Arndt Reuning: Die Venenerkennung gilt als eines der sichersten Verfahren in der Biometrie, also um Menschen zu identifizieren. Dabei wird mit einem speziellen Sensor das Muster der Venen in der Hand oder im Finger erfasst und mit einer Datenbank abgeglichen – meistens um zu erkennen, ob einer Person der Zugang zu einem Gebäude erlaubt wird oder eben nicht. Gestern Abend nun haben Jan Krissler und Julian Albrecht von der TU Berlin gezeigt, wie sich die Venen-erkennung überlisten lässt. Und zwar auf dem Chaos Communication Congress in Leipzig. Mein Kollege Peter Welchering hat sich den Venen-Hack angeschaut. Peter, wie haben die beiden Informatiker das System ausgetrickst?

Peter Welchering: Zunächst haben sie sich fotografische Aufnahmen der Hand mit dem speziellen Venenmuster besorgt. Dazu haben sie eine Spiegelreflexkamera genommen, den Infrarotfilter ausgebaut und die Hand mit einem starken Blitz fotografiert. Dabei reflektiert das Gewebe das Licht insbesondere im infrarotnahen Bereich anders als die Venen. Deshalb sehen die Venen auch dunkler aus auf dem Bild.

Reuning: Nun wird sich ja ein hochrangiger Militär, der eine Zugangsberechtigung für einen Hochsicherheitsbereich hat und sich dort per Venenscanner identifiziert, nicht einfach von irgendjemandem die Hand fotografieren lassen.

Welchering: Deshalb haben die Hacker auch eine Kamera in einen Automaten fürs Trocknen der Hände eingebaut. Das hat zudem den Vorteil, dass die Hände langsam in das Trocknungsgerät geführt und herausgezogen werden. Das ist wie bei einem Scan.

Reuning: Wie werden die Venenhandbilder dann weiterverarbeitet?

Welchering: Deren Kontrast wird massiv erhöht. Dann werden Venen und Venenverläufe identifiziert und nachvollzogen. Das erfordert einige tausend Berechnungsverläufe. Im Wesentlichen gelingt das mit der Auswertung von Hell-Dunkel-Kontrasten zwischen Gewebe und Venen. Und daraus wird dann das Venenmuster berechnet. Für die Attrappe haben die Hacker dann Laser-Tone-Tinte genommen, weil die unter Infrarot gut zu sehen ist. Damit werden die berechneten Venenpunkte nachgebaut. Die Handattrappe selbst besteht aus Bienenwachs.

Reuning: Klingt tatsächlich relativ einfach. Ist es das auch tatsächlich?

Peter Welchering: Nur auf den ersten Blick. Auf den zweiten Blick wird es dann etwas schwieriger. Was da so seit gestern Abend durch die Presse geistert, suggeriert ja, dass eine Spiegelreflexkamera, Lasertoner-Tinte, Bienenwachs völlig ausreichen, um so ein System zu hacken. Da muss man differenzieren: Die Venenbilder zu bekommen, ist tatsächlich einfacher als gedacht. Auch die Aufbereitung der Bilder zur Berechnung der Venenmuster klappt mit einem recht überschaubaren Script. Schwieriger ist es dann schon, mit einer Attrappe einen Venenscanner zu überlisten.

Reuning: Klingeln bei den Sicherheitsverantwortlichen von Banken, Militärs und Rechenzentren jetzt nicht sämtliche Alarmglocken?

Welchering: Die haben den Venenhack eher gelassen kommentiert. Wo es Probleme gibt, das ist die Identifizierung per Venenerkennung an Geldautomaten. Das ist in Asien sehr populär. Solche Scanner lassen sich leicht überwinden. Beim Zugang zu Hochsicherheitsbereichen sieht das schon anders aus. Zum einen gibt es mit der Attrappe bei sehr grell ausgeleuchteten Räumen und Bereichen im Bereich Handvenenerkennung Probleme. Da hat auch gestern Abend bei der Präsentation der Venenscanner die Attrappe erst nach mehreren Anläufen erkannt, weil das Bühnenlicht so grell war. Zum anderen werden Zugänge zu Hochsicherheitsbereichen in der Regel von Sicherheitskräften bewacht. Da kann man nicht einfach eine Handattrappe aus der Tasche nehmen. Häufig werden außer solchen biometrischen Merkmalen auch noch PINs abgefragt oder Sicherheitstokens ausgelesen. Und schließlich setzen einige Banken und Militärs hier Lasersysteme für die Blutflusserkennung ein. Da ist so eine Art Lebenderkennung. Eine Handattrappe würde dann sofort erkannt.

Reuning: Also erst mal Entwarnung für die Venenerkennung in Hochsicherheitsbereichen nach der gestrigen Aufregung?

Welchering: Es ist eine Frage der Zeit, wann Blutgefäße für eine Attrappe nachgebaut werden können. Also die Hersteller von Venenscannern sollten solche Entwicklungen ernst nehmen. Am Einsatz für Geldautomaten, als Zugangskontrolle für Laptops und Smartphones ist Venenerkennung nicht sicher. Generell wissen wir ja schon seit längerem, dass biometrische Merkmale allein für die Identifizierung nicht ausreichen. Aber was in einigen Beiträgen über den Venenhack zu lesen war, das ist eben auch übertrieben. Vor allen Dingen lässt es außer Acht, dass gerade in Hochsicherheitsbereichen Venenscanner nur ein Element der Zugangskontrolle sind.