Ein paar Wochen lang war biometrisches Einloggen in aller Munde – besonders nachdem der Chaos Computer Club (CCC) die Gesichtserkennung des Apple iPhones mit simpelsten Mitteln austrickste. So wie der CCC schon die Iriserkennung am Samsung-Handy übertölpelte. Plötzlich galten Gesichts-, Iris- und Stimmerkennung nicht mehr als das nächste große Ding, sondern als besonderes feistes Sicherheitsrisiko. Auch Microsoft stand ein bisschen blöd da mit seinem Windows Hello, einem Software-Modul, das jeden Windows-Rechner mit einer biometrischen Methode aufschließbar machen soll. Dabei geht es am PC mehr ums bequeme Einloggen als um den perfekten Datenschutz. Und: Hello unterstützt – wie viele aktuelle Smartphones – das Einloggen per Fingerabdruck. Und das ist schwieriger zu hacken als die anderen Methoden.

Bis jetzt gibt es kaum Notebooks mit eingebautem Fingerabdruckscanner, die teureren Microsoft-Surface-Modelle haben so etwas, die Spitzenmodelle der bekannten Hersteller auch. Die Auswahl an externen Abdrucklesern ist auch nicht besonders groß, zumal die meisten Modelle gar nicht für das Einloggen in einen Rechner gedacht sind. Per USB anschließbar sind Geräte, die dann mindestens 60, eher 100 Euro kosten. Und nur eine kleine Handvoll chinesischer Hersteller bieten USB-Dongle an, die direkt in einer entsprechenden Buchse untergebracht werden.

Auch bloß Bilderkennung

Nun haben Experten nachgewiesen, dass natürlich auch ein Fingerabdruck gefälscht werden kann. Wir kennen das aus diversen Actionfilmen, wo die Bösewichte ermordeten Leute die Haut von den Fingerkuppen ziehen, um so irgendeine wichtige, biometrische Tür zu öffnen. Tatsächlich handelt es sich bei den Hardwaremodulen zum Erkennen von Fingerabdrücken letztlich auch nur um Bilderkennungsgeräte. Das heißt: Ist man im Besitz von Bildern eines fremden Fingerabdrucks, kann man auf diese Weise geschützte Geräte knacken. Aber ganz so einfach ist das nicht wie der Selbstversuch mit einem preiswerten Fingerabdruck-Scanner für einen Windows-Rechner zeigt.

Gekauft habe ich einen USB-Dongle namens PQI My Lockey, den es im Online-Handel für um die 30 Euro gibt. Das Ding ist winzig und kommt in eine beliebige freie USB-Buchse am PC. Den Rest übernimmt Windows Hello, das einen durch den Lernprozess begleitet. Dazu muss der betreffende Finger mehrmals auf die Kontaktfläche gelegt bzw. gedrückt werden. Bis zu sechs Durchgänge verlangt das System, wobei außerdem gebeten wird, die Fingerkuppe in unterschiedlichen Winkeln vorzuführen. Für jeden Finger, der später als Schlüssel dienen soll, muss diese Prozedur durchgeführt werden. Das dauert, ist aber letztlich einfach.

Kapazitativ, nicht optisch

Die Vorstellung, das Bild der Kapillaren würde quasi „fotografiert“, ist natürlich falsch. Stattdessen erzeugt der Scanner auf kapazitativem Weg eine speicherbare Darstellung des Fingerabdrucks. Das bedeutet, dass die unterschiedliche Oberflächenspannung auf den Kuppen und in den Tälern des Kapillaren gemessen und in Daten übersetzt werden – die übrigens nicht einfach als Bytes gespeichert werden, sondern als Hashtags. Das ist schon mal um ein Mehrfaches sicherer als das, was optische Abdrucklesegeräte tun. Die kann man leicht betrügen, wenn man irgendwo auf Glas oder einer glatten Fläche einen Fingerabdruck des potenziellen Opfers findet. Man fotografiert den Fleck, bearbeitet ihn passend mit Photoshop, druckt ihn auf Folie, die man sich beim Hacken auf eine eigene Fingerkuppe klebt.

Wie gesagt: Ich habe es ganz konkret getestet, mit kriminalistisch einwandfreien Methoden einen Abdruck meines linken Zeigefingers genommen und sehr sorgfältig für den Betrugsversuch vorbereitet. Ergebnis: Der PQI My Lockey hat den gefälschten Fingerabdruck nicht akzeptiert, so sehr ich auch die Folie verfeinert habe. Um nun mein Notebook in Gang zu setzen, muss ich nach dem Einschalten nur kurz einen der „gelernten“ Finger auflegen und kann sofort loslegen. Allerdings hat das winzige Teil auch seine Schwächen. Weil es so winzig ist, sitzt es nie ganz fest in der USB-Buchse. Wackelt es aber beim Scannen auch nur ein bisschen, erkennt es den Abdruck nicht mehr. Deshalb habe ich mir angewöhnt, beim Scannen mit dem Finger immer ein bisschen zu drücken, um sicherzustellen, dass der USB-Dongle im entscheidenden Moment festsitzt.