Der biometrische Rüstungswettlauf
CCC-Hacker Starbug hat in Wien gezeigt, wie man schnell, billig und effizient Fingerabdrücke kopiert und damit Scanner narrt. Vor allem erläuterte er den Rüstungskreislauf der Biometrie-Industrie, der den Steuerzahler teuer kommen dürfte - mit fragwürdigem Nutzen.
Auf Einladung der Bürgerrechtsorganisation Quintessenz ist CCC-Hacker und Biometrie-Experte Starbug am Dienstag für einen Abend nach Wien ins Museumsquartier gekommen, um vor aller Augen im beinahe voll besetzten Saal einen Fingerabdruck zu kopieren. Die Prozedur ist seit langem bekannt - siehe Link - und mit Haushaltsmitteln wie Computer, Superkleber und einer heißen Tischlampe im Rahmen einer guten Stunde zu erledigen.
Wirkungslose Scanner
Laut Starbug ist es kein Problem, gängige Fingerabdruck-Scanner mit den so erzeugten Attrappen zu täuschen, er selbst habe so bereits die Fingerabdruck-Bezahlsysteme in einem deutschen Supermarkt getäuscht, der die Einkäufe seiner Kunden experimentell per Fingerabdruck bestätigen und abbuchen ließ. Freilich nutzte Starbug in diesem Fall eine Kopie seines eigenen Fingerabdrucks, um den Händler nicht zu schädigen.
Fingerabdruck-Scanner, wie auch jene, die in Österreich demnächst zur Erfassung von allen Bürgern dienen sollen, die einen neuen Pass beantragen, seien sehr leicht zu täuschen. "Die Industrie weiß, dass ihre Produkte nichts taugen", sagt Starbug, der einen Überblick über die gängigsten Möglichkeiten zur Erfassung und Prüfung von Fingerabdrücken gab.
Starbug (l.) beim Behandeln einer CD, auf der ein Proband seinen Fingerabdruck hinterlassen hat.
Hochrüstung mit Steuergeldern
Starbug schilderte recht anschaulich den bei IT-Sicherheitssystemen üblichen und für den Steuerzahler außerordentlich kostspieligen Kreislauf der Hochrüstung. Die Hersteller der Fingerprint-Kontrollsysteme versuchten, ihre grundlegend untaugliche Technik ständig neu aufzulegen und zu verbessern, etwa mittels Erkennung der Venenmuster im Handrücken oder mit Prüfung des Pulses im Finger, wobei letzteres schon bei der simpelsten Attrappe versage.
Wenn die Fingerprint-Scanner sich zwangsläufig als untauglich erwiesen hätten, würden Industrie und Politik sich den nächsten teuren Gerätezyklus gönnen und Iris-Scanner einführen. Letztere, so ein kenntnisreicher Einwurf aus dem Publikum, wären etwa durch Insulin-Injektionen leicht aus dem Konzept zu bringen - bei Diabetikern wäre ein Einsatz von Iris-Scannern also kaum möglich.
DNA-Daten für den Pass
Starbug zeigte sich pessimistisch. Am Ende des gegenwärtigen Aufrüstungszyklus würde die Speicherung von DNA-Daten im Pass stehen: "So in acht bis zehn Jahren." Lediglich der Verschlüsselung der Daten auf dem Chip stellte der Experte gute Noten aus. Es sei nicht einfach, bei deutschen Pässen die Daten aus dem Chip auszulesen und zu kopieren. In Großbritannien waren entsprechende Versuche mehrmals gelungen.
Das Innenministerium gibt allein für die Vorbereitung zur Verarbeitung der Fingerprint-Daten gut eine Million Euro aus. Laufende Kosten sind nicht angegeben. In den Materialien hat das Haus von Innenminister Günther Platter [ÖVP] auch die Kosten für die Anschaffung der Fingerprint-Scanner nicht angeführt. Der Österreichische Gemeindetag schätzt die Kosten für einen Scanner auf rund 1.000 Euro - und will, dass der Bund die Geräte kaufen soll. Die Ausschreibung des Innenministeriums für die Scanner endet offiziell am 3. Juni. Ziel der Aktion sei, die Pässe fälschungssicher zu machen, so der Innenminister.
Starbug legt die CD mit dem durch Klebstoff fixierten Fingerabdruck auf die heiße Lampe. Teile des Klebstoffs verdunsten, der gefälschte Fingerprint bleibt als praktisch-flexibles Stück Kunststoff zurück.
==Ein politisches Problem==
Sogar ältere Erkennungsmerkmale wie das Passfoto seien in jüngerer Zeit zugunsten automatisierter Gesichtserkennungssysteme verschlechtert worden. Seien die Polizisten früher auf die Erkennung der Ohrform trainiert worden, müssten die Fotos nun frontal nach Norm aufgenommen werden, um automatisierte Gesichtserkennung zu ermöglichen, die allerdings nur eine geringe Erkennungsrate habe.
Einen Ausweg aus der derzeitigen Situation sieht Starbug nicht. In Deutschland habe sich gezeigt, dass die Politik schlicht die Biometrie-Industrie durch entsprechende Regelungen wie die "Sicherung" des Passes durch Fingerabdrücke subventionieren wolle. So habe die unglücklich privatisierte Bundesdruckerei, die die deutschen Reisedokumente herstellt, durch die Chip-Pass-Aufträge plötzlich wieder schwarze Zahlen schreiben und expandieren können.
Biometrisch gesicherte Pässe sind damit eigentlich kein technisches, sondern ein politisches Problem. Die Frage lautet, ob das Geld, das der Staat zur Verbesserung der Sicherheitslage ausgibt, in automatisierte verdachtsunabhängig funktionierende Kontrollsysteme fließen soll.
(futurezone | Günter Hack)