Diese Ausarbeitung zum Thema ”Überwindungsszenarien für biometrische Systeme” befasst sich mit den Möglichkeiten Sicherheitsmechanismen von biometrischen Systemen zu umgehen, zu überlisten oder anzugreifen. Aufgrund der zunehmenden Verbreitung von biometrischen Systemen gilt es diesen Punkt in der Zukunft mehr Beachtung zu schenken. Heutzutage bieten immer mehr Firmen Komplettlösungen an, die hohe Benutzerfreundlichkeit und zugleich ein hohes Sicherheitsniveau versprechen. Bei genauerer Betrachtung wird jedoch auffällig, dass sich diese beiden Aspekte in der Realität häufig widersprechen.

Kapitel 2

Einführung

Spricht man von biometrischen Sicherheitssystemen muß man sich zunächst im Klaren sein, dass es zwei Arten der Anwendung von Biometrie in diesem Bereich gibt. Man unterscheidet hier zwischen Identifikation und Verifikation. Bei der Identifikation dient ein biometrisches Merkmal dazu, einen 1:N Vergleich durchzuführen, d.h. ein Merkmal einer zu identifizierenden Person mit N in einer Datenbank gespeicherten Merkmalen zu vergleichen, um dessen Identität zu ermitteln. Bei der Verifikation hingegen wird ein 1:1 Vergleich durchgeführt, d.h. es werden zwei Templates eines biometrischen Merkmals miteinander verglichen. Stimmen beide zu einem gewissen Grade überein wird angenommen, dass die Person tatsächlich die ist, für die sie sich ausgibt. Ein Angreifer verfolgt demnach unterschiedliche Ziele, je nachdem ob er eine Identifikation vermeiden möchte oder sich Zutritt zu einem gesicherten Bereich mit Hilfe einer erfolgreichen Verifikation verschaffen möchte. Man spricht von Negatividentifikation, wenn es darum geht aus einer Menge von Personen mit Hilfe eines biometrischen Identifikationsverfahren bestimmte z.B. verdächtige Personen herauszufiltern, von denen man beispielsweise über biometrisches Ausgangsmaterial in Form eines Fotos oder Fingerabdruckes verfügt. Ein potentieller Angreifer versucht hier, seine Merkmale möglichst unkenntlich zu machen bzw. zu verfremden. Mit einem präparierten Finger, einer neuen Barttracht oder ähnlichem lassen sich biometrische Merkmale sehr gut verstecken, mit dem Hintergrund eine Nichterkennung möglich zu machen. Bei der Verifikation ist das Angriffziel hingegen der Versuch ein Matching mit einer autorisierten Person zu erreichen. Der Angreifer hat hier die Absicht, möglichst gut ein bestimmtes biometrisches Merkmal zu imitieren, um sich unerlaubt Zutritt zu einem mit Hilfe von Biometrie gesicherten Bereich zu verschaffen.

Hautsächlich befasst sich diese Arbeit jedoch mit Szenarien biometrische Verifikationssysteme zu überwinden. Dabei soll im Vordergrund stehen, dass sich der Angreifer möglichst unbemerkt Zutritt zu gesicherten Systemen verschafft. Die Ausübung von physischer Gewalt auf ein biometrisches Sicherheitssystem ist auch auf nichtbiometrische übertragbar und soll somit weniger Thema dieser Ausarbeitung sein. Es bleibt an dieser Stelle dem Leser überlassen, sich solche Szenarien vorzustellen, die alles in allem sicher in kurzer Zeit die Aufmerksamkeit von Security oder anderen Personen auf sich ziehen würden.

In der Literatur wird darüber hinaus von zwei Typen von Angreifern gesprochen. Der Imposter (Betrüger) ist jemand, der autorisiert oder nicht autorisiert, absichtlich oder unabsichtlich versucht, sich als jemand auszugeben, der zugangsberechtigt ist. Der Attacker (Angreifer) versucht hingegen das Biometrische System zu umgehen oder manipulieren, um sich oder jemand anderem Zutritt zu verschaffen oder registrierten Nutzern den Zutritt zu verwähren.

Bevor wir uns genauer mit den Angriffspunkten eines biometrischen Systems auseinandersetzen wollen, soll zunächst eine für uns intuitive Gliederung von Angriffsmöglichkeiten vorangestellt werden.

Ein Überwindungsszenario ist die Ausübung von psychischer oder physischer Gewalt auf einen autorisierten Nutzer. Ist jemand leicht zu erpressen oder zu bestechen, eröffnet dies ein nicht zu unterschätzendes Angriffspotential.

An zweiter Stelle sei das Überlisten der Sensorik durch Nachahmung eines Biometrischen Merkmals mit Hilfe von Bildern, Attrappen, Kopien etc. genannt.

Ein anderer Weg ist, einen Angriff auf das System hinter der Sensorik durchzuführen. Mögliche Ziele sind hier die Datenkommunikation, Templatedaten, Policy Management und noch weitere, auf die noch ausführlicher eingegangen wird.

Kapitel 3

Angriffsmöglichkeiten

Dieses Kapitel setzt sich mit den Angriffspunkten eines biometrischen Systems auseinander. Dabei werden die einzelnen Komponten dahingehend untersucht, inwieweit der Angreifer sie zur Überwindung des Systems nutzen kann.

3.1 Benutzer

Bei der Sicherheit eines biometrischen System muss immer berücksichtigt werden, dass ein Benutzer seine biometrischen Daten unwissentlich, unfreiwillig oder freiwillig zu Verfügung stellen kann. Man kann dabei unterscheiden, inwieweit der autorisierte Benutzer mitwirkt. So kann das biometrische Merkmal versteckt und unbemerkt aufgenommen werden; beispielsweise mittels Foto-, Video- oder Tonaufnahme. Durch eine Unachtsamkeit des Benutzers kann diese aber auch gestohlen werden. So zum Beispiel im Schlaf oder auch von einem unsicheren System, auf dem der Benutzer mit gleichem Merkmal ebenfalls eingerichtet ist. Die biometrischen Daten können aber natürlich auch durch Zwang oder Amputation gestohlen werden. Des weiteren kann der Benutzer sein biometrisches Merkmal bei der Einrichtung modifizieren und somit den Angriff erleichtern. Dies setzt ein grösseres Mitwirken des autorisierten Benutzer bei der überwindung des Systems voraus. Letztendlich kann der Benutzer seine Daten freiwillig zur Verfügung stellen und den Angriff erheblich erleichtern.

3.2 Aufnahme des biometrischen Merkmals

Die Aufnahme des biometrischen Merkmals ist eine sehr empfindliche Stelle für das biometrische System. Wurde diese Stelle erfolgreich überwunden, gelangt der Angreifer meistens zum Ziel. Die Angriffe kann man je nach Aufwand unterscheiden. Kein Aufwand hat der Angreifer, wenn dieser sein eigenes, unverändertes Merkmal präsentiert. Dabei kann es bei einer zu hohen FAR zu einen Übereinstimmung kommen. Der Angreifer kann sich bei der Verifikation ein zufälligen Benutzer wählen oder einen Benutzer, bei dem er weiss, dass er eine hohe FAR besitzt. Bei der Identifikation erhöhen sich die Chancen des Angreifers erheblich, da es wesentlich mehr Möglichkeiten zur Übereinstimmung gibt. Denkbar ist natürlich auch, dass der Angreifer sich für einen Benutzer ausgibt, dessen biometrisches Merkmal sehr ähnlich zu seinem ist; so bei Verwandschaftbeziehungen oder im Idealfall bei Zwillingen. Woran ebenfalls zu denken ist, dass bei biometrischen Merkmalen, die man mehrmals besitzt, einige Versuche ohne nennenswerten Aufwand durchgeführt werden können. Dies ist beispielsweise bei den Fingerabdrücken der Fall. Dort hat der Angreifer die Möglichkeit alle zehn Finger ohne grossen Aufwand durchzuprobieren. Der Angreifer kann natürlich auch mit ein bisschen Mehraufwand versuchen sein biometrischen Merkmal zu modifizieren, um seine Chancen auf Erfolg zu erhöhen. So können dynamsiche Merkmale wie Stimme oder Unterschrift verändert oder angepasst werden, ebenso wie statische Merkmale wie Gesicht oder Hand. Etwas schwieriger und mit mehr Aufwand verbunden, aber dafür erfolgsversprechender, sind die künstlichen Merkmale. Dabei wird versucht das biometrische Merkmal so gut wie möglich nachzubauen oder nachzuahmen. Beispielhaft sind hier der Silikonfinger, die Gesichtsmaske oder die Tonbandaufnahme. Bei diesem Vorgehen muss aber bereits ein biometrisches Merkmal vorliegen, um dieses nutzen zu können. Dabei können Rückstände von Merkmalen helfen, wie der latente Fingerabdruck auf dem Fingerabdruckscanner. Bei der Aufnahme des biometrischen Merkmals ist zu beachten, dass wenn die Anzahl der Wiederholungen nicht beobachtet werden, Angriffe mit leichten Veränderungen wiederholt werden können und der Angreifer so sukkzessiv das Ziel erreicht (hill-climbing attack).

3.3 Verbindungen zwischen bestimmten Komponenten

Leitungen zwischen Komponenten stellen immer ein Risiko dar, abgehört zu werden. Hierbei und an vielen anderen Stellen muss aber unterschieden werden, dass dies auch für nichtbiometrische Systeme gilt, und dies kein Nachteil von Biometrie bedeutet. Im Einzelnen sollen hier vor allem die Verbindungen zwischen den Komponenten Aufnahme und Extraktion sowie Speicherung/Extraktion und Vergleich betrachtet werden. Zwischen diesen Komponenten kann der Angreifer versuchen autorisierte Templates abzufangen und diese dann für seinen Angriff weiterbenutzen. Ebenso kann er versuchen sein Template einzufügen und somit diese Komponenten umgehen.

3.4 Datenerfassung

Das biometrische System kann bereits überwunden worden sein, bevor es überhaupt aktiv wurde. Bei der Erfassung der biometrischen Daten kann es schon zu Angriffen beziehungsweise zu Vorbereitungen für Angriffe gekommen sein. So ist es denkbar, dass ein autorisierter Benutzer bewusst ein schwaches Merkmal eingerichtet hat, um einen Angriff zu erleichtern. So könnte der Benutzer bei ausreichenden Fachkenntnissen sein Verhalten entsprechend modifizieren oder die Qualität seines Merkmals durch Störeinflüsse aus der Umwelt verschlechtern. Ebenso könnte er bei der Einrichtung unbemerkt ein künstliches Merkmal verwenden und dieses den Angreifern überlassen. Diese benutzen dann einfach das künstliche Merkmal bei der biometrischen Aufnahme wieder. Auch ist daran zu denken, dass bei der Erfassung der Daten die Personen unter Umständen nicht vor Ort sind und auf Fotos, Videos etc. zurückgegriffen werden muss. So zum Beispiel bei der Identifikation von Terroristen an Flughäfen. Ebenso muss daran gedacht werden, dass auch Fehler des Administrators gemacht werden können und es zu Fehlern bei den biometrischen Daten vor der Speicherung kommt.

3.5 Speicherort

Besonderer Beachtung kommt der Speicherung der biometrischen Daten zu. Hierbei muss jedoch unterschieden werden, um welches System es sich handelt. So ist der heimische PC anders zu betrachten als der Server im Internet. Generell kann man jedoch sagen, dass der Angreifer versuchen könnte sein biometrisches Merkmal abzuspeichern oder mit einem gültigen auszutauschen. Ebenso könnte er Templates löschen oder modifizieren, um dies unter Umständen für seinen Angriff zu nutzen. Wie erfolgreich die Angriffe sind hängt sicherlich von dem Grad der Verschlüsselung ab. Liegt keine oder nur eine geringere Verschlüssung vor, könnten biometrische Daten gestohlen und für Angriffe benutzt werden. Unter Umständen ist es denkbar, dass biometrische Daten von anderen gleichen biometrischen Systemen gestohlen und auf dem anversierten System eingesetzt werden.

3.6 Administrator

Eine nicht abschaltbare Fehlerquelle stellt der Administrator des Systems dar. Hierbei können alle Fehler zum Nachteil der Sicherheit gemacht werden, die vorstellbar sind. Der Administrator könnte beispielsweise falsche Schwellwerte einstellen, falsche Systemrechte vergeben oder Passwörter zu einfach gewählt haben. Vorstellbar ist auch, dass auf bestimmte Situationen nicht adäquat oder falsch reagiert wird und so Angriffsversuche unbeobachtet bleiben. Dies könnte eventuell zum Erfolg führen (z.B. hill-climbing Attacke) oder von anderen genutzt werden. Offensichtlich ist, dass es bei einem feindlichen gesinnten oder bestechlichen Administrator eine Fülle von Angriffsmöglichkeiten bestehen.

3.7 Benutzer, Policy Management, Portal

Für jedes biometrische System muss es ein nichtbiometrisches Alternativsystem geben, da es gewisse Umstände gibt, die Biometrie nicht zulassen. So zum Beipiel kann es vorkommen, dass es Benutzer gibt, die für das Fingerabdrucksystem nicht geeignet sind, weil Merkmale fehlen oder unzureichend vorhanden sind. So bei 2-4% der deutschen Bevölkerung. Möglich ist auch, dass bei vorrübergehenden Krankenheiten oder Verletzungen das biometrische System nicht genutzt werden kann. Ebenso kann das biometrische System von einigen Benutzern schlichtweg abgelenht werden. Gründe hierfür sind beispielsweise Hygiene, Misstrauen oder Unwohlsein bei der Aufnahme des Merkmals. Für all diese Benutzer muss es ein entsprechendes nichtbiometrisches System mit gleicher Sicherheit geben, um diese nicht auszuschliessen. Ein Alternativsystem muss ebenso vorhanden sein für den Fall eines Systemausfalls. Mögliche Angriffspunkte liegen auch dann vor, wenn Risiken vom Management falsch eingeschätzt werden und diese gezielt ausgenutzt werden könnnen. Ebenso kann auf erkannte Attacken unzureichend reagiert werden.

3.8 Portal

Das Portal stellt einen weiteren Angriffspunkt dar. Dort kann der Angreifer mit Hilfe eines autorisierten Benutzers Zugang erlangen. Dabei kann es sich um einen logischen oder physischen Zugang handeln. Bei einem physischen Zugang kann der Benutzer beispielsweise die Tür offen lassen oder den Angreifer Huckepack nehmen. Beiden Zugängen ist gleich, dass mit Zwang sich Zugang verschaft werden kann. Natürlich kann bei physischen Zugängen versucht werden diese gewaltsam zu öffnen.

3.9 Hardware

Hardware ganz allgemein kann Ziel eines Angriffes sein. Dabei kann der Angreifer versuchen die Hardware zu umgehen, deaktivieren oder modifizieren. Schwachstellen von Hardware können allgemein bekannt sein und ausgenutzt werden. Ebenso muss beachtet werden, dass Hardwarekomponenten altern und sich die Funktionalität unter Umständen herabsetzt. Auch sind bestimmte Komponenten der Witterung ausgesetzt.

3.10 Software und Firmware

Wie auch bei der Hardware kann der Angreifer versuchen die Software zu umgehen, zu deaktivieren oder zu modifizieren. Hierbei sind genügend Beispiele von nichtbiometrischen Systemen aus den Medien vorhanden. So muss man an dieser Stelle wieder betonen, dass dies nicht unbedingt einen Angriffspunkt der Biometrie darstellt.

3.11 Verbindungen zwischen Komponenten allgemein

Im Allgemeinen kann man sagen, dass bei allen Verbindungen zwischen Komponenten ein Angriffspunkt vorliegt. Angreifer könnten immer probieren Daten abzufangen oder einzufügen. Je nach Grad der Datencodierung und Erreichbarkeit der Leitungen kann sich dies einfach oder schwierig gestalten.

Kapitel 4

Im folgenden Kapitel möchten wir anhand einiger spezieller Beispiele aufzeigen, welche Möglichkeiten existieren, schon mit einfachen praktischen Mitteln biometrische Systeme zu überlisten. Im Vordergrund sollen hierbei einfache Fingerabdruckscanner stehen, wie sie häufig auch für den Heimanwender angeboten werden. Neben dieser doch recht etablierten Möglichkeit Biometrie in Sicherheitssystem einzusetzen, sollen auch Überwindungsszenarien der Gesichtsgeometrie kurz Erwähnung finden. Im Falle der privaten Nutzung ist es im Besonderen relevant, auch die Schnittstellen (z.B. USB) zwischen Scannereinheit und verarbeitenden System (hier der PC oder Laptop) näher zu beleuchten.

4.1 Fingerabdruck

Der Fingerabdruck kann auf eine lange Geschichte zurückblicken, ist er doch vor allem in der Kriminalistik bei forensischen Untersuchungen ein altbekanntes und bewährtes Mittel, Personen zu identifizieren. Im Laufe der Jahre können Polizeibehörden weltweit ihre Verbrecherkartei mit diesem unverwechselbaren biometrischem Merkmal ausstatten. Die Hauptgründe für seine Erfolgsgeschichte in der Kriminalistik sind, dass fast jeder Mensch auf der Erde einen einzigartigen Fingerabdruck besitzt und diesen bei direkter Berührung mit Gegenständen auf denselbigen hinterlässt. Förderlich für seine Akzeptanz in biometrischen Sicherheitssystemen ist die Tatsache, dass relativ schnell ein Abbild des Fingers erstellt werden kann und die Analyse von markanten Linienbilder, den sog. Minuzien mit elektronischen Hilfsmitteln heute kein Problem mehr darstellt. Die langen Erfahrungen mit dem Fingerabdruck als Identifikationsmerkmal führen dazu, dass die Industrie heute hardware- sowie softwareseitig sehr günstige Komplettlösungen auf den Markt bringen kann. Mit diesem beispielsweise in einer Computermaus integrierten Sicherheitsmechanismus, lässt sich heute schon der heimische PC oder Laptop vor unbefugtem Zugriff schützen. Ein hier am Institut unter Laborbedingungen durchgeführter Versuch [3] zeigt jedoch, dass diese Geräte in vielen Fällen nur unzureichenden Schutz bieten.

In der Praxis haben sich heutzutage drei Typen von Sensoren etabliert. Man unterscheidet hier

kapazitive
optische
thermische

Sensorik. Kapazitive Sensoren bestehen aus einer Matrix von Kondensatoren, die durch Auflegen eines Fingers Kapazitätsänderungen unterworfen sind. Diese Änderungen sind abhängig vom jeweiligen Abstand zur Haut. Betrachtet man nun diese Ladungsänderungen und bringt sie mit der Geometrie eines Fingers in Einklang, erhält man ein gutes Abbild eines Fingerabdrucks.

Bei Optischen Sensoren wird lediglich ein fotografisches Bild des Fingers mit Hilfe einer Kamera erstellt.

Thermische Sensoren nutzen die minimalen Temperaturunterschiede zwischen den Fingerlinien, genauer zwischen den Erhebungen (Hills) und den Tälern (Valleys) und erzeugen ein Wärmebild des aufgelegten Fingers. Wie bei anderen biometrischen Systemen besteht eine Möglichkeit eines potentiellen Angriffsversuchs darin, dass biometrische Merkmal zu kopieren bzw. nachzuahmen.

Wie weiter oben bereits erwähnt besitzen die Finger die Eigenschaft, bei Berührung mit Gegenständen natürliche Fettrückstände sog. Latenzbilder zu hinterlassen. Diese Eigenschaft lässt sich in vielerlei Hinsicht für einen Angriff nutzen. Die intuitivste Variante stellt in unseren Augen die Nachbildung des Fingers aus Material wie zum Beispiel Silikon oder Gelatine dar. Sie setzt natürlich das Vorhandensein eines guten Referenzabdrucks als Vorlage voraus. In der Praxis erwiesen sich die kapazitiven Sensoren mit diesem Täuschungsversuch als sehr anfällig. Hier zeigte sich auch, dass es in vereinzelten Fällen sogar möglich ist, das System mit bereits auf dem Sensor befindlichen Latenzfingerabdrücken zu überlisten. Die Reaktivierung dieser Fingerabdrücke gelang beispielsweise mit Hilfe von Klebeband oder etwas Folie und wahlweise mit Graphitpulver (siehe Abbildung 4.1). Ein einfaches Auflegen unter leichtem Druck ermöglichte hier den Zutritt. Erstaunlicherweise reichte in machen Situationen ein leichtes Anhauchen des Sensors und das System erkannte den Angreifer als autorisierten Nutzer. Eine etwas abenteuerliche Variante ist der Versuch, den Sensor mit einer mit Wasser befüllten Plastiktüte zu überwinden. Die sich zwischen Tüte und Sensor bildende erhöhte Luftfeuchtigkeit führte zunächst zu Kapazitätsschwankungen im Sensor und in Folge zu einer Verifikation anhand des Latenzfingerabdrucks. (siehe Abbildung 4.1)

@Thalheim, Krissler,Ziegler [3]

Abbildung 4.1: Reaktivierung eines Latenzfingerabdrucks mittels Graphitpulver und Wasser

Optische Sensoren erweisen sich als weniger feuchtigkeitssensibel. Sie bieten insbesondere auch gute Möglichkeiten Mechanismen für eine Lebenderkennung zu integrieren. Im Allgemeinen sollten ausgereifte optische Verarbeitungssysteme die Reaktivierung von Latenzbildern abwehren können. Diese Systeme erkennen zum Beispiel, ob es sich um ein 3D-Objekt eines Fingers handelt oder nur eine Nachahmung mit Hilfe einer planen Folie.

Zusätzlich können bei Fingerabdrucksystemen natürlich auch Replay-Attacken zum Angriffserfolg führen. Sie finden weiter unten noch gesonderte Erwähnung.

An dieser Stelle soll der Artikel ” Biometrie und Sicherheit” von Manfred Bromba [4] nicht unerwähnt bleiben. Er zeigt auf, dass die Nachahmungsversuche von Fingerabdrücken in der Realität weitaus schwieriger zu realisieren sind, als es den Anschein hat. Der Autor weist auf die Qualität von Latenzfingerabdrücken hin, die sich unter Laborbedingungen und in der Praxis sehr stark unterscheidet. Viele Publikationen, die Biometrik als unsichere Systeme entlarven wollen, berücksichtigen hier nach Meinung Brombachs nicht, dass es in der Praxis weitaus schwieriger ist, wirklich saubere somit brauchbare Latenzfingerabdrücke zu erhalten. Sie stellen letztlich in vielen Fällen die Grundvoraussetzung für einen Angriffsversuch dar. Brombach definiert Sicherheit u. a. als Risikomaß eines erfolgreichen Angriffs, welches von folgenden Faktoren abhängt:

• die Wahrscheinlichkeit, dass sich jemand zu einem Angriff entschließt

• die Wahrscheinlichkeit, dass jemand bis zum Arbeitsplatz vordringt

• die Wahrscheinlichkeit, dass der Angreifer bei der Suche nach einem qualitativ brauchbaren Latenzfingerabdruck erfolgreich ist

• dass er ihn geeignet kopieren kann

• dass die Authentifikation gelingt.

Um einen Angriff erfolgreich durchführen zu können, müssen alle Schritte erfolgreich sein. Die Sicherheit hängt somit also grob vom Produkt der Einzelwahrscheinlichkeiten ab.

Viele Systeme bieten heutzutage darüber hinaus eine Latenzbild-Detektion an. Die Software macht sich hierbei den Umstand zu nutze, dass es selten gelingt, den Finger zweimal genau identisch zu platzieren. Ein Latenzfingerabdruck besitzt jedoch genau diese Eigenschaft. Zeigt ein Vergleich zwischen dem Abbild der letzten Verifikation und dem des aktuellen Fingerabdrucks eine signifikante Ähnlichkeit, verweigert das System den Zutritt und verhindert somit einen potentiellen Angriff. In einigen Ausarbeitungen findet man diesbezüglich den Hinweis, den Sensor nach jedem Gebrauch zu putzen, um den Latenzabdruck zu entfernen. Brombach hingegen stellte fest, dass sich bereits nach 5-maligem Auflegen des Fingers kein brauchbarer Fingerabdruck mehr rekonstruieren lässt. Abbildung 4.2 verdeutlicht dies anhand eines ID-Mousesensors. Vergisst der Nutzer einmal den Sensor zu reinigen, liegen einem potentiellen Angreifer somit relativ gute Latenzbilder des autorisierten Nutzers vor.

@Manfred Bromba [4]

Abbildung 4.2: Latenzfingerabdruck auf einer ID-Maus

Dieses Beispiel verdeutlicht, dass es doch sehr unterschiedliche Meinungen über die Benutzung in der Praxis von Biometrischen Systemen gibt.

4.2 Gesichtsgeometrie

Schon seit Beginn der Menschheitsgeschichte nutzen wir intuitiv das biometrische Merkmal Gesicht, um Personen zu identifizieren. Ist es doch das Merkmal, dass für jedermann leicht erkennbar ist. Welche Leistungen hier das menschliche Gehirn im Bereich Mustererkennung vollbringt, wird erst dann deutlich, wenn man versucht ein Gesichtserkennungssystem in Hard- bzw. Software zu implementieren. Hier muss vor allem versucht werden zu abstrahieren, d.h. sich auf die wesentlichsten Merkmale der Gesichtsgeometrie zu beschränken. Die Lage und Proportionen von Augen, Nase, Ohren und Mundwinkel stehen dabei im Vordergrund. Diese Daten lassen sich heutzutage mit modernen Bildverarbeitungssystemen gut auswerten. Die Notwendigkeit der Beschränkung macht es jedoch zunächst Angreifern relativ leicht, solche Systeme zu attackieren. Dabei hängt der Angriffserfolg vom eingesetzten Bildaufnahme- und Auswerteverfahren ab. Kamerasysteme, die im optisch-sichtbaren Bereich arbeiten lassen sich beispielsweise schon leicht durch ein auf die Lichtverhältnisse angepasstes Foto eines autorisierten Nutzer überlisten. Gelingt es dem Angreifer in den Besitz eines digitalen Fotos zu gelangen, sind solche ”Optimierungen” mit aktuellen Bildbearbeitungsprogrammen kein Problem mehr. Es fällt sogar leicht, mehrere verschieden bearbeitete Fotos auszudrucken und diese dem biometrischen System zu präsentieren. Der Einsatz eines Laptops bietet zusätzlich die Möglichkeit, zur Darstellung des Fotos das Display zu benutzen und ggf. vor Ort das Bild hinsichtlich Helligkeit, Kontrast, Größe etc. anzupassen. Selbst wenn das Sicherheitssystem über eine Lebenderkennung verfügt, ist die Überwindung mit Hilfe eines vorgespielten Videostreams denkbar.

4.3 Schnittstellen zwischen Sensor und verarbeitenden System

Eine weitere Angriffsmöglichkeit besteht darin, die Software oder Hardware des Sicherheitssystems direkt zu attackieren. Hier sollen wiederum Heimanwendungen wie Laptop oder Desktop-PC im Vordergrund stehen. Größere Sicherheitssysteme, wie sie in Banken oder anderen Sicherheitsbereichen installiert sind, werden in der Regel zusätzlich durch Sicherheitspersonal und Kameras bewacht, sodass sich niemand unbemerkt an den Systemkomponenten zu schaffen machen kann. Natürlich sind aber auch hier Szenarien beispielsweise mit Hilfe eines Computervirus oder ähnlichen Programmen denkbar, die ein Restrisiko nicht ausschließen lassen. Relativ leicht zugängliche Sicherheitskomponenten, wie beispielsweise ID-Mouse, USB-Anschluss und Laptop können ein Sicherheitsrisiko darstellen. An dieser Stelle seien sog. USB-Sniffer erwähnt, die als Software- sowie als Hardwareversionen zur Verfügung stehen. Sie ermöglichen es, den USB-Datenverkehr zwischen einem Gerät (z.B. Sensoreinheit in Form einer ID-Mouse) und verarbeitenden System (z.B. Laptop) zu belauschen. Software-Sniffer klinken sich zwischen USB- und Geräte-Treiber direkt ins Betriebssystem ein und können beispielsweise mit Hilfe eines Virus auf den PC gelangen. Handelt es sich um einen unerfahrenen Nutzer, der beispielsweise den PC oder Laptop überwiegend mit Administratorrechten gebraucht, so ist es kein schwieriges Problem ein solches ”Spionageprogramm” einzuschleusen, welches den USB-Datenverkehr loggt und ihn über das Internet zur weiteren Analyse an den Angreifer schickt. Mit etwas Erfahrung lassen sich somit relativ leicht biometrische Daten ausspionieren und für einen späteren Angriff zum Beispiel mit einer Replay-Attacke missbrauchen. Etwas auffälliger ist der Einsatz von Hardware-Sniffern. Diese Geräte werden direkt an das USB-Kabel zwischen Sensor und USB-Anschluss angeschlossen. Sie arbeiten im Grunde ähnlich wie Software-Sniffer sind jedoch in Sachen Auffälligkeit und Bedienbarkeit unterlegen.

Ein weiteres Angriffszenario ist der vollständige Austausch der Sensoreinheit mit einer vom Angreifer präparierten Version. Der einfache Gebrauch von USB-Geräten im Besonderen das Anschließen bzw. Entfernen, ermöglicht dies relativ einfach zu bewerkstelligen. Moderne Sicherheitssoftware sollte einen solchen Austausch jedoch registrieren und entsprechend darauf reagieren können.

Kapitel 5

Gegenmaßnahmen

Der folgende Abschnitt soll sich mit Mechanismen beschäftigen, die verhindern sollen, biometrische Systeme mit einfachen Mitteln zu überwinden. Aufgabe eines biometrischen Systems ist es heutzutage nicht nur die Merkmale der autorisierten Nutzer zu beurteilen, sondern auch deren zweifelsfreie Herkunft zu überwachen. Ein in den Medien häufig auftauchender Begriff ist die sog. Lebenderkennung (engl. Life-Test). Darüber hinaus soll in diesem Kapitel auch auf Smardcards eingegangen werden. Sie stellen zwar keine direkte Gegenmaßnahme gegen Angriffe dar, sind jedoch ein wirksames Konzept, um die Sicherheit biometrischer Systeme erheblich zu steigern.

5.1 Lebenderkennung / Life-Test

Was bedeutet Lebenderkennung? Folgende Definition nach [7] soll hier zunächst die Begrifflichkeit klären:

"Unter Lebenderkennung wird die Überprüfung verstanden, ob die jeweiligen biometrischen Merkmale von einem lebenden Organismus und nicht von einer künstlichen Fälschung erzeugt wurden.”

Dieser Test ist im Übrigen kein integraler Bestandteil eines biometrischen Algorithmus. Denkt man jedoch an die heutigen Möglichkeiten biometrische Merkmale auszuspionieren, ist er in modernen Sicherheitssystemen nicht mehr wegzudenken. Beispielsweise macht die zunehmende Verbreitung von teilweise auch immer kleiner werdenden Digitalkameras (Bsp. Handykamera) es heutzutage zum Kinderspiel, mehrere Fotos von einer Person unbemerkt aufzunehmen und für die Zwecke einer Verifikation mittels Gesichtserkennung zu missbrauchen. Sicherheitssysteme mit Lebenderkennung sind dennoch nicht unüberwindbar. Wie im vorherigen Kaptitel bereits dargestellt, reicht in manchen Fällen etwas Kreativität aus, um dem System eine lebende Person vorzugaukeln. Der Erfolg hängt natürlich von der Komplexität der Überprüfung ab. Werden mehrere Merkmale geprüft, die ein lebender Organismus vorweisen muss, wird es für den Angreifer erheblich schwieriger ein brauchbares Imitat zu erstellen. Aktuelle Verfahren zur Lebenderkennung machen sich gewisse Eigenschaften der Haut, sowie Bewegungen beispielsweise in Gesicht und Auge zu nutze. Zu den typischen Hauteigenschaften gehören Farbe, elektrische Leitfähigkeit, Reflexionsverhalten und Wärmeabstrahlung. Die überprüfung auf elektrische Leitfähigkeit lässt sich gut in Fingerabdrucksensoren oder Handgeometriesscannern integrieren; Hautreflexion und Farbe sind auch ohne weiteres bei Gesichtserkennungssystemen realisierbar. Die Temperaturunterschiede der Haut können mit Hilfe einfacher Infrarotabtastung analysiert werden. Die Tatsache, dass wir unser biometrisches Merkmal nie in vollständige Ruhe versetzen können, macht es der Lebenderkennung möglich, kleinste Bewegungen zu registrieren, die auf einen lebenden Organismus schließen lassen. So können Bewegungen von Lippen, Augenlidern und Kopf hilfreich beim Unterscheiden von lebenden Personen und Gesichtsattrappen sein. Bei der Iriserkennung ist bekannt, dass sich durch Helligkeitseinfluss die Pupille erweitert. Dieser Effekt und andere Eigenschaften wie die Wölbung der Augen sind hilfreiche Indizien, um künstliche Augen von echten zu differenzieren. Durch Algorithmen der Mustererkennung lassen sich auch mit Hilfe von Methoden der Signalverarbeitung durch Tonband aufgenommene Stimmen von autorisierten Nutzern entlarven. Ein in der Medizin eingesetztes Verfahren, dass ebenfalls in Fingerabdrucksystemen Anwendung findet ist die Pulsoxymetrie. Durchleuchtet man einen Finger mit rotem und infrarotem Licht, lassen sich Pulsschlag und Blutzirkulation nachweisen. Der Grund dafür ist, dass sauerstoffreiches Blut mehr Licht dieser Wellenlänge absorbiert als sauerstoffarmes.

Dass diese wie auch andere Verfahren teilweise große Akzeptanzprobleme haben, wird deutlich, wenn beispielsweise die durch Pulsoxymetrie oder Iriserkennung gewonnen Daten für andere Zwecke verwendet werden. Hämoglobingehalt sowie Pulsfrequenz können beispielsweise Hinweise über den Gesundheitszustand eines Nutzers geben. Ein Irisscan kann unter Umständen sogar Spekulationen auf ernsthafte Erkrankungen anregen. Lebenderkennung muss sich somit Vorwürfen den strengen Datenschutzrichtlinien in Deutschland nicht gerecht zu werden, erwehren. Neben dem Akzeptanzproblem hat Lebenderkennung auch mit weiteren Schwierigkeiten zu kämpfen. Zum einen ist sie heute noch relativ teuer und teilweise aufwendig zu integrieren, zum anderen verlängert deren Einsatz die Gesamtverifikationsphase um einen nicht unbeachtlichen Anteil der eigentlichen Verifikationsdauer.

5.2 Smardcards

Smardcards werden von vielen als der neue Trend proklamiert. Sie sind nicht größer als die weit verbreiteten Chipkarten, die heutzutage jeder in seiner Brieftasche vorfindet und bieten Vorteile, die dem Nutzer die Akzeptanz von biometrischen Sicherheitssystemen erleichtern könnte. Im Laufe der Zeit wurden mehrere Systeme entwickelt, die jedoch alle die zwei Verifikationsmethoden Besitz und biometrisches Merkmal kombinieren. Die Grundidee ist, dass sich ein Template eines biometrischen Merkmals (heute meist der Fingerabdruck) auf der Smardcard befindet, welches dem Besitzer zuzuordnen ist und bei der Überprüfung herangezogen wird. Der Besitzer wird nur dann als autorisiert eingestuft, wenn das Smardcardexemplar mit dem bei der Prüfphase erstellten Template übereinstimmt. Ein entscheidender Vorteil ist, dass das Template nicht in einer zentralen Datenbank abgelegt wird, sondern auf der Smardcard gespeichert ist und der Nutzer somit im ständigen Besitz seines Templates ist. Selbst bei Verlust oder Diebstahl kann einem Missbrauch mit einer Kartensperrung begegnet werden. Auch eine Kompromittierung von biometrischen Merkmalen ist eher unkritisch zu betrachten, da ohne den Besitz der Smardcard und dem sich darauf befindlichen Template kein Verifikationsversuch gelingen wird. Auf den Chips der Smardcards können natürlich noch weitere Nutzerdaten hinterlegt werden. Diese Vielseitigkeit dehnt nicht nur das Anwendungsspektrum erheblich aus, sondern erhöht auch merklich den Komfort der Handhabung. So ist es beispielsweise nicht mehr erforderlich, Eingaben wie Anwender-ID oder ähnliches während der Überprüfung zu leisten. Einige Firmen, die solche Smardcards herstellen werben damit, dass ihr Card-System in naher Zukunft viele der im Umlauf befindlichen Identifikationsmittel und auch Karten aus dem Bereich ” elektronic-cash” vereinen könnte. Personalausweis, Reisepass, Führerschein, Krankenkassekarte, Bank- und Kreditkarten sind nur einige Beispiele, die die möglichen Einsatzbereiche von Smardcards beschreiben.

Im Folgenden soll kurz auf die unterschiedlichen Smardcard-Systeme eingegangen werden, die sich in den letzten Jahren etabliert haben.

5.2.1 Template on Card

”Template on Card”-Systeme zeichnen sich dadurch aus, dass Smardcards lediglich als Speicherort für biometrische Referenztemplates dienen. Das Enrolement sowie die Verifikation erfolgt mit externen Geräten, zum Beispiel mit Hilfe eines PCs oder eines Smardcard-Readers mit integriertem Sensor. Da bei diesem System biometrische Daten an Fremdgeräte übertragen werden, ist ein Restrisiko durch Kopieren bzw. Ablauschen der Daten nicht auszuschließen. Der erste Schritt dieses Restrisiko zu minimieren bestand darin, die Templatedaten verschlüsselt abzuspeichern. Mehr Sicherheit bieten Chipkarten mit integrierten Kryptoprozessoren. Sie erlauben es, eine sichere Verbindung zum Lesegerät aufzubauen, um somit eine Ablauschen der Templatedaten zu verhindern.

5.2.2 Match on Card

Bei "Match on Card”-Systemen handelt es sich um Chipkarten mit integrierten Matchingprozessor. Über den Umweg einer externen Sensoreinheit ist es möglich, den Matchingalgorithmus auf der Smardcard auszuführen. Controllereinheit und Speicher sind ebenfalls Bestandteile dieser Technologie. Sie stellen somit eine sicherere Alternative zu den bereits beschriebenen ”Template on Card”-System dar, denn das Template verlässt bei diesem Verfahren die Smardcard nicht, kann somit auch nicht ohne weiteres abgefangen werden.

5.2.3 Sensor on Card

Wie der Name vermuten lässt, werden Smardcards mit integrierter Sensoreinheit als ”Sensor on Card”- System bezeichnet. Anders als bei der ”Match on Card”-Variante wird der Verifikationsprozess jedoch außerhalb durchgeführt. Neben dem Komfort seinen eigenen Fingerabdrucksensor mitzuführen, eröffnet das Übertragen von Templatedaten zum externen Matchingprozessor wiederum Raum für einen Angriff auf biometrische Daten.

5.2.4 System on Card

”System on Card”-Systeme stellen zurzeit das sicherste Verfahren dar, biometrische Verifikation mit Hilfe einer Chipkarte durchzuführen. Smardcards dieser Variante vereinen alle Vorteile der oben vorgestellten Systeme. Heute ist es möglich Mikrotechnologie zur Erfassung und Speicherung der biometrischen Daten sowie deren Verarbeitung und Ausgabe auf einer Chipkarte unterzubringen. Da der Anwender weder sein biometrisches Merkmal noch sein Referenztemplate weitergeben muss, bietet dieses System einen optimalen Schutz und sollte auch geltenden Datenschutzbestimmungen gerecht werden. Der Einsatz von ”System on Card” gestaltet sich darüber hinaus als außerordentlich flexibel, da vor Ort keine zusätzliche Hardware installiert werden muss.

Mobile Kleingeräte (Abbildung 5.1), die ohne größeren Installationsaufwand eingesetzt werden können, machen teurer Umbauten an vorhandenen Sicherheitssystemen überflüssig und ermöglichen biometrische Verifikation für unterwegs. In Zukunft werden auch Merkmale wie Gesicht, Iris, Stimme etc. ihre Verwendung in ”System on Card”-Systemen finden.

Kapitel 6

Schlussbemerkungen

6.1 Eigenschaften unterschiedlicher Authentifikationssysteme

Betrachtet man die Möglichkeiten biometrische Systeme zu überwinden, sollte man ebenso alternative Authentifikationssysteme einbeziehen. Somit kann man Vor- und Nachteile der jeweiligen Systeme besser beurteilen und feststellen, ob ein besserer Schutz überhaupt möglich ist. Wie in den vorigen Kapitel bereits erwähnt, muss man besonders darauf achten, inwieweit die Schwachstelle dem System anzulasten ist oder es für alle gilt. Somit ist es sinnvoll sich mit den Eigenschaften der Systeme zu beschäftigen, die zu den Möglichkeiten der Überwindung führen. Die betrachteten alternativen Systeme sind hier Wissen, wie Passwort oder PIN, und Besitz, wie Schlüssel oder Ausweis.

6.1.1 Verlust

Angefangen mit der Eigenschaft Verlust hat die biometrische Identifikation einen gewissen Vorteil. Das Passwort kann schnell vergessen werden und es muss eine Möglichkeit geben ein Neues zu beantragen. Hierbei muss der Benutzer erneut authentifiziert werden, um zu prüfen, ob er wirklich berechtigt ist ein neues Passwort zu erhalten. Beim persönlichen Besitz kommt es vor, dass der Gegenstand verloren geht und der Finder in der Lage wäre diesen Gegenstand zu benutzen. Bei Biometrie ist es jedoch kaum möglich sein Authentifikationsmittel zu verlieren und stellt somit mehr Sicherheit zur Verfügung.

6.1.2 Diebstahl

Ebenso wie der Verlust ist auch der Diebstahl möglich. Hierbei kann das Passwort ausspioniert oder die Zugangskarte gestohlen werden. Beides kann anschließend für den autorisierten Zugang benutzt werden. Beim biometrischen Merkmal gestaltet sich dies jedoch schwieriger, so dass auch hier mehr Sicherheit gewährleistet ist.

6.1.3 Weitergabe

Eine andere Möglichkeit Sicherheitssysteme zu überwinden besteht darin, dass autorisierte Benutzer ihr Authentifikationsmittel, also Schlüssel, Passwort oder biometrisches Merkmal weitergeben. Bei der biometrischen Identifikation nutzt dies jedoch noch nichts, da das Merkmal in entsprechender Form weiterverarbeitet werden muss. Bei den anderen Verfahren ist dies jedoch einfacher. So kann recht einfach das Passwort weitererzählt oder der Schlüssel verliehen werden.

6.1.4 Änderbarkeit

Die Änderbarkeit bei der biomtrischen Identifikation ist etwas problematischer als bei den Anderen. So kann beispielsweise bei Vergessen des Passwortes ein Neues eingerichtet werden. Nach der Aktivierung des neuen Passwortes existiert der gleiche Schutz wie vorher mit dem Alten. Bei der Authentifikationart Besitz verhält es sich ähnlich. Verliert jemand sein Schlüssel zur Wohnung, kann das Schloss ausgewechselt werden und der alte Schlüssel ist unbrauchbar. Auch hier erhält man die gleiche Sicherheit zurück. Wird ein biometrisches Merkmal gestohlen besteht die Gefahr, dass es zur Überwindung des biometrischen System eingesetzt werden kann. Bei biometrischen Merkmalen, die am menschlichen Körper mehrmals auftauchen, wie zum Beispiel die Finger, könnte ein anderes jedoch gleiches Merkmal benutzt werden. Bei Merkmalen, die nur einmal am Körper existieren, besteht diese Möglichkeit nicht und die Gefahr eines Angriffes mit diesem Merkmal ist vorhanden. Dabei besteht nicht nur für dieses System ein erhöhtes Risiko, sondern womöglich auch für andere Systeme, auf diesen der Benutzer sich mit gleichen Merkmal eingerichtet hat. Hinzukommt, dass das biometrische Merkmal normalerweise ein lebenlang besteht und die Problematik bei erneuter Benutzung des Merkmals bestehen bleibt.

6.2 Fazit

Unter allen vorgestellten Möglichkeiten biometrische Systeme zu überwinden, kann man feststellen, dass viele Überwindungsmöglichkeiten auch für nichtbiometrische System gelten. Lässt man die gleichen Überwindungsmöglichkeiten weg und betrachtet nur die jeweilige Authentifikationsart, kann man, wie im vorigen Kapitel, sich an den Eigenschaften orientieren, welche Authentifikationsart Vor- und Nachteile in Bezug auf die überwindung mit sich bringt. Gerade das letzte Kapitel hat gezeigt, dass Biometrie andere Vor und Nachteile gegenüber Nichtbiometrie hat. Daher muss für ein System entschieden werden, inwiefern Biometrie alleine oder in Kombination mit anderen eingesetzt werden soll. Dabei muss natürlich der Aufwand in einem entsprechenden Verhältnis zum Nutzen stehen. Auch die Kosten haben hier einen entscheidenen Anteil. Leider geben Firmen ihr Wissen und ihre Erfahrung mit der Überwindung von Biomtrie nicht preis, um keine Schwachstellen zu veröffentlichen oder dem Firmenimage zu schaden. Dadurch ist es kaum möglich sichere Aussagen für die Praxis zu tätigen. Zusammenfassend kann man jedoch sagen, dass Biometrie immer einer gezielten Einsetzung und Nutzung bedarf und nicht die Lösung für alle Sicherheitsprobleme darstellt.

Kapitel 1

Präambel

Kapitel 2
Einführung

Kapitel 3
Angriffsmöglichkeiten