Der massive Datendiebstahl bei Politikern, Prominenten und Journalisten hat einmal mehr die Verwundbarkeit persönlicher Daten vor Augen geführt. Konzerne arbeiten daher an Authentifizierungssystemen, die unsichere Passwörter durch biometrische Merkmale ersetzen sollen: Gesichtserkennung, Fingerabdruck-Scanner, Iris-Scan. Die Idee: Der menschliche Code lässt sich nicht so einfach knacken wie ein Passwort. Und: Das Passwort kann man nicht vergessen – den Körper trägt man ständig mit sich herum.

Bezahlen per Pulsschlag

Apple etwa bietet mit Touch ID und Face ID zwei biometrische Authentifizierungssysteme an, mit denen sich das iPhone oder iPad entsperren lassen. „Dein Gesicht ist dein Passwort“, wirbt Apple auf seiner Seite. Der Tod des Passworts wurde ja schon vor ein paar Jahren vorausgesagt. Doch nach den jüngsten Leaks sind Konzerne mehr denn je entschlossen, dem Passwort den Sargnagel einzuschlagen.

Der Kreditkartenanbieter Mastercard hat eine mobile Bezahlmethode eingeführt, bei der man per Fingerabdruck und Selfie bezahlen kann. Das kanadische Start-up Nymi hat einen Wearable-Prototyp entwickelt, mit dem der Kunde sich an Kassenterminals über den Herzschlag authentifizieren kann (auch der Puls ist ein biometrisches Merkmal). Und der chinesische Online-Riese Alibaba hat in einer Filiale der Fast-Food-Kette KFC sein mobiles Bezahlsystem „Smile to pay“ ausgerollt, wo Kunden ihren Burger per Gesichtsscan bezahlen können. Kann Überwachungskapitalismus wirklich so einfach funktionieren?

Fingerabdrücke lassen sich fälschen

Auch wenn Unternehmen die Sicherheit biometrischer Authentifizierung betonen – die Systeme sind nicht 100 Prozent fälschungssicher. Und sie können gehackt werden. Dem Hacker Jan Krissler und seinen Kollegen vom Chaos Computer Club gelang es mit einfachsten Mitteln, den Fingerabdruckscanner im iPhone 5S zu knacken. Sie benötigten dafür nur einen Computer, einen Laserdrucker, eine Folie und etwas Holzleim.

Zunächst fotografierten sie den Fingerabdruck eines Benutzers. Dann bearbeiteten sie das Bild am Computer und druckten es per Laserdrucker auf einer Transparenzfolie aus. Auf das Druckbild wurde dann eine dünne Leimschicht aufgetragen. Durch die Drucklinien entstand ein hauchdünnes Relief mit einem Fingerabdruckbild. Schließlich zogen sie die Folie ab und entsperrten damit das iPhone.

Das Dokumentationsvideo samt Bedienungsanleitung zum Hack stellte der CCC auf seine Webseite. Ein peinlicher Vorgang für Apple. „Fingerabdrücke hinterlassen wir überall, und es ist ein Kinderspiel, gefälschte Finger daraus zu erstellen“, sagte Krissler damals.

Biometrischer Datendiebstahl

IT-Spezialist Krissler hat wiederholt die Sicherheitslücken von Biometrie-Systemen aufgedeckt. Auf dem Chaos Communication Congress 2014 demonstrierte er, wie sich mit einer handelsüblichen Spiegelreflexkamera Fingerabdrücke kopieren lassen. Krissler genügte ein Foto von einer Pressekonferenz der Verteidigungsministerin Ursula von der Leyen aus drei Metern Entfernung, um ihren Daumenabdruck mit einem Bildbearbeitungsprogramm zu reproduzieren.

2017 gelang ihm ein weiterer Coup: Da hebelte er die Bildschirmsperre eines Samsung Galaxy S8 mit einer Kontaktlinse aus. Vor ein paar Tagen zeigten deutsche Hacker, dass auch Venenscanner überlistet werden können. Schwachstellen, wohin man blickt. Zwar setzen Hersteller alles daran, um Sicherheitslücken zu schließen. Doch absolute Sicherheit können Biometrie-Systeme nicht bieten.

Daten in Indien erbeutet

Im Gegenteil: Das Abgreifen biometrischer Daten kann weitreichendere Folgen haben als das eines Passworts. Beim Hack der Personaldatenbank der US-Regierung 2015 haben chinesische Hacker unter anderem Fingerabdrücke von 5,6 Millionen Menschen erbeutet. Die Daten sind bis heute nicht auf dem Schwarzmarkt aufgetaucht – und könnten als geostrategisches Faustpfand in den Händen der Regierung zurückgehalten werden (möglicherweise, um Agenten falsche Identitäten zu beschaffen).

Wie fatal ein biometrischer Datendiebstahl sein kann, zeigt das Beispiel Indien. Dort haben Kriminelle die nationale Biometrie-Datenbank Aadhaar, in der Fingerabdrücke, Iris-Scans und Fotos von mehr als einer Milliarde Bürger hinterlegt sind, gehackt und Fingerabdrücke kopiert. Die Betroffenen haben damit ein Identitätsproblem. Wie sollen sie sich ausweisen? Man kann sich ein neues Passwort zulegen, aber keinen neuen Finger.