Das ARD-Wirtschaftsmagazin Plusminus hat zusammen mit dem Chaos Computer Club ausprobiert, wie sich die Fingerabdruck-Scanner in Edeka-Filialen überlisten lassen, um auf Kosten anderer einzukaufen. In der für den heutigen Dienstag Abend geplanten Sendung (21.50 Uhr) will das Magazin zeigen, wie ein Plusminus-Reporter mit der Kopie des Fingerabdrucks eines registrierten Kollegen problemlos auf dessen Kosten in einer Edeka-Filiale einkauft. Die Kopie soll dabei als Folie auf den Finger geklebt sein. Edeka soll schon in über 100 Filialen Fingerabdrucksysteme als Bezahlalternative anbieten.
Der Nachweis, dass ein Betrüger den Einkauf getätigt hat, dürfte schwer fallen. Fingerabdrücke als Identifikationsnachweis gelten als besonders sicher, da sie bei jeder Person unverwechselbar sind. Allerdings lassen sich die meisten Fingerabdrucksensoren mit nachgemachten Fingerabdrücken überlisten, wie c’t bereits in Ausgabe 11/2002 und zuletzt in der Ausgabe 12/07 anhand diverser Notebooks feststellte.
Angreifer, die den biometrischen Schutz aushebeln wollen, müssen nur in den Besitz des gewünschten Fingerabdrucks kommen. Wenn sie diesen – etwa auf benutzten Alltagsgegenständen – aufspüren, können sie mit Hilfe von Sekundenkleber, Holzleim und weiteren Hausmitteln eine Fälschung herstellen, die in einer dünnen Schicht direkt auf der Haut eines lebendigen Fingers getragen wird. Eine weitere Beschichtung mit Gold oder Graphit gleicht die elektrischen Eigenschaften der Attrappe an die menschliche Haut an. Im c’t-Test fiel jeder Sensor auf mindestens einen Täuschungsversuch herein.
(dab/c’t)