Ein Fingerabdruck.

Foto: Reuters

Smartphones, Laptops und sogar Türschlösser gibt es heutzutage immer öfter mit integriertem Fingerabdruckscammer. Die biometrische Authentifizierungsmethode soll gleichzeitig komfortabel und sicher sein. Immer wieder aber haben Wissenschaftler und Hacker aber auch die Grenzen dieses Systems aufgezeigt. So nun auch Forscher von Cisco, denen es gelungen ist, mit Hilfe eines 3D-Druckers in eine Reihe von Geräten "einzubrechen", berichtet Wired.

Insgesamt benötigten sie ein Budget von weniger als 2.000 Dollar, um ihr Experiment durchzuführen. Getestet wurde die Aufnahme von Fingerabdrücken auf verschiedenem Wege. Die erste Variante war es, direkt mit einer Form zu arbeiten, in Testpersonen ihre Finger drückten. Im zweiten Anlauf arbeitete man mit Daten von Fingerabdrucksensoren, wie sie etwa auf Flughäfen eingesetzt werden. Und schließlich nahm man in klassischer, detektivischer Manier Fingerabdrücke von Gegenständen ab, um sie zu kopieren.

Grundsätzlich sicher, aber...

Vorab merken die Wissenschaftler an, dass es besorgniserregend sei, dass 3D-Druckern für den Heimgebrauch mittlerweile Auflösungen bieten, mit denen sich Fingerabdruckscanner hereinlegen lassen und diese Authentifizierungsmethode damit unsicherer werde.

Sie betonen aber auch, dass man nach wie vor einen "signifikanten Aufwand" dafür betreiben muss und sie diesen Schutz nach wie vor als sicher betrachten, da ein Angreifer nicht nur an einen guten Fingerabdruck kommen muss, sondern auch physischen Zugang zum Gerät braucht. Zu bedenken sei aber, dass dieser Fall gegeben sei, wenn es etwa um eine behördliche Durchsuchung eines Geräts geht. Wer auf Nummer Sicher gehen will, sollte besser einen PIN oder ein Passwort einrichten.

Textilkleber und Kunstharz

Um eine Form für die Reproduktion der erfassten Fingerabdrücke zu erstellen, nutzte man einen UV-3D-Drucker. Dieser nutzt ein flüssiges Kunstharz, das mittels ultraviolettem Licht ausgehärtet wird. Anschließend testeten sie verschiedene Materialien, um die eigentliche Abdruck-Kopie zu erzeugen. Am zuverlässigsten funktionierte dabei nicht Silikon, sondern ein Fingerüberzug aus Textilkleber.

Teurer heißt nicht sicherer

Beim Test an verschiedenen Geräten stellte man fest, dass der Preis eines Handys oder Laptops nichts darüber aussagt, wie einfach der Fingerprintsensor sich austricksen lässt. Während man etwa das letztjährige Samsung-Flaggschiff, Galaxy S10, zuverlässig entsperren konnten, verweigerte der deutlich günstigere Mittelklässler A70 aus gleichem Hause den Zugang komplett – hatte aber mitunter auch Probleme bei der Erkennung des echten Fingers.

Auch die Fingerabdruckerkennung über Windows Hello wollte den Fakeabdruck nicht anerkennen, das Macbook Pro von 2018 allerdings schon, wobei die Erfolgsrate je nach Quelle des Fingerabdrucks zwischen 60 und 95 Prozent schwankte. Apple erlaubt allerdings maximal fünf erfolglose Versuche, ehe man den Geräte-PIN eingeben muss.

Dieses Limit sei ein effektiver Schutz, sagen die Experten. Ohne Kenntnis des Codes hätten sie ihre Fake-Fingerabdrücke nicht ausreichend oft ausprobieren können, um diese Erfolgsraten zu erzielen. Insgesamt gelang ihnen bei ihren Versuchen in 80 Prozent aller Fälle die Entsperrung eines Geräts.

3D-Drucker könnten Fingerabdruckscan obsolet machen

Die Ergebnisse der Tests teilte man mit den jeweiligen Herstellern. Allgemein sei der Schutz durch Fingerabdruckscanner zwar als sicher genug für den Alltag einzustufen, das Experiment zeigt laut den Cisco-Experten aber auf, dass 3D-Drucker in einigen Jahren bereits so gut sein könnten, dass man diese Form der Authentifizierung aus Sicherheitsgründen ausmustern muss. (gpi, 7.5.2020)