Biometrie und Sicherheit

Manfred Bromba
Siemens AG - Bereich ICM Biometrics
2002-10-29
Permanent address for citation: urn:nbn:de:0125-2008042821
Merkmalskopien
Sicherheit und Authentifikation
Schutzmaßnahmen
PC-Arbeitsplatz
Angriffe auf den PC-Arbeitsplatz
Spurensuche
Ergebnis der Spurensuche
Latenzbild-Detektion
Replayattacken
Perfekte Sicherung
Fälschungserkennung
Einsatz von Chipkarten
Unvernünftige Lösungen
Fazit
Weitere Informationen

Anders als bei biometrischen Authentifikationsverfahren sind die Schwächen von Passwörtern und Schlüsseln allgemein bekannt; der Nutzer kann sich auf die damit verbundenen Risiken einstellen. Nachdem die Schutzfähigkeit biometrischer Authentifikationsverfahren durch Labortests in Zweifel gezogen wurde, erhebt sich die Frage, welche Sicherheit damit ausgestattete Anwendungen in der Praxis bieten können. Dazu reicht es nicht, losgelöst einzelne Schritte eines möglichen Angriffs zu betrachten. Um ein ausgewogenes Bild zu erhalten, stellte ein Spurensicherungsteam der Kriminalpolizei seine Erfahrung für den Fall der Fingerprint-Biometrie zur Verfügung. Unter anderem wurden zwei PC-Arbeitsplätze nach brauchbaren Fingerabdruckspuren untersucht. Das Ergebnis: Bei korrekter Betrachtungsweise ergeben sich zwischen Labor und Praxis erhebliche Unterschiede zu Gunsten der Biometrie, insbesondere, wenn man von realistischen Voraussetzungen ausgeht.

Als die c't und andere Publikationen [1 - 4] zeigten, wie "einfach" sich marktgängige biometrische Systeme im Labor durch Kopien täuschen lassen, hatte das ein enormes Echo in Presse, Rundfunk und Fernsehen zur Folge. Die gleichen Medien, die bisher die biometrische Identifikation als die neue Dimension der ultimativen Sicherheitstechnik gepriesen hatten, stellten diese jetzt als gefährliches Sicherheitsrisiko hin: Von unzulässigen Verkürzungen über Schwarz-Weiß-Malerei bis hin zu gewagten Verallgemeinerungen war alles zu finden. Nur sehr wenige Presse-Reaktionen waren von Sachkenntnis geprägt: Grund genug für den Autor, dieses Thema etwas genauer zu beleuchten.

Merkmalskopien

Für die Fachwelt waren die Veröffentlichungen über die Möglichkeit, biometrische Merkmale zu kopieren, keine Überraschung. Die Wahrnehmung der Öffentlichkeit über Biometrie war bis dahin vor allem geprägt durch kernige Marketingsprüche, die hundertprozentige Sicherheit in Aussicht stellten, also etwas, wonach sich zwar jeder sehnt, wovon aber auch fast jeder ahnt, dass es das nicht geben kann. Schließlich war schon seit spätestens 1907 bekannt, wie man falsche Fingerabdrücke nachmacht. So beschreibt R. Austin Freeman in seinem Roman "The Red Thumb Mark" eine Hightech-Methode zur Herstellung einer Gelatinefolie mit einem "falschen" Fingerabdruck: Man nehme eine lichtempfindliche Chromatgelatineplatte, belichte diese mit dem als Dia vorhandenen Fingerabdruck und wasche die Oberfläche aus. Dabei werden die nicht durch das Licht ausgehärteten Stellen entfernt, so dass ein Fingerlinienrelief entsteht. Zwar wurde diese Methode zum Verbreiten falscher Fingerabdrücke an einem Tatort ersonnen, jedoch würde eine derart hergestellte Gelatinefolie auch bei vielen heutigen Fingerabdrucksensoren noch gut funktionieren.

Biometrische Merkmale unterscheiden sich vom Passwort auch dadurch, dass sie sich in der Regel weit schwieriger geheimhalten lassen. Dazu kommt, dass im Fall einer Kompromittierung das biometrische Merkmal nicht so einfach wie ein Schloss oder ein Passwort austauschbar ist. Man muss deshalb beim Einsatz in Sicherungssystemen je nach Anwendung und Sicherungsbedarf darauf achten, dass das Risiko eines Missbrauchs von Merkmalskopien beherrschbar bleibt. Spätestens hier stellt sich die Frage, wieviel "Sicherheit" ein biometrisches Verfahren bieten muss, wie man diese erreicht und wie man sie nachweist.

Sicherheit und Authentifikation

Sicherheit lässt sich durch folgendes vereinfachte Bild veranschaulichen: Ein Schatz wird durch eine Mauer vor Dieben geschützt. Je höher (und dicker) die Mauer, desto höher der Aufwand zur Erreichung des Schatzes, desto niedriger die Eintrittswahrscheinlichkeit für einen Diebstahl und desto höher die Sicherheit. Hundertprozentige Sicherheit kann eine unendlich hohe Mauer bedeuten. Andererseits, wenn ich keinen Angreifer befürchten muss, benötige ich für 100%ige Sicherheit überhaupt keine Mauer! Letzteres ist kaum zu erwarten, während im Fall unendlich hoher Mauern schnell klar wird, dass es für die Wirtschaftlichkeit einer Schutzmaßnahme Grenzen gibt, insbesondere dann, wenn die Schutzkosten den Wert des Schatzes übersteigen.

Beim Beispiel des durch eine Mauer geschützten Schatzes ist schließlich noch zu berücksichtigen, dass sich (anders als bei den Pharaonengräbern) der rechtmäßige Besitzer gelegentlich von außen Zugang zu seinem Schatz verschaffen möchte. Es ist die Mauer also an einer Stelle durch eine Öffnung zu ersetzen, die selektiv nur Berechtigte passieren lässt. Hier können biometrische Verfahren die erforderliche Authentifikation gewähren. Klar, dass die biometrische Authentifikation nicht zur schwächsten Stelle des gesamten Systems werden darf! Andererseits wird die Sicherheit durch die Authentifikation auch kaum größer. Ist sie in diesem Beispiel nämlich schwerer zu überwinden als die Mauer, wird der Angreifer die Mauer wählen.

Ein Authentifikationsverfahren allein (egal ob biometrisch oder nicht) kann nicht durch die Eigenschaften "sicher" oder "unsicher" beschrieben werden. Sicherheit ist immer eine Eigenschaft des Gesamtszenarios.
 

Anwendung und Sicherheit
Welchen großen Einfluss die Anwendung auf das Zusammenwirken von Authentifikation und Sicherheit hat, veranschaulicht folgendes Beispiel: Es ist relativ "einfach", sich vom eigenen Finger einen Ersatzfinger in Form eines Stempels anfertigen zu lassen. Dazu erzeugt man von seinem Fingerabdruck eine hochwertige Bilddatei und bereitet diese z. B. per ULEAD PhotoImpact so auf, dass sich klare Linienstrukturen ohne Störungen ergeben. Diese Bilddatei übergibt man einem Stempelhersteller, der daraus für ca. 7 EUR innerhalb weniger Tage einen Fingerabdruckstempel herstellt. 
 
Für 7 EUR kann man sich von seinem Fingerabdruck einen Stempel anfertigen lassen

Jemand wird nun wenig interessiert sein, diesen Stempel herumliegen zu lassen, wenn er sein Eigentum mit einem Fingerabdrucksystem sichert, das diesen Stempel als "echt" erkennt. Etwas weniger Probleme hat er vielleicht, wenn sein Fingerabdruck nicht eigenes Gut, sondern z. B. das seines Arbeitgebers schützt. Aber insgesamt wird er versuchen, diesen Stempel nicht in Umlauf zu bringen. Anders sieht es bei einer Zeiterfassung aus. Hier könnte man versucht sein, seine Anwesenheit durch Weitergabe des "Ersatzfingers" an einen Kollegen vorzutäuschen.

Als Authentifikationseinrichtung muss ein biometrisches System gegen herkömmliche Systeme wie Schlüssel- und Passwortsysteme antreten. Die Schwächen dieser Systeme sind zur Genüge bekannt, aber ebenso wie für biometrische Verfahren kaum quantifizierbar. Was einen direkten Vergleich mit der Biometrie erschwert, sind einmal die starken prinzipiellen Unterschiede, vor allem aber die Unterschiedlichkeit des Menschen selbst. Denn gerade beim Schlüssel und beim Passwort kann der Mensch die größte Schwachstelle sein (muss es aber nicht!). Fast immer lässt sich beobachten, dass der Mensch gerne Bequemlichkeit gegen Schutz eintauscht und leichtsinnig wird: Passwörter werden an die Pinnwand gehängt, weil die damit verbundenen Umstände extrem lästig und der mögliche Schaden nicht bewusst ist. Den Schlüssel findet man unter der Fußmatte oder in ähnlich schnell durchschaubaren Verstecken. Biometrische Verfahren sind dagegen weit weniger von der persönlichen Einstellung des Nutzers abhängig. Im Gegenteil: Im Fall eines Sicherheitsproblems nimmt die biometrische Authentifikation fast die gesamte "Schuld" auf sich.

Schutzmaßnahmen

Um zu entscheiden, ob die Schutzfähigkeit eines Authentifikationsverfahrens ausreichend ist, muss geprüft werden, ob sie quantitativ mit der Schutzfähigkeit des Grundschutzes vergleichbar ist. Dazu könnte man statistisch den Aufwand erfassen, den unterschiedliche Angreifer benötigen, um entweder den Grundschutz (= Mauer) oder das Authentifikationsverfahren (= selektive Maueröffnung) zu überwinden. Ist der Aufwand gleich, ist das System ausgewogen. Als Aufwand sind sowohl Kosten als auch Zeit zu betrachten. Die Anwendung bzw. das Sicherheitsszenario entscheidet, was stärker zu gewichten ist.

Eine weitere Möglichkeit, die Ausgewogenheit zu bestimmen, bestünde darin, die Angriffe in einem wirklichen System retrospektiv zu erfassen unter Berücksichtigung des entstehenden Schadens. Ein Angreifer wird nämlich unter bestimmten Bedingungen immer den Erfolg versprechendsten Weg wählen, und das ist in der Regel der Weg des geringsten Widerstands. Erfolgen Einbrüche häufiger über die Authentifikationseinrichtung, ist diese im Vergleich zum übrigen Sicherungssystems zu schwach und muss verbessert werden. Beide Methoden eignen sich auch, um unterschiedliche Authentifikationsverfahren zu vergleichen.

Schwieriger ist dagegen die absolute Bestimmung der Schutzfähigkeit. Dazu wäre die Wahrscheinlichkeit des Eintretens eines Schadens mit und ohne Schutz zu ermitteln. Das geht eigentlich nur durch Ausprobieren und Warten, bis genügend Einbrüche unter möglichst identischen Bedingungen registriert sind. Man ahnt, dass es sich hier um eine wenig praktikable Methode handelt.

Schließlich gibt es noch den Weg, eine ausreichende Schutzfähigkeit heuristisch an Hand von Kriterien zu beurteilen. Sicherheitskriterien wurden von verschiedenen nationalen und internationalen Gremien erarbeitet. Detaillierte Hinweise findet man auf der Homepage des Bundesamtes für Sicherheit (http://www.bsi.de) unter Zertifizierung.

PC-Arbeitsplatz

Im folgenden soll eine grobe Analyse der Sicherheit eines PC-Arbeitsplatzes mit Netzzugang erfolgen. Zu schützen sind lokale und auf Netzlaufwerken gespeicherte (teilweise vertrauliche) Daten, sowie Intranetdienste für Bestellungen, Urlaubsbuchung, Zeiterfassungsbearbeitung, Reisemittelbestellung, Telefonunterstützung usw. Da geheime Firmendaten niemals auf vernetzten Systemen gelagert werden sollten, ergeben sich für diese Arbeitsplatzsysteme niedrige Sicherungsanforderungen, da die meisten Aktionen im Fehlerfall wieder rückgängig zu machen sind. Der größte Schaden sollte somit durch sekundäre Ereignisse zu erwarten sein, wie Verlust von Arbeitszeit wegen Nichtfunktion des Systems (Sabotage) und Blockierung oder Zerstörung von Arbeitsergebnissen, was zu nicht fristgerechten Projektabschlüssen führen kann. Gegen letzteres gibt es natürlich den sehr wirksamen Schutz der Datensicherung. Schwer zu quantifizieren ist dagegen das Bekanntwerden von nicht geheimen aber vertraulichem Firmen-Knowhow.

Angriffe auf den PC-Arbeitsplatz

Da viele Firmen auch nach außen vernetzt sind, um z. B. PC-Heimarbeit zu ermöglichen, gibt es bei ausreichender Absicherung des Rechenzentrums im Wesentlichen zwei Angriffswege: Den über das Netz (Telefon, Internet) von außen und den über den Arbeitsplatz-PC. Wir wollen uns hier auf einen Angriff auf den Arbeitsplatz beschränken und gehen davon aus, dass auf dem Arbeitsplatz-PC ein Fingerprint-Zugriffssystem mit lokaler Speicherung der biometrischen Referenzmerkmalsdaten als Ersatz für alle Passworteingaben installiert ist. Für einen Außentäter, der den Arbeitsplatzinhaber nicht kennt, wäre zunächst einmal die Hürde zu überwinden, außerhalb der Bürozeiten in das Bürogebäude einzudringen. Wir nehmen deshalb einen Innentäter (z. B. einen missgestimmten Kollegen) an. Für diesen Fall kann das Angriffsszenario so aussehen:
  1. Suche nach Latenzfingerabdrücken
  2. Anfertigung einer Kopie aller aufgefundenen Fingerabdrücke
  3. Durchführung der Authentifikationsversuche
Die Sicherheit ließe sich mathematisch über das Risiko ausrechnen, wenn man für den kompletten Angriff folgende Faktoren berücksichtigt:
  • Die Wahrscheinlichkeit, dass sich jemand zu einem Angriff entschließt,
  • die Wahrscheinlichkeit, dass jemand bis zum Arbeitsplatz vordringt sowie
  • die Wahrscheinlichkeiten, dass der Angreifer bei der Suche nach einem qualitativ brauchbaren Latenzfingerabdruck erfolgreich ist,
  • dass er ihn geeignet kopieren kann, und
  • dass die Authentifikation gelingt. Hier spielen der richtige Finger, die Fingerposition, die Zahl der erlaubten Versuche, eine mögliche Kopienerkennung, das sensorspezifisch richtige Material der Kopie usw. eine Rolle.
Für einen erfolgreichen Angriff müssen alle Schritte erfolgreich sein. Das Risiko ist dann grob durch das Produkt aller Wahrscheinlichkeiten gegeben, wobei die resultierende Gesamtwahrscheinlichkeit für einen erfolgreichen Angriff in der Praxis immer kleiner ist als die Einzelerfolgswahrscheinlichkeiten.

Sollten übrigens Netzangriffe das wesentliche Risiko darstellen, hätte bereits ein kostengünstiges biometrisches System erhebliche Vorteile, da die Biometrie zur Freischaltung eines besonders schwer angreifbaren (und deshalb oft auch schwer merkbaren) Netzpassworts dienen kann. Denn wenigstens Brute-Force-Netzangriffe machen erheblich mehr Aufwand, wenn Passwörter lang und kompliziert sind. Angriffe über Kopien biometrischer Merkmale machen in diesem Szenario weniger Sinn, da sich diese nur über den Arbeitsplatz ausführen lassen.

Spurensuche

Während in [1 - 4] eigentlich nur gezeigt wurde, dass mittels eines sauberen Latenzfingerabdrucks, hinterlassen zum Beispiel auf einer spiegelglatten CD, im Labor brauchbare Kopien zur Überlistung eines Fingerabdrucksystems prinzipiell herstellbar sind, hat uns jetzt interessiert, wie groß denn in der Praxis tatsächlich die Chance ist, einen brauchbaren Latenzfingerabdruck zu finden, der nicht von einem "kooperativen" Opfer hinterlassen wurde. Dazu untersuchten zwei Daktyloskopen der Kriminalpolizeidirektion München mit jeweils mehr als 20jähriger Erfahrung je zwei Arbeitsplätze auf Fingerabdruckspuren. Natürlich kann diese Untersuchung keinen Anspruch auf Wissenschaftlichkeit erheben. Sie war ursprünglich auch nur als interne Untersuchung gedacht, um ein Gefühl für die praktische Schutzfähigkeit der Siemens ID Mouse zu vermitteln. Somit wurde auch streng darauf geachtet, dass keine Manipulationen in irgendeiner Richtung das Ergebnis verfälschen würden. Natürlich kann der Test jederzeit in ähnlicher Form von neutralen Instituten wiederholt werden, um die Stichhaltigkeit nachzuweisen und vielleicht sogar quantitative Ergebnisse in Form von Erfolgswahrscheinlichkeiten für bestimmte Angriffe zu liefern. Initiiert wurde diese Untersuchung durch den Chef der Spurensicherung der Kripo München, der kurz nach Erscheinen des c't-Artikels [1] bei uns anrief und aus der Erfahrung heraus überprüfen wollte, dass die an realen Arbeitsplätzen hinterlassenen Fingerabdrücke erstens nicht so leicht zu finden sind und zweitens keine so gute Qualität haben, dass sie nicht nur für Daktyloskopen, sondern auch für ein elektronisches Fingerprintsystem gut auswertbar sind.

Ergebnis der Spurensuche

Für die Fingerspurensuche am ersten Arbeitsplatz benötigten die beiden Daktyloskopen ca. 32 Minuten. In dieser Zeit wurden 11 Objekte untersucht:
  • 2 Klarsichthüllen (orange und gelb)
  • Schreibtisch
  • Rollwagenschublade
  • Katalog mit glänzender Vorderseite und Papp-Rückseite
  • PET-Flasche
  • Papierdokument
  • Telefon
  • Microsoft-Maus
  • Siemens ID Mouse
  • Plastikbecher
  • PE-Fotokarte im Scheckkartenformat
Von diesen 11 Objekten lieferten vier daktyloskopisch verwertbare Abdrücke, die durch Abnahme gesichert wurden.
 
Die orange Klarsichtfolie lieferte die meisten Fingerabdrücke. 

Die Abnahmebereiche lieferten wiederum 20 Einzelabdrücke in unterschiedlicher Spurenqualität. Am ergiebigsten waren erwartungsgemäß glatte Flächen. Auf Papier fand sich 1 Abdruck. Die restlichen 3 Abdrücke stammen vom Schreibtisch, jedoch hatte die strukturierte Oberfläche zur Folge, dass die Fingerlinien nicht mehr erkennbar sind (siehe Bild).
 

Die auf dem Schreibtisch gefundenen Fingerabdrücke waren auf Grund der geriffelten Oberflächenstruktur unbrauchbar 

Schwierig gestaltete sich die Suche an den Schubladengriffen, der Flasche, dem Telefonhörer, den Mäusen, dem Plastikbecher, der Fotokarte und der Rückseite des Katalogs. Grund dafür war zu häufiges Berühren des Gegenstands, Verwischungen oder einfach ein zu hohes Alter der Abdrücke (mit speziellen Labormethoden und etwas Glück lassen sich allerdings auch 30 Jahre alte Abdrücke noch sichtbar machen).

Ein echter Angreifer würde jetzt mit den gefundenen Fingerabdrücken einen ersten Authentifikationsversuch durchführen, indem er z. B. mit der c't-Methode das Klebeband mit den Fingerabdruckspuren auf den Fingerprint-Sensor bringt. Da dieser Teil des Überwindungsversuchs bereits in [1] durchgeführt wurde (leider ohne quantitative Aussagen zu liefern; allerdings gibt es hierzu erste Ergebnisse, wenn auch mit eingeschränkter statistischer Signifikanz, siehe [6]) und uns eigentlich nur die Frage interessiert hat, wie gut man Fingerabdrücke ohne Kooperation des Opfers gewinnen kann, haben wir den Weg abgekürzt und die abgenommenen Abdrücke eingescannt. Aus den eingescannten Bildern wurden die vorhandenen Abdrücke elektronisch ausgeschnitten und dem Fingerabdruckerkennungssystem ohne Umweg über den Sensor direkt zugeführt (Klar, dass dieser Weg nur im Labor einfach ist!). Der Vergleich erfolgte gegen alle 10 Finger des Arbeitsplatzinhabers. Das Ergebnis des Vergleichs war unerwartet: Von 20 Abdrücken, die innerhalb von 35 Minuten gefunden wurden, konnten nur zwei Abdrücke elektronisch identifiziert werden. Für den ersten reichte allerdings die Ähnlichkeit nicht zum Überspringen der Sicherungsstufe Hoch aus. Der zweite lieferte zwar eine gute Bildqualität, jedoch lag ein großer Teil des Abdrucks außerhalb des enrollten Bereichs (siehe Bild).
 

Diese Abdrücke waren die einzigen von 20 gefundenen, die elektronisch identifiziert wurden

Die übrigen 18 Fingerabdrücke (siehe Bild) konnten nicht elektronisch identifiziert werden.
 

Diese 18 von 20 Fingerabdrücken ließen sich nicht elektronisch identifizieren

Entweder waren sie zu klein, zu verwischt, setzten sich aus mehreren überlagerten Abdrücken zusammen oder zeigten einfach nur eine schlechte Qualität. Es gibt also einen deutlichen Unterschied zwischen unbewusst hinterlassenen Abdrücken, die schon viele Tage alt sein können und absichtlich zum Zwecke der Fälschung auf einer CD aufgebrachten (siehe Bild). Letzterer überwindet zwar viele Authentifikationssysteme, welches Risiko er aber darstellt, muss der Leser auf Basis seiner Anwendung selbst entscheiden.
 

Ein mit Tesafilm von einer CD abgenommener Grafitfingerabdruck (c't-Methode)

Der Angriff auf den Arbeitsplatz hatte noch einen Effekt, den sich der Angreifer gut überlegen muss: Anders als beim Diebstahl eines Passworts hinterlässt die Suche nach Fingerabdrücken deutliche Reste schwarzen Pulvers, besonders auf Papier. Das heißt aber, solch ein Angriff lässt sich schlecht verheimlichen und kann deshalb hinterher entsprechende Gegenmaßnahmen auslösen.

Am zweiten Arbeitsplatz wurden folgende Objekte untersucht: Notebook, Schraubenzieherkasten, Kaffeetasse, Wasserflasche, ID Mouse, Tonerschachtel, Tischkalender mit Kunststoffhülle. Es fand sich nur ein einziger daktyloskopisch verwertbarer Abdruck, und zwar an der Kaffeetasse (siehe Bild)!
 

Die auf einer Kaffeetasse von Arbeitsplatz 2 gefundenen Fingerabdruckfragmente waren für eine Weiterverarbeitung ungeeignet

Die Qualität war allerdings für eine elektronische Auswertung unbrauchbar. Bei dieser Gelegenheit zeigte sich ein weiteres Phänomen: Auf keiner der beiden an den Arbeitsplätzen vorhandenen ID-Mäuse ließ sich sensorseitig ein brauchbares Latenzbild nachweisen! Selbst ein ad hoc erzeugter Latenzabdruck eines Daktyloskopen brachte keinen Erfolg (siehe Bild).
 

Wurde der Sensor der Siemens ID Mouse öfters berührt, ist ein Latenzabdruck oft nur noch schwer zu erkennen, siehe rechts. Um vom Sensor dennoch einen brauchbaren Fingerabdruck rekonstruieren zu können, ist vor dem letzten Berühren zumindest eine Reinigung erforderlich. 

Da scheinen Faktoren wie Nutzungshäufigkeit, aber auch Luftfeuchtigkeit, momentane Hautbeschaffenheit usw. eine große Rolle zu spielen! Dieses Phänomen ist auch aus anderen Tests bekannt: Manchmal klappt es auf Anhieb, einen Latenzfinger sichtbar zu machen, manchmal müht man sich mit dem selben Finger eine Stunde lang erfolglos ab, besonders dann, wenn der Sensor vorher nicht geputzt wurde.

Tastaturen (PC, Handy) sind übrigens für den Daktyloskopen nicht so interessant, da sie durch permanente Betätigung in der Regel keine brauchbaren Fingerabdrücke liefern. Außerdem wird eine Tastatur ja anders als ein Sensor mit der Fingerspitze bedient. Informationshalber wurde auch die Rückseite eines Handys überprüft. Hier kamen erwartungsgemäß nur Abdruckfragmente der Handinnenseite zum Vorschein.

Wir haben bei diesem Test so getan, als wäre die Merkmalsspurensuche selbst kein großer Aufwand. In der Realität ist allerdings nicht damit zu rechnen, dass ein Angreifer über das Spezialwissen und die Erfahrung eines Daktyloskopen verfügt. Somit kann man davon ausgehen, dass ein normal begabter Angreifer schon sehr viel Glück mitbringen muss, um die für einen Angriff benötigten Fingerabdrücke überhaupt zu finden. Zusammen mit der Tatsache, dass auch der nächste Schritt, die Herstellung einer Kopie des Fingerabdrucks, zwar wenig Materialkosten verbraucht, dafür aber viel individuelles Training und Geschick erfordert, ist nicht zu befürchten, dass jetzt eine massenhafte Welle von erfolgreichen biometrischen Einbruchsversuchen dieser noch jungen Technik wieder den Garaus machen wird. Etwas Erfolg versprechender sind vielleicht gezielte Angriffe, bei denen man z. B. seinen Arbeitskollegen (in der Regel mehrmals) dazu bringt, aus einem Glas mit geeigneter Oberfläche zu trinken und dieses Glas dann so oft auf Fingerabdrücke untersucht, bis ein brauchbarer dabei ist.

Latenzbild-Detektion

Mit den obigen Ergebnissen bleibt für das Fingerprintsystem eine erfolgreiche Reaktivierung des Latenzfingerabdrucks auf dem Sensor das größte Problem, das sich aber zum Glück am leichtesten beheben lässt. Auch die ID Mouse Professional von Siemens zeigte im c't-Test [1] diesen Fehler, der durch eine fehlerhafte Implementierung der Latenzbild-Detektion zustande kam. Er wird mit dem Software-Update Version 5.0 behoben sein.

Die in der ID Mouse implementierte Software-Latenzbilddetektion basiert auf der Erfahrung, dass der Anwender es nur selten schafft, den Finger zweimal hintereinander so auf dem Sensor zu platzieren, dass Lage und Winkel genau übereinstimmen. Ein Latenzbild zeigt hingegen genau diese Eigenschaft. Speichert man also die Koordinaten der Fingerlage bei der letzten erfolgreichen Verifikation ab, ist es möglich, Latenzbilder daran zu erkennen, dass ihre Koordinaten zu wenig von den gespeicherten Koordinaten abweichen. Es erfolgt dann keine Verifikation, sondern die Aufforderung, den Finger neu zu positionieren.

Eine weitere wichtige und inzwischen durch eigene Versuche erhärtete Erkenntnis ist die, dass nur dann ein erkennbares Latenzbild am Sensor entstehen kann, wenn der Sensor vorher geputzt wurde. Bereits nach ca. 5-maligem Fingerauflegen ist die Bildqualität auch ohne Latenzbild-Detektion nicht mehr ausreichend, um eine Erkennung herbeizuführen. Das deckt sich mit den obigen Erfahrungen aus dem daktyloskopischen Versuch und ist einer der Gründe dafür, dass die Latenzbilder trotz fehlerhafter Latenzbild-Detektion bisher in der Praxis nur wenig Probleme bereitet haben. In der ID Mouse-Software 5.0 lässt sich die Latenzbild-Detektion übrigens abschalten. Auf diese Weise kann sich dann jeder selbst ein Bild über die hier dargestellten Verbesserungen machen.

Für den Anwender ergeben sich daraus folgende Ratschläge:

  • Möglichst nie den Sensor putzen (falls doch nötig, nach dem Reinigen einen nicht abgespeicherten Finger mehrmals hintereinander auflegen).
  • Als Berechtigter niemals den Finger auf einen geputzten Sensor legen, wenn gerade keine Verifikation stattfindet (Dazu ist bei der Siemens-ID Mouse die grüne LED zu beachten!). In diesem Fall können nämlich keine Lagekoordinaten abgespeichert werden, und somit hat die Latenzbild-Detektion keine Chance, einen möglichen Latenzfinger abzulehnen.
Der c't-Vorschlag, den Sensor nach Gebrauch abzuwischen, läuft damit nicht nur dem Ziel zuwider, Sicherheit benutzerfreundlich zu gestalten, sondern ist nach unseren Ergebnissen sogar ein Risiko. Das Säubern macht den Sensor ja empfänglich für eine hohe Latenzbildqualität. Sollte der Anwender dann bei der folgenden Verifikation einmal das Wischen vergessen, muss er sich ganz auf die Software-Latenzbilddetektion verlassen. Das ist zwar ab der Version 5.0 kein Problem, jedoch verzichtet man damit auf eine zusätzliche Schutzmaßnahme!

Replayattacken

Ein häufig vorgetragenes Argument gegen einfache biometrische Devices ist die fehlende Verschlüsselung der biometrischen Daten zwischen Sensor und Rechner zur Verhinderung von Replayattacken. Replayattacken bestehen darin, das biometrische Merkmal auf dem Weg vom Menschen über den biometrischen Sensor zum PC unbemerkt abzugreifen und dann in Abwesenheit des Berechtigten auf gleichem Wege wieder einzuspeisen, um einen berechtigten Anwender vorzutäuschen. Dabei wird gerne übersehen,
  • dass Replayattacken auch mit verschlüsselten biometrischen Daten erfolgreich sein können. Es kommt vielmehr darauf an, die Datenquelle zu authentisieren. Um dieses Ziel zu erreichen, ist keine Verschlüsselung der biometrischen Daten erforderlich. Hier helfen Challenge & Response-Verfahren, wie sie zum Beispiel bei der Anmeldung eines Handys an das Mobilfunknetz ablaufen, zusammen mit einer Signatur der biometrischen Daten. Der dafür erforderliche Aufwand kann den Preis eines biometrischen Sensordevices allerdings mehr als verdoppeln.
  • dass der Weg vom menschlichen Merkmal zum Sensor nicht verschlüsselbar ist. (Latenzbildangriffe sind in diesem Sinne Replayattacken zwischen Mensch und Sensor.)
  • dass PC-Tastaturen bei der Passworteingabe der gleichen Form von Replayattacken ausgesetzt sind. Maßnahmen gegen Passwort-Replayattacken haben sich bisher aber nur z. B. bei Bankautomaten durchsetzen können! (Wobei als Schwachstelle wiederum der Weg zwischen Mensch und Tastatur (entspricht dem biometrischen Sensor) ungeschützt verbleibt, was gelegentlich entsprechende Angriffe mit Dummy-Tastaturen zur Folge hat.)
Beim Vergleich von Passwort-Replayattacken mit biometrischen Replayattacken kann allerdings die Biometrie selbst bei einfachen Systemen deutliche Vorteile für sich verbuchen:
  • Die elektrische Schnittstelle (oft USB) ist in der Regel mit größerem Aufwand abzuhören. Laut [1, Seite 118] ist für einen USB-Angriff außerhalb des PCs ein USB-Analysator (Preisklasse 5000 Euro) und evtl. ein zusätzlicher PC zur Steuerung erforderlich. Fast unmöglich, dass der berechtigte Anwender diesen zusätzlichen Gerätepark nicht bemerkt, besonders, wenn er bei einem Notebook die USB-Leitung voll im Blick hat!
  • Während ein korrektes Passwort immer gleich ist, zeigt ein korrektes biometrisches Merkmal bei jeder Erfassung leicht veränderte Daten (Beispiel Gesichtserkennung: die Stellung des Gesichts zu einer Kamera ist nie exakt reproduzierbar). Ist dies nicht der Fall, kann man von einer einfachen Replayattacke auf dem Datenweg ausgehen. Das oben erwähnte algorithmische Verfahren zur Latenzbild-Detektion erschwert also auch Replayattacken!
Erst, wenn schärfere Sicherungsanforderungen gefordert sind und der PC selbst von sicherheitsrelevanten Aufgaben ausgeschlossen ist, kann sich der Aufwand für darüber hinaus gehende Maßnahmen zur Verhinderung von Replayattacken lohnen.

Perfekte Sicherung

Was ist zu tun, um den alten Traum von der (fast) perfekten Sicherung doch noch zu erreichen? Nach allen bisherigen Erfahrungen wird es eine perfekte Einzelmaßnahme nicht geben. Vielmehr scheint es sinnvoller zu sein, das biometrische Authentifikationssystem mit einer Vielzahl von Hindernissen und Schutzmaßnahmen auszustatten, die die möglichen Angriffsarten so gut wie möglich erschweren beziehungsweise ihre Erfolgswahrscheinlichkeit reduzieren. Hierzu gehören auch Maßnahmen zur Erhöhung des Angreiferrisikos durch verdeckte oder offene Manipulationswarnungen. Man wird aber damit leben müssen, dass jede neue Schutzmaßnahme auch wieder ihren Meister findet, wenn auch auf höherem Niveau.

Schutzmaßnahmen sind besonders dann brauchbar, wenn ihr Mechanismus veröffentlichbar ist, wenn man ihre Überwindungsmethoden bereits kennt (!) und wenn sich der Angriffsaufwand gegenüber anderen Maßnahmen trotzdem erhöht, ohne dass die Schutzkosten zu sehr ansteigen.

Zu glauben, dass es für ein Verfahren keine Überwindungsmöglichkeit gibt, hat sich in der Praxis immer wieder als Illusion erwiesen. Das bedeutet aber auch umgekehrt: Wenn zu einer Schutzmaßnahme kein Überwindungsmechanismus bekannt ist, hat man nicht etwa den Stein des Weisen gefunden, sondern sollte dieses Verfahren vorsichtshalber als unwirksam betrachten! Natürlich hat auch "Security by Obscurity" eine gewisse Wirkung. Aber die Erfahrung zeigt, dass viele Verfahren nur solange überhaupt brauchbar sind, wie sie niemand kennt. Das Risiko, darauf zu vertrauen, dass die unbekannte Methode dauerhaft funktionieren wird, ist oft einfach zu hoch! Man denke nur an Angreifer, die für die unbekannte Schutzmaßnahme eine einfache Überwindungsmethode gefunden haben, diese Kenntnis aber zum Zwecke der eigenen Bereicherung geheim halten.

Fälschungserkennung

Auf spezielle Schutzmaßnahmen soll hier nur exemplarisch eingegangen werden, da die Unterschiede zwischen den verschiedenen biometrischen Merkmalsarten zu groß sind. Es gibt aber einige Methoden, die Allgemeingültigkeit haben. So lassen sich die meisten biometriespezifischen Angriffe entschärfen, wenn es gelingt, lebende Merkmale von toten und echte von kopierten zu unterscheiden. Dies hört sich sehr einfach an, hat es aber in sich, da der Aufwand für wachsende Perfektion schnell ins Unbezahlbare steigt. Beginnen wir mit der sog. "Lebenderkennung". Hier werden für Fingerabdrucksysteme Blutsauerstoffmessung, Pulsmessung, Temperaturmessung usw. vorgeschlagen. Von den erwähnten Methoden benötigt eine optische Blutsauerstoffmessung den größten Überwindungsaufwand, die Temperaturmessung den niedrigsten (sie kostet in der Regel mehr als sie bringt und wird somit auch nicht verwendet). Die Pulsmessung hat den Nachteil, dass sie viel länger dauert als die eigentliche biometrische Erkennung. Die Frage ist allerdings, wo man eine Lebenderkennung benötigt. Es wurde in der Vergangenheit viel über abgetrennte Gliedmaßen spekuliert. Häufiger wird jedoch daran gedacht, Kopien daran zu erkennen, dass sie nicht leben. Dabei ist aber zu berücksichtigen, dass es für einen Fälscher relativ einfach sein kann, sein eigenes "Leben" mit dem Merkmal eines Fremden so zu kombinieren, dass der Sensor nichts merkt. Auf jeden Fall aber erhöht eine Lebenderkennung den Aufwand für einen Kopienangriff und damit die Sicherheit, andererseits hat eine dedizierte Kopienerkennung zumindest bei Fingerabdrücken deutlich mehr zu leisten.

Grundsätzlich muss man sich bei allen Schutzmaßnahmen damit anfreunden, dass sie zwar die Sicherheit erhöhen, aber stets auch zu Komforteinbußen führen (die man bei höherem Sicherungsbedarf natürlich gerne akzeptiert). Technisch äußert sich das in komplexerer Bedienung, höherem Zeitaufwand und in der Tatsache, dass eine Fälschungserkennung auch schon mal den berechtigten Benutzer fälschlicherweise als Fälscher abweisen kann.

Einsatz von Chipkarten

Ein ganz anderer Ansatz zur deutlichen Erhöhung der Schutzfähigkeit (bei gleichzeitiger Wahrung des Datenschutzes) besteht darin, die Biometrie mit einer Chipkarte zu kombinieren, z. B. als Firmenausweis. Der Fälscher muss in diesem Fall zunächst von der Karte Besitz erlangen, bevor er sich an die Überwindung des Biometrie machen kann. (Und was ist mit den Fingerabdrücken auf der Karte? Aus der polizeilichen Praxis ist bekannt, dass Latenzabdrücke auf Scheckkarten so starke Überlagerungen und Verwischungen zeigen, dass die Wahrscheinlichkeit, einen brauchbaren zu finden, selbst bei glatten Oberflächen sehr gering ausfällt. Also auch hier Entwarnung für Anwendungen bis mittlerer Sicherheit.) Einen weiteren Vorteil hat die Karte auf jeden Fall: Wenn sich jemand meines Fingerabdrucks und zugleich der Karte bemächtigt hat, kann ich die Karte sperren lassen, so dass der Fingerabdruck mit der gesperrten Karte nutzlos wird. Der Fälscher muss sich für den nächsten Versuch erst eine neue Karte besorgen, auf der ist aber vielleicht auch noch ein ganz anderer Finger gespeichert.

Unvernünftige Lösungen

Wir haben gesehen, dass sich die Sicherheit durch systemtechnische Lösungen deutlich verbessern lässt. Umgekehrt kann man sich die Frage stellen, ob für den heutigen Stand der Technik auch sicherheitstechnisch unvernünftige Lösungen vorstellbar sind. Das ist in der Tat der Fall. Man denke sich einen Geldautomaten, der eine reine Identifikation per Fingerabdruck durchführt. Der Vorteil liegt klar auf der Hand: Nie wieder PIN oder Bankkarte. Nur noch den Finger auflegen. Aber die Nachteile haben es in sich: Die Brute-Force-Falschakzeptanzrate FAR steigt fast proportional mit der Zahl der Nutzer, so dass es sich bei z. B. einer Millionen Kunden für einen Dieb schon fast lohnt, mal alle seine 10 Finger auszuprobieren, in der Hoffnung, dass ihm einer davon das Konto eines Unbekannten öffnet. Gut, dagegen hilft vielleicht als Abschreckungsmaßnahme die Speicherung aller aufgelegten Fingerabdrücke mit Abgleich durch den Polizeicomputer: Nicht nur für Datenschützer ein Horrorszenario. Das nächste Problem besteht darin, dass beliebig viele Authentifikationsversuche zugelassen sein müssen, denn das System merkt ja nicht, ob ein Nutzer viele Versuche macht, oder ob schon der nächste Kunde dran ist. Desweiteren benötigt das System eine (fast) perfekte Kopienerkennung, denn wäre ein Finger erst einmal als Kopie in Umlauf und würde fälschlich als echt erkannt, müsste man bei der Bank den ganzen Finger sperren lassen. Das geht exakt 10 mal. Und schließlich muss noch die Lebenderkennung ziemlich perfekt sein, um den Gebrauch abgetrennter Finger sicher auszuschließen.

Fazit

Obwohl es im Labor recht einfach scheint, biometrische Systeme durch Merkmalskopien zu überlisten, scheitert diese Form des Angriffs in der Praxis oft daran, dass es nicht gelingt, innerhalb kurzer Zeit brauchbare Fingerabdrücke des Opfers zu finden. Letztendlich entscheidet auch nicht die theoretische Möglichkeit eines erfolgreichen Angriffs auf ein biometrisches Authentifikationssystem über die Sicherheit des Gesamtsystems, sondern wie häufig ein solcher Angriff im täglichen Leben vorkommt und erfolgreich ist. Das gilt auch für Latenzbilder auf dem Sensor! Somit darf man zumindest für den Bereich "normaler" Sicherungsanforderungen Entwarnung für den heutigen Stand der Technik biometrischer Systeme geben. Schließlich konnten sich auch leicht kopierbare Systeme wie Unterschrift, PIN/Passwort oder Schlüssel durchsetzen. Grund war wohl der niedrige Realisierungsaufwand. Was dabei gerne übersehen wird, sind die an anderer Stelle entstehenden Kosten. So haben Passwörter wegen ihrer hohen Anforderungen an den Nutzer in der Praxis mit hohen Administrationskosten zu kämpfen. Hier können auch die heute schon verfügbaren biometrischen Systeme wirksam Abhilfe schaffen - ohne Sicherheit zu verlieren. Letzteres aber lässt sich leider erst beweisen, wenn sich die biometrische Authentifikation im langjährigen Einsatz bewährt hat, so wie dies bei den etablierten Authentifikationsmethoden der Fall ist. Wer also der Biometrie nicht traut, kann sich noch einige Jahre auf mögliche Sicherheitsmängel berufen. Danach entscheidet die wirtschaftliche Vernunft unter Betrachtung aller Randbedingungen.

Anders sieht es im Bereich höherer Sicherungsanforderungen aus. Hier wird man Biometrie zunächst nur in Kombination mit weiteren Maßnahmen einsetzen. Ob es sinnvoll ist, viel Forschungsaufwand in absolut fälschungssichere Biometrie-Systeme zu stecken, mag bezweifelt werden.

Der Autor bedankt sich bei den Herren Fersch und Busch von der Kriminalpolizeidirektion München für die sachkundige Unterstützung!

Weitere Informationen

Was ist Sicherheit? - Versuch einer Definition
Was beeinflusst die Schutzfähigkeit eines biometrischen Authentifikationssystems?
Biometrische Angriffe
Was ist "sicherer": Passwort oder Biometrie?

Literatur

[1] Thalheim, Lisa; Krissler, Jan; Ziegler, P.-M. ; "Körperkontrolle"; c't 11/2002, S114-123; deutsche Kurzfassung; english version.
[2] Matsumoto, Tsutomu; "Importance of Open Discussion on Adversarial Analyses for Mobile Security Technologies"; ITU-T workshop on security, Seoul;  May 2002.
[3] van der Putte, Ton; Keuning, Jeroen; "Biometrical fingerprint recognition: don't get your fingers burned"; Proc. IFIP TC8/WG8.8 Fourth Working Conference on Smart Card Research and Advanced Applications, Kluwer Academic Publishers, 2000, pp 289-303.
[4] van der Putte, Ton; "Spoofing fingerprints - As easy as 1,2,3?" Lecture given at Biometrics 2001, London UK, November 2001.
[5] Laßmann, G. (Ed.); "Bewertungskriterien zur Vergleichbarkeit biometrischer Verfahren ("Kriterienkatalog")"; Version 2.0; TeleTrusT Deutschland e.V.; 07/2002.
[6] Ligon, Aaron; An Investigation Into the Vulnerability of the Siemens ID Mouse Professional Version 4; Siemens Corporate Research, Princeton N.J.; September 2002.