Künstliche Finger für biometrische ID-Systeme

Japanische Wissenschaftler haben gezeigt, dass sich Fingerabdrucksysteme relativ leicht austricksen lassen können

Am 14. Mai hat US-Präsident Bush den Border Security and Visa Entry Reform Act unterzeichnet. Damit werden die Grenzen schärfer kontrolliert, Ausländer müssen ab 2003 ein Dokument mit biometrischen Merkmalen wie Fingerabdruck oder Iriserkennung bei sich führen ("Ihre Papiere, bitte"). Auf biometrische Merkmale in Ausweisen setzt auch Bundesinnenminister Schily. Doch Systeme zur Erkennung des Fingerabdrucks sind wie andere biometrische ID-Verfahren nicht nur ebenfalls fehleranfällig, sondern beispielsweise auch mit künstlichen Fingern austricksbar.

Bei einer ganzen Reihe von Systemen haben japanische Wissenschaftler von der Yokohoma Universität untersucht, inwieweit sie sich austricksen lassen. Grund für die Untersuchung war, dass Fingerabdrucksysteme zur Identifizierung von Menschen die Verwendung künstlicher Finger erkennen müssten. Gerade der Vorzug biometrischer Systeme könnte sich nämlich als Risiko erweisen, da sich die biometrischen Merkmale nicht wie ein Ausweis oder ein Kennwort einfach austauschen lassen, wenn ein anderer eine Möglichkeit gefunden hat, diese Daten zu missbrauchen. Die Wissenschaftler führen an, dass die Hersteller solcher Systeme normalerweise nicht angeben, ob diese künstliche Finger erkennen können, auch wenn die Möglichkeit technisch durchaus existiert, "lebendige" Finger identifizieren zu können.

Auch wenn manchmal Systeme auch so ausgelegt sein sollen, dass sie künstliche Finger als Ersatz etwa für Menschen akzeptieren sollen, die ihre Finger verloren haben oder bei denen die Rillen nicht mehr zu erkennen sind, so sollten verlässliche Systeme im Allgemeinen doch künstliche Finger zurückweisen. Bei einem Versuch im Jahr 1998 hatten sich vier von sechs Systemen, die den Fingerabdruck optisch abnehmen, von Fingern aus Silikon täuschen lassen. Normalerweise wird ein Fingerabdruck durch Sensoren beim Abrollen auf einer Fläche erfasst. Dann werden die Merkmale ausgewertet und als Vorlage in einer Datenbank abgespeichert, Mit diesem "Original" werden dann die Fingerabdrücke, die an einem Scanner abgegeben und verschlüsselt an einen Server mit der Datenbank übermittelt werden, verglichen.

Auch hier könnten möglicherweise die vom Scanner zum Server übermittelten Daten kopiert und dann in betrügerischer Absicht wieder eingegeben werden. Die Wissenschaftler waren jedoch an den Möglichkeiten interessiert, wie sich die Erkennung am Scanner selbst täuschen ließe. Wenn keine weiteren Sicherungen bestehen, könnte Menschen gezwungen werden, ihren Finger auf den Scanner zu legen. Geiselnehmer oder andere Verbrecher könnten auch einen Finger von einem lebendigen Opfer abschneiden und verwenden. Selbst Finger von Leichen könnten zum Betrug verwendet werden. Schwieriger sei es schon, die Fehlerrate bei den Erkennungssystemen ausnutzen zu wollen und ähnliche Finger bzw. überarbeitete Abdrücke zu präsentieren. Man könne auch das System versuchen zu stören, indem man Licht auf den Scanner blitzen lässt oder diesen in Schwingungen versetzt. Manchmal ist ein Fingerabdruck noch auf der Fläche gut erkennbar. Wenn man diesen mit einem Spray abdeckt, ließe sich mit einem anderen Finger oder einem Gegenstand auf die Fläche drücken, um dadurch das System zu täuschen. Die Wissenschaftler führen auch die Möglichkeit an, dass Fingerabdrücke von genetischen Klons wie eineineiigen Zwillingen sich sehr gleichen, auch wenn sie nicht identisch sind.

Das einfachste Verfahren zum Betrügen besteht jedoch in der Herstellung eines künstlichen Klons des registrierten Fingers. Einen solchen Fingerabdruck könnte man beispielsweise mit einem Kopiergerät oder einem Scanner machen oder als Abdruck auf präparierten Papieren. Am besten sei natürlich, einen Fingerabdruck direkt als Abdruck in einem entsprechenden Material zu erhalten, um daraus einen künstlichen Finger herzustellen. Dazu könne man aber auch den vom Besitzer des Fingers irgendwo hinterlassenen Abdruck verwenden.

Die Wissenschaftler hatten für ihren Versuch Finger aus Gummi (Gelatine) hergestellt, der Fingerabdruck stammte aus einem Abdruck auf einer Glasplatte, um demonstrieren, dass zur Täuschung nicht der wirkliche Finger verwendet werden muss. Für die Herstellung der Klons verwendeten die Wissenschaftler eine Technik, mit der sonst Masken für Schaltkreise auf Chips gemacht werden. Alle der 11 getesteten Systemen akzeptierten mit einer Wahrscheinlichkeit von mehr als 67 Prozent die künstlichen Finger bei der Verifikation. Allerdings seien durch Aufwärmung durch die Fingerabdrucksensoren beim wiederholten Aufdrücken auf die Fläche auch manche künstliche Finger deformiert worden, was die Akzeptanzrate gesenkt hätte. Bei einigen Systemen sei jedoch die Akzeptanz für wirkliche Finger höher als für die künstlichen gewesen, so dass diese möglicherweise bereits Verfahren zur Unterscheidung enthalten, indem sie beispielsweise Feuchtigkeit, elektrischen Widerstand oder Veränderungen des Resonanzwiderstands beim Aufdrücken messen.