Leichte Beute für Hacker: Bezahlen per Fingerabdruck

Über den Status eines Pilot-Projekts ist man bei Edeka hinaus: In neuen Filialen ist es üblich, dass der Kunde „mit Fingerabdruck“ bezahlen kann – einmal registriert, weist er sich per Fingerabdruck beim Einkauf aus, das Geld wird von seinem Konto abgebucht. Ein Viertel der Kunden macht schon heute von der Möglichkeit Gebrauch, so zu bezahlen.

Zahlen ohne Bargeld oder Karte, Grenzen ohne Grenzer, Computer ohne Passwort: Mit Körpermerkmalen wie Fingerabdrücken, die mit elektronisch gespeicherten Datensätzen verglichen werden, kann die Identität einer Person bestätigt werden – das ist die Idee, die die deutsche Biometrie-Industrie mit ihren Produkten verkauft. Sie macht dabei gute Geschäfte – und wächst rasant. Ein „zweistelliges Wachstum“ erwartet der Bundesverband der deutschen Hightech-Industrie Bitkom in diesem Jahr – dafür verantwortlich ist zum einen der vermehrte Einsatz von Biometrie im privaten Bereich, aber auch der biometrische Reisepass. Befürworter argumentieren, dass biometrische Verfahren sicherer wären als PIN oder Passwort. Kritiker sehen das aber ganz anders.

Dass Edeka mit seinem Zahlsystem noch keine negativen Erfahrungen gemacht hat, wundert Andreas Pfitzmann nicht: Er ist Informatikprofessor und Leiter der Datenschutz- und Sicherheitsgruppe an der TU Dresden. „Am Anfang gibt es immer nur kleine Schäden. So war das bei den Bankautomaten auch“, sagt Pfitzmann. Die Hauptgefahr sieht er darin, dass irgendwann jemand anfangen könnte, Fingerabdrücke in großem Stil zu sammeln. Mit diesen könnte man dann nicht nur bezahlen: „Wenn jemand anderes meine Fingerabdrücke zum Beispiel an einem Tatort hinterlässt, um von sich abzulenken oder mir gezielt etwas anzuhängen, könnte ich mich schnell in einem Ermittlungsverfahren wiederfinden.“

Das Problem ist laut den Biometrie-Kritikern folgendes: Die Industrie suggeriere, dass mit biometrischen Sicherungen mehr Komfort, aber auch mehr Sicherheit entstehe. „Tatsächlich ist die Gefahr aber groß, dass die Speicherung biometrischer Taten ganz neue Verbrechen und Risiken hervorbringt“, sagt Pfitzmann.

Edeka verweist darauf, dass nur markante Stellen gespeichert werden, nicht der ganze Fingerabdruck wie bei der Kriminalpolizei. Pfitzmann lässt das so nicht gelten: „Wenn jemand ein Fingerabdruck-Lesegerät unterwandert und die Daten abschöpft, dann ist es unerheblich, was Edeka im Zentralcomputer speichert – aufgelegt werden die Finger, wie sie biologisch sind.“

Im Klartext: Wenn jemand das Lesegerät direkt anzapft und beispielsweise so manipuliert, dass es die Daten eines Fingerabdrucks direkt weitersendet, ist es unerheblich, was Edeka oder ein anderer Konzern speichert – der Anzapfende hat den gesamten Abdruck.

Eine andere Möglichkeit, biometrische Scanner auszutricksen, sind Attrappen. Wie einfach das geht, hat die Bürgerrechtsorganisation Chaos Computer Club zwei Mal gezeigt und mit nachgemachten Fingerabdrücken bei Edeka gezahlt. „Doch der Konzern hat rein gar nichts geändert und nicht mal seine Kunden gewarnt“, sagt Constanze Kurz vom Chaos Computer Club, „dabei ist das definitiv sehr einfach hackbar, sofort vom Konto abbuchbar und die Rechtslage ist unklar.“

Wie einfach solche Fingerabdruck-Attrappen zu erstellen sind, hat der Chaos Computer Club im Frühjahr 2008 eindrucksvoll belegt – am Beispiel von Bundesinnnenminister Wolfgang Schäuble (CDU). Als Schäuble auf einer öffentlichen Veranstaltung auftrat, entwendeten die Hacker ein Glas, aus dem der Unionspolitiker getrunken hatte. Sie machten seinen Fingerabdruck mit Graphitpulver sichtbar, fotografierten ihn mit einer Digitalkamera, druckten das Bild aus und erstellten dann mit Holzleim eine Attrappe, die man auf den eigenen Finger kleben kann.

Die Anleitung dazu veröffentlichte der Club im Internet – mit ein wenig Geduld wäre wohl fast jeder in der Lage eine solche Attrappe nachzubauen. „Wenn wir zu solch einem Identitätsdiebstahl in der Lage sind, dann werden Kriminelle oder Geheimdienste das auch können“, sagt Constanze Kurz. Sie glaubt wie Pfitzmann, dass Fingerabdrücke dazu benutzt werden könnten, Geld zu stehlen oder jemandem ein Verbrechen anzuhängen. Diese Gefahr wachse mit der weiteren Verbreitung biometrischer Systeme.

Nutzer dieser Systeme sind nicht nur private Firmen wie Edeka: „Neben Branchen mit hohem Sicherheitsbedürfnis ist der Staat ein wesentlicher Nachfrager“, sagt Lutz Neugebauer, der Bereichsleiter Sicherheit beim Bundesverband Informationswirtschaft, „derzeit insbesondere durch den Reisepass.“

Fast zehn Millionen biometrische Reisepässe sind mittlerweile in Deutschland ausgestellt worden, mehr als fünf Millionen davon gehören zu der zweiten Generation, in der seit November 2007 auch zwei Fingerabdrücke gespeichert werden. Dass die Pässe überhaupt eingeführt wurden, dafür macht man beim Chaos Computer Club schon zu einem Großteil Interessen der deutschen Wirtschaft verantwortlich. „Zu begründen was der Bürger davon hat war von Anfang an viel schwieriger als die industriepolitischen Interessen nachzuweisen“, sagt Constanze Kurz.

Bei Grenzkontrollen werden die Fingerabdrücke bisher nicht genutzt, die digitalen Passbilder jedoch schon. Den Beamten wird das Bild vergrößert auf einem Bildschirm angezeigt. „Es gibt aber noch keinen vollautomatischen Abgleich“, sagte eine Sprecherin des Innenministeriums zur taz. Das Ziel sei aber natürlich, diesen irgendwann flächendeckend einführen zu können.

Ein Zeitplan liegt laut Innenministerium aber nicht vor. Dass noch keine solchen Geräte eingesetzt werden, bezeichnet Andreas Pfitzmann als die „Ruhe vor dem Sturm“. Er sagt: „Das waren Investitionen, die sich erst lohnen, wenn 50 Prozent der Bürger solche Pässe haben.“ In zwei bis drei Jahren rechnet er damit, dass die Grenzen mit Sensoren und Lesegeräten ausgestattet werden. Da die Reisepässe in Deutschland eine Gültigkeitsdauer von zehn Jahren haben, werden Ende 2015 nur noch biometrische Reisepässe im Umlauf sein, zwei Jahre später nur noch solche mit Fingerabdrücken.