Wie sicher ist die Fingerabdruckerkennung wirklich? Ein Rundblick.

Spätestens seit es einem Hacker des Chaos Computer Clubs (CCC) 2013 gelang, das Apple-IDTouch-System zu überlisten, poppt die Frage nach der Sicherheit von Fingerabdruckerkennungssensoren an digitalen Geräten immer wieder auf. Auch wir haben uns 2018 im Rahmen des Tests eines entsprechenden Dongles bereits damit beschäftigt. Nun hat sich diese Form der biometrischen Authentifizierung aber gerade bei den Smartphones auf breiter Front durchgesetzt. Grund genug, das Thema noch einmal hervorzuholen.

Jeder, der regelmäßig Krimis guckt, weiß, dass die Anordnung der Kapillaren auf den Fingerkuppen eines Menschen einzigartig ist. Dass also jeder Mensch anhand seiner Fingerabdrücke eindeutig identifiziert werden kann. In der Kriminalistik hat sich das Verfahren, den Fingerabdruck zum Erkennen einer Person heranzuziehen, schon vor deutlich mehr als 120 Jahren durchgesetzt. Scotland Yard hat bereits um 1905 begonnen, umfassende Archive der Fingerabdrücke von Verdächtigen und überführten Tätern anzulegen. Die deutsche Polizei zog kurz nach dem ersten Weltkrieg nach, und angeblich soll die Berliner Kripo zum Ende der Zwanzigerjahre die Abdrücke von mehr als 50 Prozent der Berliner Bevölkerung auf Lager gehabt zu haben. Noch heute suchen die Spurensicherer am Tatort nach Fingerabdrücken, damit Anwesende identifiziert werden können.

Die einzigartige Anordnung der Papillaren auf den Fingerkuppen (Foto: Digisaurier)

Außer im James-Bond-Film oder diversen Science-Fiction-Streifen hat es kaum je Versuche gegeben, Erkennungssysteme mit gefälschten Fingerabdrücken auszutricksen. Denn einen Fingerabdruck zu fälschen ist keine triviale Angelegenheit. Als die ersten Systeme für Computer herauskamen, handelte es sich im Prinzip um einfache 2D-Kameras, die ein gespeichertes Bild mit dem Foto verglichen, das der Sensor beim Versuch der Authentifizierung nahm. Natürlich ließen sich diese simplen Systeme relativ leicht täuschen.

Inzwischen aber haben sich stattdessen kapazitative und Ultraschallscanner durchgesetzt. Kapazitativen Scanner erstellen kein optisches Bild der aufgelegten Fingerkuppe, sondern messen die unterschiedlichen Entladungen winziger eingebauter Kondensatoren. Wo die Haut den Sensor berührt, findet maximale Entladung statt, die Lücken zwischen den Papillaren bringen geringe oder keine Entladung hervor. Es entsteht praktisch eine Landkarte der statischen Ladung, die mit der gespeicherten Karte verglichen wird.

Preiswerter Fingerabdruck-Dongle zum Nachrüsten (Foto: Digisaurier)

Wird Ultraschall eingesetzt, kann der Sensor ein Bild auch dann erzeugen, wenn die Fingerkuppe nicht aufliegt – diese Scanner finden sich in Smartphones unter dem Display, sodass ein separates Touch-Feld nicht mehr nötig ist. Das Verfahren erzeugt zudem ein dreidimensionales Bild, weil auch die unterschiedlichen Entfernungen der Papillaren sowie der Umriss des Fingers fotografiert werden.

Beide Methoden – so viel ist sicher – können mit einem zweidimensionalen Foto einer Fingerkuppe nicht überlistet werden, sei das Bild auch noch so scharf und fein aufgelöst. Wer also einen Fingerabdruck so fälschen will, dass er auch von kapazitativen und Ultraschallscanner akzeptiert wird, braucht zwingend eine dreidimensionale Fälschung, also einen künstlichen Finger. Der lässt sich heutzutage mit einem 3D-Drucker der höheren Qualitätsklassen tatsächlich herstellen … sofern eine dreidimensionale Vorlage vorhanden ist. Die kriegt ein böswilliger Mensch von der Fingerkuppe eines potenziellen Betrugsopfers nicht durch reines Abfotografieren.

Türen öffnen per Fingerabdruck (Foto via pixabay)

Man muss schon physischen Zugriff auf die Finger haben. Ein sauber durchgeführter Abdruck in einer weichen Masse, die schnell genug aushärtet, ergibt wirklich eine brauchbare Vorlage für einen gefälschten Finger. Nur: Wer lässt sich schon freiwillig einen 3D-Fingerabdruck nehmen? Zumal das Material des künstlichen Fingers so beschaffen sein muss, das er auch einem kapazitativen Scan standhält.

Fazit: Ja, es ist theoretisch möglich, die modernen, am häufigsten vorzufindenden Systemen erfolgreich zu übertölpeln. In der Praxis ist die Umsetzung nur mit enormem Aufwand möglich und nur dann, wenn potenzielle Täter die Papillaren eines potenziellen Opfers physisch in die Finger kriegen. Deshalb zählt laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) die Fingerabdruckerkennung zu den sicheren Methoden der biometrischen Authentifizierung.