· 

Das Problem mit der Fingerabdruck-Authentifizierung

1. Einführung

Neben der wissens- und besitzbasierten Authentifizierung kommt in modernen IT-Systemen die biometrische Authentifizierung zum Einsatz. Hierbei weist der Anwender durch seine biologischen Eigenschaften die behauptete Identität nach. Diese Verfahrenskategorie wird oft als die „Zukunft der Authentifizierung“ angesehen, da es sich bei dem Schlüssel um einzigartige Eigenschaften handelt, die nicht ohne erheblichen technischen Aufwand übertrag- bzw. nachbildbar sind und somit als sehr sicher gelten. Außerdem bieten sie ein hohes Maß an Usability, da der Anwender kein Geheimnis erinnern oder einen physischen Gegenstand mit sich tragen muss. Bei der biometrischen Authentifizierung wird zwischen den physiologischen und behavioralen Charakteristika unterschieden. Der Fingerabdruck, um den es in diesem Artikel geht, zählt zur Klasse der physiologischen Charakteristika. Es gibt aber einige Gründe, die gegen den Einsatz dieses Verfahrens in kritischen Infrastrukturen (wie etwa Krankenhäusern) sprechen.


2. Warum Fingerabdrücke?

Zunächst einmal müssen wir klären, weshalb der Fingerabdruck überhaupt als Authentifizierungsmechanismus verwendet wird. Nun, das liegt an der hohen Usability dieses Verfahrens. Es ist sehr leicht, einfach seinen Finger an einen Sensor zu halten anstatt ein langes (vermeintlich) sicheres Passwort einzugeben, bei dem man sich evtl. auch noch vertippt oder es falsch erinnert. Natürlich besitzt auch der Fingerabdruck einige Usability-Hemmnisse:

  • Ein Mensch hat zehn Finger. Für die Authentifizierung mit dem biometrischen Fingerabdruck muss der Finger verwendet werden, der zuvor registriert wurde. Abhängig von der Situation, in der man sich authentifizieren möchte, sind wechselnde Finger angebracht (z. B. weil man gerade etwas in der Hand hält und es nicht erst aus der Hand legen möchte). Man könnte natürlich alle seine Finger als Sample hinterlegen, doch das ist mit einem höheren Zeitaufwand verbunden und kann die Sicherheit des Systems reduzieren.
  • Kleinere Verletzungen oder Schmutz an den Fingern können dafür sorgen, dass der Fingerabdruck nicht richtig erkannt wird. Dies erhöht die False Rejection Rate (FRR). Unter der FRR versteht man die Wahrscheinlichkeit, dass ein biometrisches System einer berechtigten Person den Zugang verweigert, was die Usability des Systems verringert. Im Krankenhausumfeld, in dem Desinfektionsmittel und Handschuhe an der Tagesordnung stehen, können diese Nachteile besonders zur Geltung kommen.
  • Wenn der Fingerabdruck-Sensor verschmutzt ist, kann der Fingerabdruck ggf. nicht mehr richtig erkannt werden. 

In meiner Anwenderstudie in einer kritischen Infrastruktur (Krankenhaus) habe ich herausgefunden, dass viele Personen mit dem Erfassen und Verwenden des Fingerabdrucks als Identifikationsmerkmal die Registrierung von Kriminellen verbinden. Dieser Umstand und die zuvor genannten Usability-Einschränkungen nehmen trotzdem viele in Kauf, da diese Authentifizierungsform in vielen Fällen immer noch der Weg des geringsten Widerstandes ist. 

Nach den Zahlen von Anbietern diverser Passwort-Manager verfügt der durchschnittliche Anwender über mindestens 90 Online-Accounts. Viele speichern ihre Anmeldedaten direkt auf den Endgeräten, die zur Anmeldung verwendet werden. Der Vorteil beim Fingerabdruck ist, dass man ihn immer dabei hat und man ihn nicht verlieren kann (außer man trennt ihn sich versehentlich ab oder bekommt ihn abgetrennt). Die Komplexität des sogenannten Daktylogramms macht es nahezu unmöglich, dass Fingerabdrücke entschlüsselt werden können. Soweit zur Theorie. In der Realität steht es nicht so gut um die Sicherheit, wie man vielleicht denken mag.


3. Fingerabdruck "Hacken"

Wir hinterlassen nämlich überall unsere Fingerabdrücke. Egal, ob an der morgendlichen Kaffeetasse, auf Gläsern, an Türklinken oder auf Tastaturen und Bildschirmen – sie sind überall und können von jedem in einem ungünstigen Moment mit entsprechenden Werkzeugen abgenommen werden. So viel zur vermeintlichen Sicherheit. 

Jan Krissler, ein Mitglied des CCC, hat in den Jahren 2008 und 2014 von zwei Politikern, nämlich Wolfgang Schäuble und Ursula von der Leyen, einen Fingerabdruck nachgebaut. Dafür war es noch nicht einmal nötig, einen Gegenstand, den die Personen zuvor angefasst haben, zu besitzen, sondern es genügte ein Foto von einer Pressekonferenz, auf dem der Daumen zu sehen war. Daraus konnte er einen "gefälschten" Finger aus Latex herstellen. Es ist also nicht unmöglich, mit relativ überschaubarem Aufwand an den Fingerabdruck einer Person zu kommen. Lange Zeit glaubte man, dass das nur mit CSI-anmutenden Gerätschaften und chemisch hochkomplizierten Techniken möglich wäre. 

Dann wäre da natürlich noch das Problem der Lebenderkennung. Biometrische Authentifizierungsverfahren sind in meinen Augen nur dann wirklich sinnvoll einsetzbar, wenn sie über eine Lebenderkennung verfügen (d. h. ein Foto darf nicht ausreichen, um ein Gesichtserkennungssystem zu überlisten und ein abgetrennter Finger sollte nicht den Zugang zu einem durch den biometrischen Fingerabdruck geschützten System erlauben).

Die Systeme, in denen die Information über den biometrischen Fingerabdruck gespeichert ist, ist auch nicht unknackbar. Du solltest dir gründlich überlegen, inwieweit du der vorliegenden Technik traust. Es muss noch nicht einmal eine böse Absicht dahinterstecken, sondern es kann auch aus Unerfahrenheit oder fehlender Weitsicht ein System derart designed sein, dass Hacker den gespeicherten Fingerabdruck mit einem geringen Aufwand auslesen können.


4. Herr über den eigenen Fingerabdruck

Es ist zudem möglich, dass man nicht immer Herr über seine Hände ist. Gemeint sind hier Szenarien, in denen Kriminelle, die dich mit vorgehaltener Waffe dazu auffordern, dein Smartphone zu entsperren, ein Leichtes haben an den Schlüssel zu kommen - notfalls mit Gewalt. Wenn das Gerät, zu dem sich die Kriminellen Zugriff verschaffen wollen, eine Brute Force Protection integriert hat, kann man die Angreifer durch Falscheingaben aussperren, was beim biometrischen Fingerabdruck nicht möglich ist: Oder kennst du eine Methode, mit der du deinen Fingerabdruck in einer brenzligen Lage nach Lust und Laune fälschen kannst? 


5. Ein Fingerabdruck bleibt ein Leben lang

Bei Fingerabdrücken wird gerne vergessen, dass sie ein Leben lang gültig sind. Niemand kann seinen Fingerabdruck einfach wechseln. Natürlich ist es möglich, nach Bekanntwerden des Fingerabdrucks eines Fingers einen der verbliebenen neun zu verwenden (schließlich hat jeder der zehn Finger einen anderen Abdruck), doch wenn sie alle bekannt werden, ist dieses Identifikationsmerkmal mehr oder weniger "verbrannt". Ein Passwort (oder den Schlüssel eines anderen wissensbasierten Authentifizierungsverfahrens) kannst du ändern - deinen Fingerabdruck hingegen nicht. Deshalb solltest du dir gut überlegen, ob du mit dieser Information so leichtfertig umgehen möchtest und sie von einem Smartphone-, Laptop- oder Tablet-Hersteller erfassen lässt.

 


6. Fazit

Der biometrische Fingerabdruck ist als Authentifizierungsverfahren einigermaßen gut geeignet und leicht in der Handhabung. Abhängig vom Einsatzgebiet ergeben sich jedoch Usability-Hemmnisse wie etwa Flüssigkeiten oder Schmutz an den Fingen. Zudem können Dritte den Fingerabdruck mit einem verhältnismäßigen Aufwand replizieren, was insbesondere im Arbeitsumfeld ein großes Problem darstellen kann. In kritischen Infrastrukturen empfehle ich biometrische Authentifizierungsverfahren mit Lebenderkennung (wie etwa Handvenenscanner). Zusätzlich dazu sollte ein wissensbasierter Mechanismus ergänzt werden, um eine Zwei-Faktor-Authentifizierung (2FA) zu implementieren.