Fingerabdrücke im Reisepass sollen der Sicherheit dienen – doch staatliche Stellen gehen mit den persönlichen biometrischen Merkmalen der Bürger offenbar fahrlässig um. Wider besseres Wissen werden seit Jahren unsichere Lesegeräte verwendet. Einem ARD-Bericht zur Folge wird mittlerweile mit biometrischen Daten im Darknet reger Handel getrieben. Wer das nötige Kleingeld hat - die Rede ist hier von um die 3000 Euro – kann sich eine komplett neue Identität zulegen. Neue Fingerabdrücke zum Überziehen werden gleich mitgeliefert - und diese passen sogar zum neu erworbenen Reisepass. Welcher Missbrauch hier getrieben werden kann, ist offensichtlich. Besonderes Augenmerk legt der Bericht auf Sicherheitslücken in den Fingerabdruckscannern, die in den Einwohnermeldeämtern eingesetzt werden. Die Übertragung der Fingerabdruckbilder vom Scanner zum PC erfolgt ohne Verschlüsselung, und das seit mehr als zehn Jahren. Das Innenministerium sieht allerdings keinen Handlungsbedarf: das Gerät sei „ausreichend sicher“.
Das eigentliche Problem liegt woanders
Wenn man sich vor Augen führt, dass in anderen Branchen die gründliche Absicherung bestimmter Geräte sowie sämtlicher Übertragungswege vorgeschrieben ist, scheint diese Aussage auf den ersten Blick geradezu blauäugig. Während jeder Betreiber eines noch so kleinen Webshops sich mit Verschlüsselung, Datenschutz, DSGVO, Zertifikaten und anderen Dingen beschäftigen muss - warum sollte dann eine Behörde, die mit wesentlich mehr persönlichen Daten Umgang hat, hier augenscheinlich von der Pflicht zur Absicherung von Übertragungswegen entbunden sein?
Es gibt tatsächlich Argumente, die hier zugunsten des aktuellen Stands angeführt werden können. Zum einen muss jemand, der Daten von einem behördeneigenen Fingerabdruckscanner abgreifen will, sich in unmittelbarer Nähe des Gerätes befinden. Die Geräte sind auch zumeist beaufsichtigt und befinden sich auf dem Schreibtisch des jeweiligen Beamten.
Aus Sicht des Angreifers stellt das ein hohes Risiko dar, bei Manipulationsversuchen erwischt zu werden. Natürlich kann man auch hier Szenarien entwerfen, in denen unbemerkt ein Gerät in der Nähe platziert wird, das versucht, verwertbare Daten aufzuzeichnen. Ein solches Szenario ist aber auch nicht wirklich gut skalierbar – wenn ein Angreifer große Datenmengen abgreifen will, um damit Handel zu treiben, dann sind die Scanner selbst kein lohnendes Ziel, das somit auch keiner weiteren Absicherung bedarf.
Zugriff auf fremde Daten
Ganz anders sieht es dagegen bei den Datenbanken aus, in denen biometrische Daten gespeichert werden. Diese können jede Art der Absicherung gebrauchen – selbst, wenn diese nicht direkt aus dem Internet erreichbar sind. Gelänge es einem hypothetischen Angreifer, in das interne Netz der Einwohnermeldeämter einzudringen und Zugriff auf die entsprechenden Datenbanken zu erhalten, wäre der Schaden immens. Dass versierte Angreifer es schon in der Vergangenheit geschafft haben, Behördennetze zu infiltrieren, zeigen Ereignisse wie der unter dem Namen „Bundeshack“ bekannt gewordene Hackerangriff auf das Regierungsnetz oder der Zwischenfall beim Bundesamt für Migration und Flüchtlinge (BAMF).
Indien, eines der bevölkerungsreichsten Länder der Erde, nutzt biometrische Verfahren für zahlreiche (Verwaltungs-)Aufgaben. Dabei sind die Daten oftmals unzureichend gesichert und auch nichtautorisierte Personen hatten zeitweise Zugriff auf über eine Milliarde Datensätze indischer Staatsbürger.
Fehler von heute sind nicht mehr behebbar
Jetzt gerade genießt das Thema „Biometrie und Sicherheit“ dank der Reportage wieder eine gewisse Aufmerksamkeit. In den kommenden zwei bis drei Wochen wird der eine oder andere Bericht oder Kommentar dazu erscheinen – danach verschwindet das Thema wieder im medialen Grundrauschen. Die Probleme jedoch bleiben, und sie sind wesentlich weitreichender als die x-te „Sicherheitslücke der Woche“ in Flash, Java, Office oder anderen verbreiteten Programmen. Ein Lapsus in der Absicherung, der heute passiert, kann Menschen noch in 20 oder 30 Jahren nachhängen. Werden mit einer gestohlenen Identität Straftaten begangen, trägt im schlimmsten Fall ein Unschuldiger die Konsequenzen.
"Sicher" ist nicht einfach.
Was also tun? Die zunehmende Verbreitung von Biometrie führt zu ähnlichen Problemen, wie wir sie bereits von Passwörtern kennen. Ja, es ist bequem, sein Smartphone nur mit einem Fingerzeig zu entsperren. Was aber unser Leben einfach und bequem macht, nützt auch Kriminellen, denn auch die „bösen Jungs“ haben es gerne einfach und bequem.
Genau wie bei den altbekannten Passwörtern ist es riskant, alles auf eine Karte zu setzen. Dass ein einfaches Passwort, das überall eingesetzt wird, keine gute Idee ist, dürfte mittlerweile jedem bekannt sein. Setzt man dagegen bei allem auf Biometrie, verschiebt sich das Problem nur. Aus Sicht eines Computers besteht zwischen einem Fingerabdruck und einem Passwort kein wesentlicher Unterschied, somit ist ein Fingerabdruck ebenso sicher (oder unsicher) wie ein Passwort auch.
Man bedenke allerdings: Anders als etwa einen Krypto-Schlüssel lässt sich ein Fingerabdruck nicht „widerrufen“ und sein „Passwort“ kann man auch nicht beliebig oft ändern. Die Anzahl der Änderungen ist durch die Anzahl der vorhandenen Finger begrenzt. Wer kann sich bei den immer häufigeren Meldungen zu Datenlecks vorstellen, bis zum Lebensende nur insgesamt neun Mal ein neues Passwort vergeben zu können? Außerdem ist der eigene Fingerabdruck – im Unterschied zu einem Passwort – nur sehr schwer wirklich geheim zu halten, denn schließlich hinterlässt jeder seine Fingerabdrücke auf allem, was berührt wird. Im Jahr 2008 erfuhr der damalige Bundesinnenminister Wolfgang Schäuble dies am eigenen Leib. Auch eine Stimmerkennung hat dieses Problem: Wer nicht ab sofort auf jegliche mündliche Kommunikation verzichten kann oder will, wird es schwer haben, die eigene Stimme geheim zu halten. In Experimenten ist es sogar bereits gelungen, Fingerabdrücke mit einer Speziallinse aus mehreren Metern Entfernung zu fotografieren und erfolgreich zu reproduzieren. Hochwertige Kameras machen auch die Anfertigung biometrietauglicher Iris-Aufnahmen möglich - und niemand würde auf den Gedanken kommen, fortan nur noch mit Sonnenbrille oder geschlossenen Augen die Wohnung verlassen.
Eine sichere Lösung kann daher nur eine Kombination aus verschiedenen Faktoren sein. Sei es Passwort + Fingerabdruck oder Passwort + Fingerabdruck + Hardware-Token mit Einmalpasswort (OTP) oder andere Kombinationen.