Iris-Scanner mit künstlich erzeugten Bildern ausgetrickst

Einem Forscherteam unter der Leitung des Spaniers Javier Galbally gelang es, aus kodierten Iris-Mustern biometrischer Erkennungssysteme Bilder zu erzeugen, die die Scannern klaglos akzeptierten.

In Pocket speichern vorlesen Druckansicht 36 Kommentare lesen
Lesezeit: 2 Min.

Ein Forscherteam der Universidad Autonoma de Madrid unter der Leitung von Javier Galbally hat Angriffsmöglichkeiten auf biometrische Systeme zur Iris-Erkennung deutlich erweitert. Der Spanier zeigte laut US-Medienberichten auf der Sicherheitskonferenz Black Hat, wie sich aus kodierten Iris-Mustern biometrischer Erkennungssysteme Bilder der Regenbogenhaut erzeugen lassen, die wiederum von einschlägigen Scannern akzeptiert werden. Den Wissenschaftlern gelang demnach erstmals ein vollständiges "Reverse Engineering" von Iris-Templates, was für Identitätsdiebstähle genutzt werden könnte.

Mit einem ausgedruckten Foto übertölpelte c't schon 2002 Iris-Scanner.

Dass sich auch die als vergleichsweise aufwendig und sicher geltende Iris-Erkennung austricksen lässt, ist seit Langem kein Geheimnis. c't zeigte bereits vor zehn Jahren, wie sich ein Iris-Scanner durch ein auf mattes Tintendruckerpapier gesprühtes Digitalfoto eines Auges übertölpeln ließ. Neu an dem jetzt vorgestellten Hack ist, dass die Forscher kein zuvor aufgenommenes Foto benötigten, sondern die gespeicherten Daten eines Iris-Scans verwendeten, um darauf basierend ein künstliches Bild zu erzeugen und damit die Regenbogenhaut-Erkennung zu überlisten.

Der von Iris-Erkennungssystemen bei einem ersten Scan hinterlegte Code besteht aus rund 5000 Bits. Anbieter wie BI2 Technologies werben damit, dass es nicht möglich sei, aus dem verschlüsselt aufbewahrten Muster wieder die dahinter stehenden biometrischen Identitätsmerkmale zu rekonstruieren. Nur der entsprechende Körperschlüssel erlaube es, Zugang zur Identität einer Person zu gewinnen. Die spanischen Biometrieforscher entwickelten ihre synthetischen Iris-Bilder aus Daten echter Augen-Scans jedoch gänzlich am Computer. Dabei modifizierten sie ihre Schöpfungen mit Hilfe eines genetischen Algorithmus, um sie den echten Regenbogenhautaufnahmen in einem Evolutionsprozess immer stärker anzugleichen. Nach 100 bis 200 Durchgängen waren die erstellten Bilder Galbally zufolge in der Regel binnen fünf bis zehn Minuten "ausreichend ähnlich" zu den "originalen" Iris-Aufnahmen.

Laut Galbally gelang es bei 20 Prozent der als Vorbild herangezogenen Iris-Muster nicht, ein akzeptables eigenes Bild zu kreieren. Das Team testete die restlichen 80 Prozent der Schöpfungen am VeriEye-Erkennungssystem der Firma Neurotechnology mit einer Erfolgsrate von wiederum 80 Prozent. Das Verfahren soll derzeit in rund 30 bis 40 Scannern integriert sein und erhielt bei einer Prüfung durch das US-amerikanischen National Institute of Standards and Technology eine vergleichsweise gute Note. Biometrie-Experten, denen die Wissenschaftler die erzeugten Bilder vor Augen führten, ließen sich dagegen nur in 8 Prozent der Fälle täuschen. (ju)