Gelatine überlistet Fingerabdruck-Scanner

Ein japanischer Forscher hat sich mit der Sicherheit von Fingerabdruck-Scannern beschäftigt. Sein ernüchterndes Ergebnis: Zu 80 Prozent lassen sich die Systeme mit einem künstlichen Finger aus Gelatine austricksen.

Tsutomu Matsumoto forscht an der National Universität Yokohama. Mit seinen Studenten hat er sich handelsüblicher Geräte angenommen, die einen hohen Sicherheitsgrad durch das Scannen von biometrischen Merkmalen garantieren - in diesem Fall des Fingerabdrucks. Das Ergebnis ist ernüchternd: Mit frei verkäuflichen Materialien im Wert von nur 10 US-Dollar sei es dem Team gelungen, die Sicherheitsvorkehrungen zu überwinden.

Der japanische Mathematiker konnte elf kommerziell vertriebene Systeme täuschen. Darunter befanden sich scheinbar auch solche, die nicht nur mit optischen Sensoren ausgestattet sind, sondern so genannte "Lebend-Merkmale" checken. Das kann zum einen die Feuchtigkeit sein, zum anderen der elektrische Widerstand, den typischerweise ein echter Finger aufweist.

Für den Beweis brauchte der Forscher kein High-Tech-Equipment eines Universitäts-Labors. Zuerst erstellte er eine Gussform für einen Finger aus Plastikmasse, die es in jedem Bastelshop zu kaufen gibt. Die Form füllte er mit Gelatine, wie man sie von Gummibärchen kennt. Nach Angaben der Forscher reichte der Gelatine-Finger aus, um in 80 Prozent der Fälle die Scanner zu täuschen.

Das zweite Experiment dürfte die Sicherheitsexperten noch mehr aufhorchen lassen. Matsumo hat dafür einen auf einem Glas hinterlassenen Fingerabdruck nach Art der kriminologischen Spurensicherung sichtbar gemacht und mit einer Digital-Kamera fotografiert. Im Grafikprogramm Photoshop verstärkte er den Kontrast der Aufnahme und druckte den "Fingerabdruck" auf einer transparente Folie aus. Dreidimensionalität erreichte der Forscher, indem er den Ausdruck auf ein Printed Circuit Board (PCB) in Kupfer ätzte. Bereits mit lichtempfindlichen Lack beschichtete PCBs gibt es in Elektronik-Läden zu kaufen. Daraus erstellte er erneut einen Gelatine-Finger und täuschte wiederum 80 Prozent der Scanner.

Drehbuchautoren für James-Bond-Filme dürfte der Vorschlag interessieren, wie man an einem Scanner vorbeikommt, der zusätzlich durch eine Überwachungskamera gesichert ist. Dafür braucht man nur einen durchsichtigen Gelatineüberzug über den echten Finger zu streifen. Einmal die Sperre passiert, verspeist man das verräterische Beweismittel.

Die Ergebnisse seiner Forschung hat Matsumo mit dem Titel "Impact of Artificial Gummy Fingers on Fingerprint Systems" überschrieben. Die Arbeit ist nicht im Web veröffentlicht. Laut dem Newsletter von Counterpane, einem Unternehmen das sich mit Internet-Sicherheit beschäftigt, kann die Abhandlung nur direkt bei Tsutomu Matsumoto angefordert werden.

Zusätzliche Informationen zum Thema lesen Sie im Report Sicher durch Biometrie. (uba)