Hacker knacken Biometrie-Schutzsystem, das auch der BND nutzen soll

Zwei Sicherheitsforschern ist es gelungen, eine der angeblich sichersten biometrischen Identifizierungsmethoden zu überlisten. Alles, was die beiden Berliner Hacker Julian Albrecht und Jan Krissler dazu brauchten, waren eine umgebaute Spiegelreflexkamera, einen Laserdrucker und etwas Wachs.

Mit Hilfe dieser Materialien, die insgesamt nur wenige Hundert Euro kosten, haben die Hacker eine Hand-Attrappe gebastelt, die Venenerkennungssysteme der beiden führenden Hersteller Fujitsu und Hitachi überlisten konnte. "Das gibt einem schon ein ungutes Gefühl, dass das Verfahren als Hochsicherheitssystem angepriesen wird, und dann baust du eine Kamera um, nimmst eine paar günstige Materialien und kannst das hacken", sagt Krissler gegenüber Motherboard. Krissler ist auch unter seinem Hacker-Namen Starbug bekannt und gilt als einer der weltweit führenden Experten zu Sicherheitslücken bei Biometrie-Systemen. "Bisher gingen die Hersteller wohl davon aus, dass ihre Systeme sicher gegen Überwindungsversuche sind. Dies konnten wir durch unsere Versuche widerlegen."

Die Geräte, die zur Venenerkennung eingesetzt werden, sind klein und funktionieren im Prinzip ähnlich wie ein Fingerabdrucksensor. Sie können in Sekundenschnelle anhand einzigartiger Merkmale im Venenmuster unter der Haut eine Person identifizieren – denn bei jedem Menschen sind die Venenmuster andere. Dazu hält man, je nach System, einen Finger oder die ganze Hand über eine Scanner-Fläche. Das Gerät scannt dann die Venenmuster und gleicht sie mit den in einer Datenbank hinterlegten Mustern ab. So soll das System zweifelsfrei sagen können, wen es vor sich hat. Mit ihrer Attrappe allerdings konnten Julian Albrecht und Starbug den Venen-Scanner täuschen und sich mit der Identität des jeweils anderen anmelden.

Venenerkennungssysteme werden in Ländern wie Japan schon länger zur Identifizierung an Bankautomaten eingesetzt. Besonders verbreitet sind sie aber als Zugangskontrolle in Hochsicherheitsanlagen von Firmen oder staatlichen Stellen. Sie schützen zum Beispiel Rechenzentren und Banken. Auch im neuen BND-Hauptquartier werden laut Medienberichten Venen-Scanner eingesetzt. Der BND selbst wollte die Berichte dazu auf Anfrage weder dementieren noch bestätigen. Grundsätzlich erklärte ein Sprecher allerdings, "dass der Zugang zum Kernbereich der BND-Zentrale mit einer Vielzahl von Sicherheitsmaßnahmen geregelt ist."

Die Venen-Scanner galten bisher eigentlich als besonders sicheres System, weil die Venenmuster, die zur Identifizierung einer Person dienen, unter der Haut liegen und nicht offen sichtbar sind. Damit bietet das Verfahren einen entscheidenden Sicherheitsvorteil im Vergleich zu Fingerabdruck-Scannern. Fingerabdrücke lassen sich nämlich deutlich leichter kopieren, schließlich hinterlassen wir sie im Alltag ständig an Türklinken, Gläsern und anderen Dingen, die wir anfassen. Wie einfach Fingerabdrucksensoren zu überlisten sind, hatte Starbug schon vor vier Jahren gezeigt: Damals kopierte er den Daumenabdruck der Verteidigungsministerin Ursula von der Leyen und bastelte daraus eine funktionierende Attrappe. Auch die Touch-ID, die im iPhone 5S verbaut ist, hat Krissler schon überlistet.

Um die Venenerkennung zu hacken, gingen Krissler und Albrecht nun nach einem ähnlichen Prinzip vor: Zunächst fotografierten sie gegenseitig ihre Venenmuster. "Es reicht, Fotos aus einer Entfernung von fünf Metern zu machen. Es dürfte wohl auch funktionieren, sich auf eine Pressekonferenz zu stellen und dort Fotos von den Händen zu machen", so Starbug im Gespräch mit Motherboard. Für die Bilder nutzten die Hacker eine umgebaute Spiegelreflexkamera, aus der sie den Infrarotfilter entfernten. Anleitungen für einen solchen Umbau finden sich im Netz. Auch auf eBay werden umgebaute Kameras für kaum mehr als 100 Euro angeboten.

Diese Bilder druckten die Hacker dann aus, überzogen das Papier mit Wachs und bauten so eine Handattrappe. Damit konnten sie sich mit falscher Identität bei Venenerkennungsgeräten von Hitachi und Fujitsu anmelden. "Als wir das System das erste mal überwunden haben, war ich schon ziemlich überrascht, dass das doch so einfach ist", erinnert sich Starbug an den Moment, als sie die Systeme das erste mal täuschen konnten. Alle Details zu ihrem Angriff präsentierten die beiden Sicherheitsforscher erstmals öffentlich am 27. Dezember auf dem Kongress des Chaos Computer Clubs in Leipzig in ihrem Vortrag "Venenerkennung hacken".

Insgesamt haben die beiden Sicherheitsforscher rund 30 Tage Arbeitszeit in ihren Hack gesteckt. Über 2.500 Bilder haben die beiden geschossen, um die Aufnahmen zu perfektionieren. Albrecht schreibt über das Thema auch seine Bachelorarbeit. Über einen Zeitraum von einem halben Jahr haben er und Starbug sich immer wieder zusammengesetzt, bis sie den Hack schließlich perfektioniert hatten. "Für den Einsatz in Hochsicherheitsbereichen sind die von uns getesteten Systeme aus meiner Sicht komplett ungeeignet", bilanziert Starbug die Arbeit.

Vor rund drei Monaten, als sie in Japan waren, haben Albrecht und Krissler die beiden Hersteller Fujitsu und Hitachi über die Sicherheitslücke in ihren Systemen informiert. "Wir machen das ja nicht, um uns zu bereichern, sondern um die Systeme sicherer zu machen", sagt Krissler. Einigen Mitarbeitern beider Firmen führten die beiden anschließend jeweils auch ihren Hack vor. Ein derart verantwortungsvoller Umgang mit den eigenen Forschungsergebnissen ist Konsens unter White Hat Hackern, die Systeme sicherer machen wollen. Hacker geben den Unternehmen dann einen längeren Zeitraum für Nachbesserungen, bevor sie mit den Ergebnissen an die Öffentlichkeit gehen.

Auf die Frage, welche Schlussfolgerung die Unternehmen aus den Ergebnissen der Forscher ziehen, hat Hitachi bisher nicht reagiert. Eine Fujitsu-Sprecherin erklärte allerdings gegenüber Motherboard, dass man die Forschung zwar kenne, dass aus Fujitsus Sicht allerdings nur ein Element des gesamten Systems betroffen sei. Zu möglichen weiteren Sicherheitsmechanismen äußerte sich Fujitsu allerdings nicht. Der Angriff von Krissler konnte aus Einschätzung von Fujitsu "nur unter Laborbedingungen gelingen" und man halte den Diebstahl der Venenmuster in "praxisnaher Qualität für nicht durchführbar". Im Gespräch mit Spiegel Online weist Krissler diese Kritik von Fujitsu zurück: "Wir haben keine Änderungen an irgendwelchen Konfigurationswerten vorgenommen". Außerdem habe er den Angriff, auch mit der aktuellen Software auf dem Rechner der Mitarbeiter getestet.

Warum die Hersteller nicht selbst Geld in die Forschung gesteckt und die Lücke entdeckt haben, erklärt sich Krissler schlicht damit, dass man wohl bisher davon ausging, dass die Systeme sicher seien. Vergleichbare Angriffe seien bisher eben auch noch nicht dokumentiert und durchgeführt worden. "Aber das ist ja auch die Aufgabe eines Hackers, die Hersteller da ein bisschen zu treten und zu zeigen, dass es nicht sicher ist."

Theoretisch gibt es Möglichkeiten zu verhindern, dass sich die Geräte durch eine Attrappe täuschen lassen. "Nun ist es an den Herstellern, zusätzliche Sicherheitsmechanismen einzubauen, wie eine funktionierende Lebend- beziehungsweise Attrappenerkennung", fordert Krissler. Mit der sogenannten Lebenderkennung, die angeblich sowohl Fujitsu als auch Hitachi in ihren Geräten verbauen, sollen Angriffe mit falschen Händen verhindert werden. Doch offensichtlich funktionierten diese Verfahren nicht bei den Geräten, die Krissler und Albrecht von Hitachi und Fujitsu getestet haben.

Dabei gibt es durchaus schon wissenschaftliche Paper, in denen ein Schutz der Venenerkennung vor Attrappen besprochen wird. Da Venenerkennungssysteme nicht auf dem freien Markt verkauft werden, lässt sich nicht abschließend sagen, ob es noch andere Modelle von Fujitsu und Hitachi gibt, die die Angriffsmethode von Krissler und Albrecht erkannt hätten.

Für Kriminelle kann es durchaus lukrativ sein, Venen-Scanner zu überlisten. Einerseits werden die Systeme in Ländern wie Japan bereits heute eingesetzt, um den Zahlungsverkehr sicher zu machen, andererseits ist der Hack vergleichsweise günstig und einfach durchzuführen. Dass Banken auch intern Venenerkennungsverfahren nutzen, zeigt unter anderem dieses Video der britischen Barclays-Bank, in dem ein Hitachi-Venenerkennungsgerät vorgestellt wird:

Schon heute greifen Kriminelle im großen Stil mit dem sogenannten Skimming die Daten von Privatkunden von Banken an. Dazu bringen sie an Geldautomaten kleine Kameras und Lesegeräte an, um den PIN oder die Daten von EC-Karten heimlich auszulesen. Einen solchen systematischen Aufwand könnten Kriminelle theoretisch auch zum Überlisten von Venen-Scannern wiederholen. Der Angriff von Krissler und Albrecht sollte also auch als Warnung dienen, dass biometrische Verfahren nicht automatisch absolute Sicherheit bieten.

Wie einfach sich die Venen-Muster einer Personen von Hackern abgreifen lassen, führen Krissler und Albrecht mit einem so simplen wie genialen Trick vor. Dazu haben sie den Mini-Computer Rasperry Pi und eine umgebaute Kamera in einem handelsüblichen Handtrockner versteckt. Sobald jemand darin seine Hände trocken will, werden seine Venenmuster fotografiert und von dem Computer aufgezeichnet. "Da aus unserer Sicht die Überwindung der Technik mit relativ wenig Aufwand möglich ist, ist es fragwürdig, große Werte damit abzusichern", warnt Krissler angesichts seiner Forschungsergebnisse.

In öffentlichen Debatten um die Sicherheit von Biometrie-Systemen geht es bisher vor allem um Fingerabdrucksensoren. Der Hack von Krissler und Albrecht zeigt, dass trotz der fortschreitenden Entwicklung von Biometrieverfahren kein System als vollkommen sicher gelten kann. "Bei Biometrie ist es eben immer ein Arms Race", sagt Krissler, der schon seit 15 Jahren zu dem Thema forscht. "Die Hersteller verbessern ihre Systeme, die Hacker kommen und machen es kaputt und so geht es dann wieder weiter."

Update, 27. Dezember, 20:15 Uhr: Wir haben den Artikel um einen Kommentar von Fujitsu ergänzt.

Folgt Max auf Twitter und Motherboard auf Facebook, Instagram, Snapchat und Twitter