Lächeln, um zu zahlen

Lächeln, um zu zahlen - so einfach kann Überwachungskapitalismus funktionieren. Es ist ja auch bequem: Man muss nicht mehr im Portemonnaie nach dem PIN kramen, sondern stellt sich einfach vor einen Scanner und schaut in die Kamera. Alles weitere erledigt die Maschine. Auch wenn Unternehmen die Sicherheit biometrischer Authentifizierung betonen - die Systeme sind nicht zu 100 Prozent fälschungssicher. Und können gehackt werden.

Dem Hacker Jan Krissler und seinen Kollegen vom Chaos Computer Club gelang es mit einfachsten Mitteln, den Fingerabdruckscanner im iPhone 5S zu knacken. Alles, was sie dazu brauchten, war ein Computer, ein Laserdrucker, eine Folie sowie etwas Holzleim. Zunächst fotografierten die Hacker den Fingerabdruck eines Benutzers. Dann bearbeiteten sie das Bild am Computer und druckten es per Laserdrucker auf einer Transparenzfolie aus. Auf das Druckbild wurde dann eine dünne Leimschicht aufgetragen. Durch die Drucklinien entstand ein hauchdünnes Relief mit einem Fingerabdruckbild. Schließlich zogen sie die Folie ab und entsperrten damit das iPhone. Das Dokumentationsvideo samt Bedienungsanleitung zum Hack stellte der CCC auf seiner Webseite online. Ein peinlicher Vorgang für Apple. "Fingerabdrücke hinterlassen wir überall, und es ist ein Kinderspiel, sie zu erstellen."

Der IT-Spezialist hat wiederholt die Sicherheitslücken von Biometrie-Systemen aufgedeckt. Auf dem Chaos Communication Congress 2014 demonstrierte er, wie sich mit einer handelsüblichen Spiegelreflexkamera im Handumdrehen Fingerabdrücke kopieren lassen. Krissler genügte ein Foto von einer Pressekonferenz der deutschen Verteidigungsministerin Ursula von der Leyen aus drei Metern Entfernung, um ihren Daumenabdruck mit einem Bildbearbeitungsprogramm zu reproduzieren. 2017 gelang ihm ein weiterer Coup: Da hebelte er die Bildschirmsperre eines Samsung Galaxy S8 mit einer Kontaktlinse aus. Schwachstellen, wohin man blickt. Zwar setzen Hersteller alles daran, um Sicherheitslücken zu schließen. Doch absolute Sicherheit können Biometrie-Systeme nicht bieten.

Abgreifen von Daten

Im Gegenteil: Das Abgreifen biometrischer Daten kann noch viel weitreichendere Folgen haben als das eines Passworts. Beim Hack der Personaldatenbank der amerikanischen Regierung 2015 haben chinesische Hacker unter anderem Fingerabdrücke von 5,6 Millionen Menschen erbeutet. Die Daten sind bis heute nicht auf dem Schwarzmarkt aufgetaucht - und könnten als geostrategisches Faustpfand in den Händen der Regierung zurückgehalten werden (möglicherweise, um Agenten falsche Identitäten zu beschaffen).

Wie fatal ein biometrischer Datendiebstahl sein kann, zeigt das Beispiel Indien. Dort haben Kriminelle die nationale Biometrie-Datenbank Aadhaar gehackt und Fingerabdrücke geklont. Damit konnten sie sich unerlaubten Zugang zu staatlichen Transferleistungen verschaffen. Für die Betroffenen ist das nicht nur ein finanzielles, sondern auch ein Identitätsproblem. Wie sollen sie sich ausweisen? Man kann sich ein neues Passwort zulegen, aber keinen neuen Finger.