CCC: Fingerabdruck an der Supermarkt-Kasse genauso unsicher wie Biometrie im Reisepass
Biometrie-Experten des Chaos Computer Club (CCC) kooperierten mit dem
ARD Wirtschaftsmagazin PlusMinus bei einer Demonstration zur einfachen Fälschbarkeit von Fingerabdrücken. Vor laufender Kamera wurde der Fingerabdruck-Scanner an einer Supermarkt-Kasse getäuscht und auf fremde Kosten eingekauft. Nach kurzer Einweisung durch die CCC-Experten waren die Journalisten selbständig in der Lage, mit kopierten Fingerabdrücken das Kassensystem zu überlisten. Damit sind die Behauptungen der Biometrie-Befürworter und -Hersteller, dass so etwas – wenn überhaupt, nur im Labor – möglich sei, nachdrücklich wiederlegt. Fingerabdruck-Systeme, wie sie bereits in den neuen biometrischen Reisepässen zum Einsatz kommen und für den Personalausweis geplant sind, können mit einfachen Mitteln überlistet werden und bieten keinerlei nennenswerte Sicherheit.
Als Experimientierfeld diente den Journalisten aus Gründen der eigenen
Sicherheit jedoch nicht ein Flughafen, sondern ein Lebensmittelmarkt in
Rülzheim [1]. In diesem Geschäft, wie auch in über einhundert weiteren
Fillialen, wird in einem groß angelegten Versuch den Kunden die
Bezahlung vom – allein von ihrem Fingerabdruck geschützten – Kundenkonto angeboten. Wie schon vor drei Jahren vom CCC in einem einfach nachzuvollziehenden Video [2] demonstriert, konnten die Fingerabdrücke eines eingeweihten Kunden von einem Alltagsgegenstand abgenommen werden. Nach einer einfachen, durch Biometrie-Experten des CCC entwickelten, Methode konnten diese Abdrücke zu einer Attrappe verarbeitet werden, die den Reportern umstandslos das Einkaufen auf fremde Rechnung erlaubte. Die dafür notwendigen Materialien - Sekundenkleber, Holzleim und ein Laserdrucker finden sich in fast jedem Haushalt.
Da an den deutschen Grenzkontrollstellen derzeit die Fingerabdruckleser
für die Passkontrolle installiert werden, steht zu befürchten, dass die
Sicherheit des bisher als eines der sichersten Dokumente der Welt
eingeschätzten Dokuments mit Einführung des ePass untergraben statt
verbessert wird.
Völlig ungeklärt ist die Haftungsfrage bei biometrischen Bezahlsystemen:
Ähnlich wie bei der von Betrugsfällen geplagten EC-Karte wird der Kunde
im Missbrauchsfall beweisen müssen, dass er nicht betrügerisch
gehandelt. Angesichts der Komplexität der Systeme dürfte dieser Nachweis kaum zu führen sein. Der Chaos Computer Club kann daher nur dringend von der Benutzung biometrischer Bezahlsysteme abraten. Wer sich bereits registriert hat, sollte umgehend den Vertrag kündigen und auf die schriftliche bestätigte Löschung seiner biometrischen Merkmale, wie etwa des Fingerabdrucks, bestehen.
Im Gegensatz zu veränderlichen Sicherheitsmerkmalen wie einem Passwort oder einer PIN ist ein Fingerabdruck unveränderlich. Wenn er einmal von einem beliebigen Alltagsgegenstand abgenommen und nachgebaut wurde, ist er unwiederbringlich außer Kontrolle. Ein einmal verlorener Fingerabdruck ist lebenslang als Sicherheitsmerkmal unbrauchbar geworden. Da die kleinen Finger in der Regel nicht genügend identifizierbare Merkmale aufweist, hat jeder Bürger also maximal acht Versuche.
Frank Rosengart, Sprecher der Chaos Computer Club fasste zusammen: "Der Fingerabdruck als Sicherheitsmerkmal verliert umso mehr an Wert, in je mehr elektronischen Systemen die biometrischen Daten gespeichert werden. Der selbe Fingerabdruck, der im Dorfladen hochauflösend gescannt wird, soll an der Grenze als Identifikationsmerkmal herhalten. Kein Kunde kann überprüfen, ob nicht doch das hochauflösende Bild gespeichert wird."
Rosengart geht noch weiter: "Wir fordern ein gesetzliches Verbot von
biometrischen Identifikationssystemen, da offensichtlich weder Betreiber
noch Benutzer des Systems die Risiken abschätzen können." Der Chaos
Computer Club hat in der Vergangenheit mehrfach und nachdrücklich darauf hingewiesen, dass Fingerabdrücke weder in Bezahlsystemen noch in Ausweisdokumenten als Sicherheitsmerkmal geeignet sind.
Für Rückfragen und Interview-Anfragen steht das Presseteam des CCC
bevorzugt per E-Mail presse@ccc.de zur Verfügung oder ruft nach einer
Nachricht auf unserer Sprachmailbox, Telefon: 0700 CHAOSFON zurück.
[1] http://www.daserste.de/plusminus/beitrag_dyn~uid,3bu1tfwxbnbp99cc~cm.asp
[2] ftp://ftp.ccc.de/pub/video/Fingerabdruck_Hack/fingerabdruck.mpg
--------
Chaos Computer Club konkretisiert Biometrie-Debatte an Schäubles Fingerabdruck
URL: http://www.ccc.de/press/releases/2008/20080329/
Die Debatte um die biometrische Kompletterfassung der Bundesbürger war bisher eher abstrakt. Um ihr eine konkretere Form zu geben, hat der Chaos Computer Club (CCC) seiner Vereinszeitschrift "Die Datenschleuder" ein biometrisches Sammelalbum für die Fingerabdrücke schnüffelfreudiger Politiker beigelegt. Eröffnet wird das heitere Abdrucksammeln mit einem Fingerabdruck unseres geliebten Innenministers, Dr. Wolfgang Schäuble. [1] Der Abdruck wurde durch CCC-Aktivisten von einem Wasserglas sichergestellt, das Dr. Schäuble bei einer öffentlichen Veranstaltung benutzt hatte.
Die Befürworter einer Umwandlung der Bundesrepublik in einen biometrischen Überwachungsstaat betonen immer wieder, wer nichts zu verbergen habe, hätte auch nichts zu befürchten. Der Chaos Computer Club möchte mit dem biometrischen Sammelalbum die Probe aufs Exempel machen. Wenn unsere Überwachungspolitiker auch privat meinen, was sie öffentlich vertreten, sollten sie kein Problem damit haben, ihre biometrischen Daten publiziert zu sehen.
Das Innenministerium behauptete bei der Einführung biometrischer Pässe, dass Bilder des Gesichts und der Finger in ihrer Bedeutung für die Privatsphäre im wesentlichen identisch sind. "Wir haben nach der Logik des Innenministeriums also nur das Äquivalent von einem Foto einer Person des öffentlichen Lebens erstellt", erläuterte CCC-Sprecher Dirk Engling das Vorgehen des Clubs. Ein Fingerbild muss sich jeder Bundesbürger für den Reisepass und bald für den Personalausweis abnehmen lassen.
"Wir wollen mit der Veröffentlichung die Debatte um die biometrische Vollerfassung jedes Bürgers greifbarer machen", erklärte CCC-Sprecher Dirk Engling. "Fingerabdruck-Biometrie ist nicht so sicher, wie die Politik beteuert. Sie gehört in keine sicherheitsrelevante Anwendung – und erst recht nicht in den ePass."
Mit der Veröffentlichung weist der Club erneut deutlich auf die grundsätzlichen Risiken biometrischer Systeme hin. Jeder Mensch hat maximal zehn Fingerabdrücke, die er weder ersetzen noch schmerzfrei verändern kann. Doch der biometrische Identitätsdiebstahl erfordert lediglich den Zugriff auf einen brauchbaren Abdruck (z. B. an einem Glas), eine Digitalkamera und einen Laserdrucker zum Erstellen einer Folienvorlage und etwas Holzleim für die Fingerabdruck-Attrappen. Eine einfache Anleitung für das Kopieren von Fingerabdrücken hatte der CCC bereits im Jahre 2004 veröffentlicht. [2][3]
Der Datenschleuder liegen die Vorlage und eine fertige Attrappe bei. Um damit zum Beispiel bei Edeka [4] einkaufen gehen zu können, muss man den nachgemachten Abdruck nur noch vorsichtig auf den eigenen Finger kleben. Somit kann man praktisch alle üblichen Fingerabdruck-Biometriesysteme überlisten.
"Die Verwendung von Fingerabdrücken zur Identifizierung von Bürgern ist ein technischer und sicherheitspolitischer Irrweg, der so schnell wie möglich beendet werden muss. Der Bundestag ist aufgefordert, das Biometrie-Pass-Experiment schleunigst zu beerdigen. Die personellen Verflechtungen von Biometrie-Industrie und Innenpolitikern müssen dabei genauso beleuchtet werden, wie die undurchsichtigen Transaktionen um die Bundesdruckerei," fasste CCC-Sprecher Engling die Forderungen des Clubs zusammen.
Die Ausgabe #92 der Zeitschrift Die Datenschleuder kann beim Chaos Computer Club unter http://ds.ccc.de/order.html bestellt werden.
Links und weiterführende Informationen:
[1]: http://www.ccc.de/images/misc/schaeuble-attrappe.png Der Abdruck
[2]: http://www.ccc.de/biometrie/fingerabdruck_kopieren?language=de Die Bastelanleitung
[3]: http://chaosradio.ccc.de/ctv001.html Die zwei-Minuten-Anleitung als Video
[4]: http://www.youtube.com/watch?v=aBm-WsJ2U1c Der Feldtest der ARD-Reporter bei youtube
http://freepage.twoday.net/search?q=Biometrie
http://freepage.twoday.net/search?q=Reisepass
http://freepage.twoday.net/search?q=Schäuble
ARD Wirtschaftsmagazin PlusMinus bei einer Demonstration zur einfachen Fälschbarkeit von Fingerabdrücken. Vor laufender Kamera wurde der Fingerabdruck-Scanner an einer Supermarkt-Kasse getäuscht und auf fremde Kosten eingekauft. Nach kurzer Einweisung durch die CCC-Experten waren die Journalisten selbständig in der Lage, mit kopierten Fingerabdrücken das Kassensystem zu überlisten. Damit sind die Behauptungen der Biometrie-Befürworter und -Hersteller, dass so etwas – wenn überhaupt, nur im Labor – möglich sei, nachdrücklich wiederlegt. Fingerabdruck-Systeme, wie sie bereits in den neuen biometrischen Reisepässen zum Einsatz kommen und für den Personalausweis geplant sind, können mit einfachen Mitteln überlistet werden und bieten keinerlei nennenswerte Sicherheit.
Als Experimientierfeld diente den Journalisten aus Gründen der eigenen
Sicherheit jedoch nicht ein Flughafen, sondern ein Lebensmittelmarkt in
Rülzheim [1]. In diesem Geschäft, wie auch in über einhundert weiteren
Fillialen, wird in einem groß angelegten Versuch den Kunden die
Bezahlung vom – allein von ihrem Fingerabdruck geschützten – Kundenkonto angeboten. Wie schon vor drei Jahren vom CCC in einem einfach nachzuvollziehenden Video [2] demonstriert, konnten die Fingerabdrücke eines eingeweihten Kunden von einem Alltagsgegenstand abgenommen werden. Nach einer einfachen, durch Biometrie-Experten des CCC entwickelten, Methode konnten diese Abdrücke zu einer Attrappe verarbeitet werden, die den Reportern umstandslos das Einkaufen auf fremde Rechnung erlaubte. Die dafür notwendigen Materialien - Sekundenkleber, Holzleim und ein Laserdrucker finden sich in fast jedem Haushalt.
Da an den deutschen Grenzkontrollstellen derzeit die Fingerabdruckleser
für die Passkontrolle installiert werden, steht zu befürchten, dass die
Sicherheit des bisher als eines der sichersten Dokumente der Welt
eingeschätzten Dokuments mit Einführung des ePass untergraben statt
verbessert wird.
Völlig ungeklärt ist die Haftungsfrage bei biometrischen Bezahlsystemen:
Ähnlich wie bei der von Betrugsfällen geplagten EC-Karte wird der Kunde
im Missbrauchsfall beweisen müssen, dass er nicht betrügerisch
gehandelt. Angesichts der Komplexität der Systeme dürfte dieser Nachweis kaum zu führen sein. Der Chaos Computer Club kann daher nur dringend von der Benutzung biometrischer Bezahlsysteme abraten. Wer sich bereits registriert hat, sollte umgehend den Vertrag kündigen und auf die schriftliche bestätigte Löschung seiner biometrischen Merkmale, wie etwa des Fingerabdrucks, bestehen.
Im Gegensatz zu veränderlichen Sicherheitsmerkmalen wie einem Passwort oder einer PIN ist ein Fingerabdruck unveränderlich. Wenn er einmal von einem beliebigen Alltagsgegenstand abgenommen und nachgebaut wurde, ist er unwiederbringlich außer Kontrolle. Ein einmal verlorener Fingerabdruck ist lebenslang als Sicherheitsmerkmal unbrauchbar geworden. Da die kleinen Finger in der Regel nicht genügend identifizierbare Merkmale aufweist, hat jeder Bürger also maximal acht Versuche.
Frank Rosengart, Sprecher der Chaos Computer Club fasste zusammen: "Der Fingerabdruck als Sicherheitsmerkmal verliert umso mehr an Wert, in je mehr elektronischen Systemen die biometrischen Daten gespeichert werden. Der selbe Fingerabdruck, der im Dorfladen hochauflösend gescannt wird, soll an der Grenze als Identifikationsmerkmal herhalten. Kein Kunde kann überprüfen, ob nicht doch das hochauflösende Bild gespeichert wird."
Rosengart geht noch weiter: "Wir fordern ein gesetzliches Verbot von
biometrischen Identifikationssystemen, da offensichtlich weder Betreiber
noch Benutzer des Systems die Risiken abschätzen können." Der Chaos
Computer Club hat in der Vergangenheit mehrfach und nachdrücklich darauf hingewiesen, dass Fingerabdrücke weder in Bezahlsystemen noch in Ausweisdokumenten als Sicherheitsmerkmal geeignet sind.
Für Rückfragen und Interview-Anfragen steht das Presseteam des CCC
bevorzugt per E-Mail presse@ccc.de zur Verfügung oder ruft nach einer
Nachricht auf unserer Sprachmailbox, Telefon: 0700 CHAOSFON zurück.
[1] http://www.daserste.de/plusminus/beitrag_dyn~uid,3bu1tfwxbnbp99cc~cm.asp
[2] ftp://ftp.ccc.de/pub/video/Fingerabdruck_Hack/fingerabdruck.mpg
--------
Chaos Computer Club konkretisiert Biometrie-Debatte an Schäubles Fingerabdruck
URL: http://www.ccc.de/press/releases/2008/20080329/
Die Debatte um die biometrische Kompletterfassung der Bundesbürger war bisher eher abstrakt. Um ihr eine konkretere Form zu geben, hat der Chaos Computer Club (CCC) seiner Vereinszeitschrift "Die Datenschleuder" ein biometrisches Sammelalbum für die Fingerabdrücke schnüffelfreudiger Politiker beigelegt. Eröffnet wird das heitere Abdrucksammeln mit einem Fingerabdruck unseres geliebten Innenministers, Dr. Wolfgang Schäuble. [1] Der Abdruck wurde durch CCC-Aktivisten von einem Wasserglas sichergestellt, das Dr. Schäuble bei einer öffentlichen Veranstaltung benutzt hatte.
Die Befürworter einer Umwandlung der Bundesrepublik in einen biometrischen Überwachungsstaat betonen immer wieder, wer nichts zu verbergen habe, hätte auch nichts zu befürchten. Der Chaos Computer Club möchte mit dem biometrischen Sammelalbum die Probe aufs Exempel machen. Wenn unsere Überwachungspolitiker auch privat meinen, was sie öffentlich vertreten, sollten sie kein Problem damit haben, ihre biometrischen Daten publiziert zu sehen.
Das Innenministerium behauptete bei der Einführung biometrischer Pässe, dass Bilder des Gesichts und der Finger in ihrer Bedeutung für die Privatsphäre im wesentlichen identisch sind. "Wir haben nach der Logik des Innenministeriums also nur das Äquivalent von einem Foto einer Person des öffentlichen Lebens erstellt", erläuterte CCC-Sprecher Dirk Engling das Vorgehen des Clubs. Ein Fingerbild muss sich jeder Bundesbürger für den Reisepass und bald für den Personalausweis abnehmen lassen.
"Wir wollen mit der Veröffentlichung die Debatte um die biometrische Vollerfassung jedes Bürgers greifbarer machen", erklärte CCC-Sprecher Dirk Engling. "Fingerabdruck-Biometrie ist nicht so sicher, wie die Politik beteuert. Sie gehört in keine sicherheitsrelevante Anwendung – und erst recht nicht in den ePass."
Mit der Veröffentlichung weist der Club erneut deutlich auf die grundsätzlichen Risiken biometrischer Systeme hin. Jeder Mensch hat maximal zehn Fingerabdrücke, die er weder ersetzen noch schmerzfrei verändern kann. Doch der biometrische Identitätsdiebstahl erfordert lediglich den Zugriff auf einen brauchbaren Abdruck (z. B. an einem Glas), eine Digitalkamera und einen Laserdrucker zum Erstellen einer Folienvorlage und etwas Holzleim für die Fingerabdruck-Attrappen. Eine einfache Anleitung für das Kopieren von Fingerabdrücken hatte der CCC bereits im Jahre 2004 veröffentlicht. [2][3]
Der Datenschleuder liegen die Vorlage und eine fertige Attrappe bei. Um damit zum Beispiel bei Edeka [4] einkaufen gehen zu können, muss man den nachgemachten Abdruck nur noch vorsichtig auf den eigenen Finger kleben. Somit kann man praktisch alle üblichen Fingerabdruck-Biometriesysteme überlisten.
"Die Verwendung von Fingerabdrücken zur Identifizierung von Bürgern ist ein technischer und sicherheitspolitischer Irrweg, der so schnell wie möglich beendet werden muss. Der Bundestag ist aufgefordert, das Biometrie-Pass-Experiment schleunigst zu beerdigen. Die personellen Verflechtungen von Biometrie-Industrie und Innenpolitikern müssen dabei genauso beleuchtet werden, wie die undurchsichtigen Transaktionen um die Bundesdruckerei," fasste CCC-Sprecher Engling die Forderungen des Clubs zusammen.
Die Ausgabe #92 der Zeitschrift Die Datenschleuder kann beim Chaos Computer Club unter http://ds.ccc.de/order.html bestellt werden.
Links und weiterführende Informationen:
[1]: http://www.ccc.de/images/misc/schaeuble-attrappe.png Der Abdruck
[2]: http://www.ccc.de/biometrie/fingerabdruck_kopieren?language=de Die Bastelanleitung
[3]: http://chaosradio.ccc.de/ctv001.html Die zwei-Minuten-Anleitung als Video
[4]: http://www.youtube.com/watch?v=aBm-WsJ2U1c Der Feldtest der ARD-Reporter bei youtube
http://freepage.twoday.net/search?q=Biometrie
http://freepage.twoday.net/search?q=Reisepass
http://freepage.twoday.net/search?q=Schäuble
rudkla - 28. Nov, 00:00