherheitstest: Entweder man kennt es oder man kennt es nicht. Auf die Stimmerkennung trifft das allerdings nicht zu, denn unsere Stimme verändert sich unter verschiedenen Umständen: zum Beispiel, wenn man krank oder gestresst ist oder wenn man sich in einer lauten oder leisen Umgebung befindet. Tendenziell berücksichtigt die Technologie zur Stimmerkennung gewisse „Fehlermargen“, um die Stimme trotz dieser natürlichen Schwankungen zu erkennen. Hacker konnten auch diese Sicherheitsmaßnahme überlisten. Und zwar indem man die benötigte Stimme überzeugend nachahmt. Dazu reicht bereits eine kurze Stimmaufnahme, an die kriminelle Hacker entweder durch einen mitgeschnittenen Spam-Anruf oder durch den Diebstahl einer Mailbox-Nachricht gelangen könnten.
Darüber hinaus gibt es ein weiteres allgemeineres Sicherheitsrisiko im Hinblick auf die Stimmerkennung in Form einer ganzen Reihe smarter Devices, die gesprochene Sätze aufzeichnen und dem Hersteller zur Verfügung stellen. Dazu gehören zum Beispiel IoT-Geräte wie Smart-TVs oder auch digitale Spielzeuge wie „Hello Barbie“. Geräte, die ununterbrochen auf Sprachanweisungen „hören“, können potenziell auch dazu verwendet werden, private Gespräche mit- oder abzuhören.
So schützen Sie Ihre biometrischen Daten
Die technologische Herausforderung besteht darin, die Verifizierung für den autorisierten Nutzer so einfach wie möglich zu gestalten. Und auf der anderen Seite den kriminellen Hackern das Selbige so schwer wie möglich zu machen. Am besten lässt sich dies mit einem – mindestens – zweistufigen Authentifizierungs-Verfahren umsetzen. Je wichtiger die Daten, desto mehr Schritte sollten vor dem Zugriff zwischengeschaltet sein.
Gleichzeitig sollten Sie sowohl an Kunden als auch an Ihre Mitarbeiter appellieren, die grundlegende Sicherheit zu verbessern und etwa statt herkömmlichen Passwörtern Passphrasen zu verwenden. Zur Erstellung einer Passphrase wird ein Satz verwendet, an den sich der Nutzer gut erinnern kann. Aus den Anfangsbuchstaben sowie aus den enthaltenen Ziffern und Symbolen wird dann ein Passwort erstellt.
Um unsere Daten und Informationen wirklich zu schützen, wird auch in Zukunft erstmal mehr als ein einziger bequemer Schritt notwendig sein. Sicherheitsunternehmen arbeiten stets an neuen Lösungen, aber auch kriminelle Hacker sind immer auf dem neusten Stand und nehmen die Herausforderung gerne an, diese Sicherheitsbarrieren möglichst schnell zu durchbrechen.
* Thomas Wespel ist seit 2011 Geschäftsführer von Avast Software.

Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*