Biometrische Erkennungsverfahren wie Iris-Scan und Fingerabdrücke sind alles andere als fälschungssicher. Das hat der bekannte Hacker Jan Krissler alias Starbug auf dem jährlichen Hacker-Kongress des Chaos Computer Clubs in Hamburg vorgeführt. In einer Live-Demonstration zeigte er, wie man mithilfe eines einfachen Fotos einen Daumenabdruck erstellen oder den Irisscan überlisten kann. So fertigte er aus einem Presse-Foto von Ursula von der Leyen aus drei Metern Entfernung eine Kopie ihres Daumenabdrucks an. Ein Wahlplakat von Angela Merkel reichte zudem aus, um selbst den Irisscan der Kanzlerin zu fälschen.
Basis für die Fingerattrappe der Bundesverteidigungsministerin sei ein Bild ihres Daumens gewesen, das ein Fotograf bei einem ihrer jüngsten Auftritte in der Bundespressekonferenz aus Abstand von etwa drei Meter mit einem 200er-Objektiv aufgenommen habe, berichtet heise. Ein gängiges Bildbearbeitungsprogramm erledige die nötigen Nachbesserungen, wobei mehrere Fotos zusammengesetzt noch bessere Ergebnisse lieferten. Selbst bessere Handy-Kameras hätten dazu mittlerweile genügend Auflösung.
Mit durchsichtiger Folie, einem Drucker mit mindestens 1200 dpi, Graphitspray und Holzleim ließen sich daraus künstliche Abdrücke beziehungsweise Fingerattrappen herstellen. Damit ließen sich gängige Authentifizierungssysteme per Fingerabdruck, wie es etwa das neue iPhone verwendet, austricksen.
Weil die Fingerabdrücke von Bundeskanzlerin Merkel wegen der bekannten Raute-Handhaltung bei offiziellen Terminen nicht fotografierbar seien, habe er sich bei der Regierungschefin stattdessen ein Iris-Abbild kopiert, so Krisseler. Ein Merkel-Foto aus fünf Metern Entfernung mit einem Iris-Durchmesser von 110 Pixel, ausgedruckt mit 1200 dpi genüge, um einschlägige Biometriesysteme zu unterwandern, die als vermeintlich sicheres Erkennungssystem in der Wirtschaft verwendet werden. Auch die superhohe Auflösung von Wahlplakaten liefere genügend Details für eine solche Iris-Atrappe.
„Die Iris-Erkennung ist auch endgültig kaputt“, fasste Krisseler die Ergebnisse seiner Demonstration zusammen. Der Hacker kündigte an, den Fingerabdruck der Ministerin von der Leyen im Netz zu veröffentlichen, schließlich spreche nicht dagegen, solange auch die Bundesbürger für den elektronischen Pass Fingerabdrücke abgeben müssten.
