Sie halten Fingerabdruck-, Retina- und Stimm-Scanner für den Security-Stein der Weisen? Lassen Sie sich eines Besseren belehren. [...]
Jeder, der schon einmal einen Spionage-Thriller oder einen Science-Fiction-Film gesehen hat, kennt dieses Szenario: Der Held trickst das biometrische Sicherheitssystem seines Gegenspielers mithilfe von Makeup, einer Perücke, eines Kostüms oder – etwas raffinierter – mit Latex-Fingerabdrücken aus. Das Imitieren von Stimmen nicht zu vergessen. „Ist doch alles nur ein Film“, mag mancher jetzt vielleicht argumentieren. Und doch stellt man sich die Frage: Lassen sich biometrische Security-Systeme wie Fingerabdruck- oder Iris-Scanner wirklich nur mit ein wenig Makeup oder einstudierten Imitationen überlisten?
Biometrik-Hack: Wie im Film?
Die Identifikation über biometrische Daten – also die Verifizierung der Identität einer Person durch Stimmerkennung, einen Retina- oder Fingerabdruck-Scanner – gehört für viele Unternehmen inzwischen zum guten Ton. Und das aus gutem Grund: Obwohl es eigentlich ein alter Hut sein sollte, nutzen die meisten Verbraucher auch heute noch keine sicheren Passwörter oder PIN-Kombinationen.
Die Identifikation über biometrische Daten – also die Verifizierung der Identität einer Person durch Stimmerkennung, einen Retina- oder Fingerabdruck-Scanner – gehört für viele Unternehmen inzwischen zum guten Ton. Und das aus gutem Grund: Obwohl es eigentlich ein alter Hut sein sollte, nutzen die meisten Verbraucher auch heute noch keine sicheren Passwörter oder PIN-Kombinationen.
Die Idee hinter der Verschlüsselung über Biometrie ist relativ einfach: Unsere biometrischen Daten, Gesicht, Stimme, Augen und Fingerabdrücke sind individuelle Identifikationsmerkmale und bei jedem Menschen einzigartig. In der Theorie sollte demnach ein hohes Sicherheitslevel garantiert sein. In der Praxis kann die Technologie das aber leider (noch) nicht sicher umsetzen.
Was für viele filmische Utopien sind, ist für findige Hacker heutzutage kein Problem mehr. Aber auch Sicherheitsexperten haben bereits mehrfach aufgezeigt, dass biometrische Security-Systeme mithilfe von technisch relativ simplen Tricks umgangen werden können.
Fingerabdruck-, Iris- & Stimm-Hacks: Die Tricks der Kriminellen
Es sind nicht zu leugnende Indizien dafür, dass die Nutzung von biometrischen Daten zur Sicherung von IT-Systemen noch einiges an Intelligenz zulegen muss. Wir haben die gängigen Methoden der kriminellen Biometrik-Hacker für Sie zusammengefasst.
Es sind nicht zu leugnende Indizien dafür, dass die Nutzung von biometrischen Daten zur Sicherung von IT-Systemen noch einiges an Intelligenz zulegen muss. Wir haben die gängigen Methoden der kriminellen Biometrik-Hacker für Sie zusammengefasst.
Fotos und Ausdrucke
Wer regelmäßig Selfies postet, könnte das demnächst bereuen. Denn sowohl Hacker als auch Sicherheitsexperten konnten biometrische Sicherheitslösungen mithilfe von einfachen Fotos überlisten. Es gab sogar Behauptungen, dass Retina- und Iris-Scanner mithilfe von hochauflösenden Detailfotos eines menschlichen Auges ausgehebelt wurden. Und Wissenschaftler der Michigan State University zeigten auf, dass auch gedruckte Fingerabdrücke zum Hacken des Fingerabdruck-Scanners von Smartphones verwendet werden können. Der Ausdruck wurde mit einem Tintenstrahldrucker und leitfähiger Silbertinte angefertigt.
Wer regelmäßig Selfies postet, könnte das demnächst bereuen. Denn sowohl Hacker als auch Sicherheitsexperten konnten biometrische Sicherheitslösungen mithilfe von einfachen Fotos überlisten. Es gab sogar Behauptungen, dass Retina- und Iris-Scanner mithilfe von hochauflösenden Detailfotos eines menschlichen Auges ausgehebelt wurden. Und Wissenschaftler der Michigan State University zeigten auf, dass auch gedruckte Fingerabdrücke zum Hacken des Fingerabdruck-Scanners von Smartphones verwendet werden können. Der Ausdruck wurde mit einem Tintenstrahldrucker und leitfähiger Silbertinte angefertigt.
HD-Video
Die Berichte über solche Foto-Hacks haben dazu geführt, dass Hersteller von Systemen zur Gesichtserkennung nun einen „Blinzeltest“ in ihre Lösungen einbauen. So soll sichergestellt werden, dass das System nicht mit einer Fotografie überlistet werden kann. Kurz darauf bewiesen White-Hat- und Black-Hat-Hacker, dass die Videoaufnahme einer blinzelnden Person in HD-Qualität ausreicht, um einige Geräte mit „Blinzeltest“ zu entsperren.
Die Berichte über solche Foto-Hacks haben dazu geführt, dass Hersteller von Systemen zur Gesichtserkennung nun einen „Blinzeltest“ in ihre Lösungen einbauen. So soll sichergestellt werden, dass das System nicht mit einer Fotografie überlistet werden kann. Kurz darauf bewiesen White-Hat- und Black-Hat-Hacker, dass die Videoaufnahme einer blinzelnden Person in HD-Qualität ausreicht, um einige Geräte mit „Blinzeltest“ zu entsperren.
Modelliermasse
Das Problem mit Fingerabdrücken ist bekanntlich, dass wir sie auf den meisten Gegenständen hinterlassen. Jeder hat schon einmal einen Krimi oder Spionagefilm gesehen, in dem mit einem einfachen Klebeband Fingerabdrücke vom Tatort genommen wurden. Es sind Fälle von Wissenschaftlern bekannt, die Zahnabdruckmasse und Modelliermasse verwendeten, um einen außergewöhnlich gut gefälschten Fingerabdruck zu erstellen. Mit diesem gelang es innerhalb von nur fünf Minuten iPhone 6 und Samsung Galaxy S6 Edge zu entsperren.
Das Problem mit Fingerabdrücken ist bekanntlich, dass wir sie auf den meisten Gegenständen hinterlassen. Jeder hat schon einmal einen Krimi oder Spionagefilm gesehen, in dem mit einem einfachen Klebeband Fingerabdrücke vom Tatort genommen wurden. Es sind Fälle von Wissenschaftlern bekannt, die Zahnabdruckmasse und Modelliermasse verwendeten, um einen außergewöhnlich gut gefälschten Fingerabdruck zu erstellen. Mit diesem gelang es innerhalb von nur fünf Minuten iPhone 6 und Samsung Galaxy S6 Edge zu entsperren.
„Stimmdiebstahl“
Ein Passwort ist ein binärer Sicherheitstest: Entweder man kennt es oder man kennt es nicht. Auf die Stimmerkennung trifft das allerdings nicht zu, denn unsere Stimme verändert sich unter verschiedenen Umständen: zum Beispiel, wenn man krank oder gestresst ist oder wenn man sich in einer lauten oder leisen Umgebung befindet. Tendenziell berücksichtigt die Technologie zur Stimmerkennung gewisse „Fehlermargen“, um die Stimme trotz dieser natürlichen Schwankungen zu erkennen. Hacker konnten auch diese Sicherheitsmaßnahme überlisten. Und zwar indem man die benötigte Stimme überzeugend nachahmt. Dazu reicht bereits eine kurze Stimmaufnahme, an die kriminelle Hacker entweder durch einen mitgeschnittenen Spam-Anruf oder durch den Diebstahl einer Mailbox-Nachricht gelangen könnten.
Ein Passwort ist ein binärer Sicherheitstest: Entweder man kennt es oder man kennt es nicht. Auf die Stimmerkennung trifft das allerdings nicht zu, denn unsere Stimme verändert sich unter verschiedenen Umständen: zum Beispiel, wenn man krank oder gestresst ist oder wenn man sich in einer lauten oder leisen Umgebung befindet. Tendenziell berücksichtigt die Technologie zur Stimmerkennung gewisse „Fehlermargen“, um die Stimme trotz dieser natürlichen Schwankungen zu erkennen. Hacker konnten auch diese Sicherheitsmaßnahme überlisten. Und zwar indem man die benötigte Stimme überzeugend nachahmt. Dazu reicht bereits eine kurze Stimmaufnahme, an die kriminelle Hacker entweder durch einen mitgeschnittenen Spam-Anruf oder durch den Diebstahl einer Mailbox-Nachricht gelangen könnten.
Darüber hinaus gibt es ein weiteres allgemeineres Sicherheitsrisiko im Hinblick auf die Stimmerkennung in Form einer ganzen Reihe smarter Devices, die gesprochene Sätze aufzeichnen und dem Hersteller zur Verfügung stellen. Dazu gehören zum Beispiel IoT-Geräte wie Smart-TVs oder auch digitale Spielzeuge wie „Hello Barbie“. Geräte, die ununterbrochen auf Sprachanweisungen „hören“, können potenziell auch dazu verwendet werden, private Gespräche mit- oder abzuhören.
So schützen Sie Ihre biometrischen Daten
Die technologische Herausforderung besteht darin, die Verifizierung für den autorisierten Nutzer so einfach wie möglich zu gestalten. Und auf der anderen Seite den kriminellen Hackern das Selbige so schwer wie möglich zu machen. Am besten lässt sich dies mit einem – mindestens – zweistufigen Authentifizierungs-Verfahren umsetzen. Je wichtiger die Daten, desto mehr Schritte sollten vor dem Zugriff zwischengeschaltet sein.
Die technologische Herausforderung besteht darin, die Verifizierung für den autorisierten Nutzer so einfach wie möglich zu gestalten. Und auf der anderen Seite den kriminellen Hackern das Selbige so schwer wie möglich zu machen. Am besten lässt sich dies mit einem – mindestens – zweistufigen Authentifizierungs-Verfahren umsetzen. Je wichtiger die Daten, desto mehr Schritte sollten vor dem Zugriff zwischengeschaltet sein.
Gleichzeitig sollten Sie sowohl an Kunden als auch an Ihre Mitarbeiter appellieren, die grundlegende Sicherheit zu verbessern und etwa statt herkömmlichen Passwörtern Passphrasen zu verwenden. Zur Erstellung einer Passphrase wird ein Satz verwendet, an den sich der Nutzer gut erinnern kann. Aus den Anfangsbuchstaben sowie aus den enthaltenen Ziffern und Symbolen wird dann ein Passwort erstellt.
Um unsere Daten und Informationen wirklich zu schützen, wird auch in Zukunft erstmal mehr als ein einziger bequemer Schritt notwendig sein. Sicherheitsunternehmen arbeiten stets an neuen Lösungen, aber auch kriminelle Hacker sind immer auf dem neusten Stand und nehmen die Herausforderung gerne an, diese Sicherheitsbarrieren möglichst schnell zu durchbrechen.
* Thomas Wespel ist seit 2011 Geschäftsführer von Avast Software.
Be the first to comment