Der Einfachheit halber veranschaulichen wir unsere Empfehlungen am Beispiel der Fingerabdruckerkennung und betrachten dazu einige mehr oder weniger erfolgreiche Publikationen aus Presse, Internet und Fernsehen zum Thema "Wie überliste ich ein Fingerprint-System". Alles was Sie brauchen, ist ein geschickter Umgang mit Informationen, insbesondere durch gezielte Verallgemeinerungen und passendes Weglassen, etwa durch nicht sofort durchschaubare Vernachlässigung von Zusammenhängen.

Und so wird es gemacht:

Schritt 1: Sie suchen sich eine konkrete biometrische Anwendung heraus. Denn es ist sehr wichtig, dass der Empfänger Ihrer Botschaft sich vorstellen kann, worum es geht, und dass er möglichst auch selbst betroffen sein würde. Deshalb: keine Nischenanwendungen und auch nur Anwendungen, die bereits vor nicht allzulanger Zeit eingeführt wurden. Zu lange sollten Sie nicht warten, damit Ihnen niemand zuvorkommt.

Schritt 2: Nun müssen Sie demonstrieren, wie leicht die biometrische Anwendung durch die Kopie eines Fingerabdrucks auszutricksen ist. Natürlich wissen Sie, dass ein kompletter Betrugsversuch aus mindestens drei Hürden besteht, die alle zu überwinden sind:

1. Sie müssen eine  passende Fingerabdruckkopie z.B. in Form eines Latenzbildes auftreiben
2. Sie müssen diese Fingerabdruckkopie in eine materielle Form bringen, die es gestattet, von einem Fingerabdrucksensor nicht als Plagiat erkannt zu werden
3. Sie müssen das biometrische System dazu bringen, den nachgemachten Fingerabdruck zu akzeptieren

Ganz wichtig ist die Oberfläche. Sie muss glatt und sauber sein, möglichst hochglänzend und eben, sonst könnten zum Beispiel beim Abfotografieren perspektivische Verzerrungen entstehen und die Erkennungschancen vermindern. Natürlich muss die Oberfläche zu einem vielgenutzten Allerweltsgegenstand gehören, denn Sie haben jetzt mit einem Glaubwürdigkeitsproblem zu kämpfen. Möglicherweise könnte nämlich der Adressat Ihrer Publikation auf die Idee kommen, dass Ihre Methode des "kooperativen Opfers" genauso sexy ist, wie das Duplizieren des eigenen Haustürschlüssels. Denn niemand kommt auf die Idee, dass Schlüssel generell unbrauchbar sind, nur weil man sie beim Schlüsseldienst nachmachen lassen kann. Natürlich könnten Sie an dieser Stelle verschweigen, woher der Fingerabdruck kommt. Aber das ist nicht erforderlich, hier hilft Ihnen zuverlässig die menschliche Vorstellungskraft aus der Bredouille: Jeder Mensch mit einem Minimum an Fantasie kann sich vorstellen, dass das Ganze ähnlich einfach auch mit einem fremden Finger funktioniert. Denn Ihr Vorteil ist, dass außer der Kriminalpolizei und denen, die es tatsächlich einmal versucht haben, zur Zeit wahrscheinlich (noch) niemand wirklich weiß, wie (wenig?) aussichtsreich dieses Unterfangen ist.

Hürde 2 ist da schon wesentlich einfacher zu nehmen! Denn hier haben Sie den unbezahlbaren Vorteil, dass Ihnen honorige Institutionen wie der Chaos Computer Club die Arbeit bereits abgenommen haben. Sie können ruhigen Gewissens auf deren Anleitung [1] im Internet verweisen. Unklug wäre es an dieser Stelle allerdings, zu tief in die Hintergründe einzusteigen. Das könnte Sie erheblich an Glaubwürdigkeit kosten. So interessieren sich nur Wissenschaftler (also nicht Ihre Zielgruppe) dafür, wie viele Wochen jemand braucht, um ein zu Ihrem Fingerprintsensor passendes Kopierverfahren auszutüfteln und wieviele Tage jemand braucht, um dieses Verfahren soweit zu beherrschen, dass der Kopiervorgang z.B. innerhalb einer Stunde gelingt. Und an dieser Stelle will auch niemand von Ihnen wissen, dass der Kopiervorgang ein "Blindflug" ist. Denn der kleinste Fehler reicht, und Sie fangen spätestens nach erfolglosen Versuchen am Sensor wieder von vorne an oder geben gar ganz auf. Aber selbst wenn Sie diese Kopierprozedur selber durchstehen und Ihren Aufwand wahrheitsgetreu schildern: Sie müssen nur die richtige Formulierung finden, und die Vorstellungskraft Ihres Adressaten wird den Rest erledigen. Denn wenn einmal ein Versuch erfolgreich war, dann ist die Hoffnung immer berechtigt, dass es erneut (sofort) klappen wird. Sonst würde ja auch kein vernünftiger Mensch Lotto spielen.

Damit wären Sie bei Hürde 3 angelangt. Jetzt wird es ernst, Sie müssen Ihre Fingerkopie dem Sensor präsentieren. Um den Erfolg Ihres Projekts nicht zu gefährden, haben Sie natürlich schon bei der Auswahl der biometrischen Anwendung darauf geachtet, dass diese Präsentation ohne Beobachtung durch andere Personen stattfinden kann. Da ja nichtdigitale Kopien nie so perfekt wie das Original sein können, sollte Ihre Anwendung auch so ausgesucht sein, dass beliebig viele Authentifizierungsversuche erlaubt sind, damit Sie den richtigen Auflagewinkel, den richtigen Auflagebereich relativ zur Fingerführung des Sensors und den richtigen Auflagedruck in der zur Verfügung stehenden Zeit treffen. Für den wahrscheinlichen Fall, dass es nicht schon beim ersten Mal klappt, hat der Anbieter des biometrischen Systems hoffentlich daran gedacht, den vom Sensor aufgenommenen Fingerabdruck auf einem Display bildlich darzustellen. Denn ohne Feedback kann ein Fälschungsversuch doch recht mühselig werden.

Schritt 3: Wenn Sie Ihre Untersuchung erfolgreich veröffentlicht haben, sollten Sie für gelegentliche Updates sorgen, um die Sache am Köcheln zu halten. Denn einmalige Nachrichten sind schnell vergessen. Dazu müssen Sie etwas Neues bringen. Da sich im Bereich der Fingerabdruckerkennung irgendwann einmal die Erkenntnis durchgesetzt haben wird, dass man die Fälschungserkennung an Sensoren zwar stetig verbessern kann, aber eine perfekte Lösung weder erforderlich noch realisierbar ist, verbleibt als wichtigste Möglichkeit ein Remake mit neuer Anwendung (Schritt 1). Diese sollte wieder möglichst gerade erst eingeführt worden sein. Zu langes Warten hätte neben dem bereits erwähnten Prioritätsverlust noch einen anderen schwerwiegenden Nachteil zur Folge: Wenn über lange Zeiträume keine echten Probleme bekannt werden, wird eine Publikation von hypothetischen Fällen beim Adressaten wohl eher Mitleid als das gewünschte Entsetzen hervorrufen!

Option: Was kann man machen, wenn man, natürlich aus guten Gründen, eine bestimmte biometrische Anwendung verhindern will, die noch nicht eingeführt ist? Der Versuch am lebenden Objekt ist einem dann ja verwehrt. In diesem Fall empfehlen wir das Prinzip der "intuitiven Verallgemeinerung": Sie verweisen einfach auf andere biometrische Anwendungen, für die eine negative Publicity bereits erreicht wurde. Fairerweise konzentrieren Sie sich hierbei auf Fälle, die vermeidbare Fehler seitens des Systemherstellers vorweisen können. Auch sollten Sie jede explizite Verallgemeinerung unterlassen, es reicht eine kommentarlose Aufzählung. Den Rest erledigt wieder die Fantasie des Adressaten Ihrer Publikation.

Hüten Sie sich aber vor Übertreibungen! So werden Sie  wahrscheinlich nur wenige damit überzeugen können, wenn Sie davor warnen wollen, den PC-Zugang daheim mit einer Fingerabdruckerkennung zu schützen und Sie dazu die Begebenheit [2] von dem malaysischen Mercedesfahrer bemühen, der seinen Wagen mit einer (vom Hersteller nicht autorisierten) Wegfahrsperre mit Fingerabdruck gesichert hatte und dies bei einem Überfall dann mit dem Verlust seiner Fingerkuppe bezahlte. Obwohl, aus diesem Beispiel einer törichten Fingerprintanwendung könnte man vielleicht doch noch einiges herausholen.

Wie in jeder guten Anleitung wollen wir auch hier einige erfolgreiche oder weniger erfolgreiche Beispiele diskutieren.

Bald ein Volk ohne Daumen? [3]. Dieser Beitrag von M. Maresch in der Süddeutschen Zeitung aus dem Jahre 1998 gehört zu den frühesten, aber leider weniger gelungenen Beispielen. In diesem Artikel wurde ein Schreckensszenario von Fingerprintnutzern aufgezeigt, denen die Daumen abgeschnitten wurden, um damit am Automaten  anderer Leute Geld abzuholen. Zwar hat dieser Artikel kurzzeitig einige Hersteller von Fingerprintsensoren aufschrecken können, fand aber beim großen Publikum keine größere Resonanz. Grund: zu früh, zu übertriebene Darstellung.

Matsumoto [4]: Sehr erfolgreicher Beitrag eines Mathematikers, der einmal handwerklich tätig sein wollte und sich dazu mit der Erstellung von Kopien des Fingerabdrucks und dem nachfolgenden "Täuschen" des Sensors beschäftigte und dies zur internationalen Bestürzung auch erfolgreich bewerkstelligte. Genial: Diese Veröffentlichung kam  zu einer Zeit voller Hype, in der selbst von manchen Sensorherstellern noch die Marketingbotschaft in die Welt gesetzt wurde, man könne keine Finger nachmachen. Damit war die Wirkung umso einschlagender. Gut: kooperative Opfer. Heute einer der meistzitierten Fälschungsartikel! Der Verfasser vermied es auch erfolgreich, frühere Quellen seiner Versuche zu nennen: So wurde 1922 vom berühmten Kriminalisten Robert Heindl in seinem Buch "System und Praxis der Daktyloskopie und der sonstigen technischen Methoden der Kriminalpolizei" (De Gruyter, Berlin 1922) darauf verwiesen, dass R. Austin Freeman bereits 1907 in seinem Kriminalroman "The Red Thumb Mark" eine High-Tech-Methode zum Kopieren von Fingerabdrücken auf Gelatinefolie präsentierte, die auch heute noch sehr gut mit den meisten Fingerabdrucksensoren zusammenarbeiten würde. Natürlich gab es damals noch keine Sensoren für Fingerabdrücke. Hier ging es vielmehr um die Verbreitung von fremden Fingerabdrücken am Tatort, um die Polizei an der Nase herum zu führen.

c't 2002 [5]: Perfekt gemachte Fälschungsversuche in einem Test von Fingerprintsensoren für PC-Anwendungen. Waren so gut, dass sogar der Chefredakteur von "heise Security" hinterher im Fernsehen verkündete, seinen PC nicht mit Fingerprint schützen zu wollen. Es wurden fast alle hier gemachten Empfehlungen umgesetzt: "kooperative Opfer", gutes Timing, keine unnützen Angaben über den Fälschungsaufwand, fehlerhafte Testprodukte.

c't 2007 [6,7]: In diesem zweiten Test mit Fälschungsversuchen konnte die c't das hohe Niveau des ersten Beitrags leider nicht halten. Wahrscheinlich hat man das selbst gemerkt und deshalb auf eine Übersetzung ins Englische verzichtet. Schlecht: die Autoren geben zu, dass sie einige Fingerprint-Systeme nur schwer "überlisten" konnten. Unverzeihlich: der Beitrag erwähnt, dass nichtkooperative Opfer, also der Realfall, die Situation für den Fälscher deutlich erschweren. Aber wenigstens hat man diesen Fall nicht weiter untersucht.

Plusminus [8]: Dieser Beitrag setzt die lange Tradition ähnlicher biometriespezifischer Fälschungsthemen im öffentlich-rechtlichen Fernsehen mit einer Demonstration fort, wie sich ein biometrisches Bezahlsystem überrumpeln lässt. Gut gemacht: kooperatives Opfer, kein überflüssiges Wort zum Fälschungsaufwand, keine unnütze Information, welche Maßnahmen dem Fälscher sonst noch die Arbeit schwer machen könnten. Weniger geschickt der Abschluss des Beitrags, in dem es heißt: "Edeka Südwest teilt uns auf Anfrage schriftlich mit, man sehe „keinen Handlungsbedarf“. Die bestehenden Sicherheitsvorkehrungen seien, „wie unsere Erfahrungen gezeigt haben, vollkommen ausreichend“. Der verwendete Scanner sei „sogar für die Verwendung durch amerikanische Regierungsbehörden freigegeben“ und werde „weltweit (...) im Sicherheitsbereich von ca. 200 Mio. Personen genutzt.“ Mit anderen Worten: Man kann auch Sicherheitsbehörden mit diesem Trick „leimen“." Spätestens hier könnte dem einen oder anderen Leser der Gedanke kommen, warum der Autor 'gegen den Rest der Welt' Recht haben sollte und ob er nicht irgend etwas übersehen haben könnte. Merke: manche opfern für einen guten Joke (das finale "leimen" passt wunderbar zum benutzten Leim bei der Duplizierung des Fingerabdrucks) zwar schon mal Freunde, aber bitte nie die eigene Glaubwürdigkeit aufs Spiel setzen!

Zum Schluss noch ein Tipp für den Fall, dass die Beschreibung Ihrer Untersuchung zu technisch, zu sachlich oder zu nücherten ausgefallen sein sollte: Bereiten Sie unbedingt eine Pressemeldung zu Ihrer Publikation vor. Seien Sie versichert, dass die so generierten Nachfolgeveröffentlichungen dann all jene Verallgemeinerungen, Verkürzungen und Übertreibungen enthalten, die Sie sich selbst nicht darzustellen getraut haben! Damit sind Sie fein raus und haben Ihr Ziel mit minimalem Aufwand erreicht! Glückwunsch!
 

[1]		"Starbug"; "Wie können Fingerabdrücke nachgebildet werden?"; 09. Oktober 2004; https://www.ccc.de/biometrie/fingerabdruck_kopieren.xml
[2]		Kent, J.: "Malaysia car thieves steal finger": http://news.bbc.co.uk/1/hi/world/asia-pacific/4396831.stm
[3]		Maresch, M. "Bald ein Volk ohne Daumen?"; Süddeutsche Zeitung v. 1998-01-31
[4]		Matsumoto, Tsutomu; "Importance of Open Discussion on Adversarial Analyses for Mobile Security Technologies"; ITU-T workshop on security, Seoul;  May 2002.
[5]		Thalheim, L.; Krissler, J.; Ziegler, P.-M.: "Körperkontrolle"; c't 11/2002, S114-123; deutsche Kurzfassung; englische Langversion.
[6]		Heinz, B.; Krißler, J.; Rütten, C.: Fingerspitzengefühl - Fingerabdrucksysteme im Test. c't 12/2007, S 98-101.
[7]		Krißler, J.; Rütten, C.: Feine Linien - Wie leicht sich Fingerabdrucksensoren austricksen lassen. c't 12/2007, S 102-103
[8]		Fingerprint-System überlistet, WDR, plusminus, Dienstag, 27. November 2007, 21:50