Das Erfassen der Kapillaren auf der Fingerkuppe galt bisher eigentlich als eine sichere Methode, um die Identität des Users zu verifizieren. Nun hat aber ein finnischer Forscher auch dieses System umgangen. Er zeigte, wie man einen Fingerabdruck "stehlen" kann und demonstrierte es auf dem Microsoft "Fingerprint Reader", also an einem Authentifizierungsgerät, das der Konzern bereits seit September 2004 vertreibt.
Eigentlich verhindert der Fingerprint Reader, dass nicht autorisierte Personen Zugriff auf den daran angeschlossen PC erhalten, aberMicrosoft hat es nicht als ein Security-Gerät vermarktet sondern als ein Werkzeug zum bequemen Zutritt zu abgesicherten Websites - ohnen sich Kennungen und Passwörter merken zu müssen. In der Tat, Microsoft warnt sogar auf der eigenen Website, den Fingerprint Reader nicht zum Schutz von sensitiven Daten zu verwenden.
Dies wollte Mikko Kiviharju, ein Forscher beim finnischen Heer, genauer unter die Lupe nehmen. In der vergangenen Woche statt gefundenen Black Hat Europe-Konferenz berichtete er, dass das vom Fingerabdruckscanner aufgenommene Bild nicht verschlüsselt wird. Damit könnte es Hacker sehr einfach stehlen und missbrauchen, um sich etwa in den PC einloggen.
Werkzeuge, die so etwas ausspionieren, gibt es genug am Markt: so genannte "sniffer" erschnüffeln sich den gesamten Datenverkehr. "Der Microsoft Fingerprint Reader kann so leicht gehackt werden", glaubt Kiviharju. Sobald sich der Dieb im Besitz des unverschlüsselten Fingerabdrucks befindet, erhält er nicht nur Zugang zum PC des Bestohlenen, sondern kann sich auch auf sein Online-Bank-Konto zugreifen.
Derartige Attacken sind eigentlich recht aufwendig, Microsoft hat sie aber durch das Nicht-Verschlüsseln des Fingerabdrucks wesentlich vereinfacht, sagte Kiviharju. Seiner Meinung nach wäre der Einbau eines Verschlüsselungsalgorithmus nur mit geringem Aufwand verbunden.
Microsoft lizenziert die Fingerprint Reader-Technologie vpm Digital Persona Inc. Diese kalifornische Company stellt auch einen Fingerabdruckscanner, allerdings mit Verschlüsselung der dabei aufgenommenen Bilder. Derzeit ist noch nicht klar, warum Microsoft auf diese Funktion verzichtet hat.
"Das Ausschalten der Verschlüsselung allein erzeugt noch keine Sicherheitslücke", meint Vance Bjorn, Technikchef bei Digital Persona. "Nur mit physischem Zugrifft auf den PC erhält man auch den Fingerabdruck."
Ein Security-Analyst mutmaßt sogar, dass es Absicht war, die Verschlüsselung im Microsoft-Gerät auszuschalten. "Damit würden nämlich beide Company nicht miteinander konkurrieren", sagte Russ Cooper, Sicherheitsanalyst bei Cybertrust. Microsofts Geräte wäre nur ein Werkzeug für Endkonsumenten, während Digital Persona Unternehmenskunden bedienen könnte.
Für Cooper ist dies aber gar nicht so schlimm. Er befürchtet, dass man bei Grenzkontrollen oder Geldtransaktionen "seinen Fingerabdruck ohnehin schon preisgegeben hat. Die Menschen haben ihre Privatsphäre verloren. Da muss man sich nur einmal den eigenen Kreditkartenvertrag genauer durchlesen". (rw)