Am 28. Dezember 2018 haben Julian Albrecht und Jan Krissler („Starbug“) auf dem 35c3 gezeigt, wie einfach sich die Venenerkennung als Authentifizierungsverfahren aushebeln lässt. Nach dem „Fall der letzten Bastion biometrischer Systeme“ – so der dramatische Untertitel des Vortrags – bleibt tatsächlich die Frage: Wie setzen wir eine Zugangskontrolle auf, die erstens sicher und zweitens realistisch ist?
Die beiden Hacker brauchten nur eine ordentliche Kamera mit ausgebautem Infrarotfilter, eine einfache Bildbearbeitung, einen Laserausdruck und eine Hand aus Bienenwachs, darin den passend ausgeschnittenen Ausdruck – schon meldete das System: „Access granted“. Biometrische Authentifizierungsverfahren sind zwar praktisch, aber – so formuliert es die Heise-secIT-Redaktion – „in jedem Fall kein Allheilmittel“. Unternehmen, die sich Rat zum Stand der Technik und den verfügbaren Optionen holen wollen, wenden sich daher an Spezialisten wie David Fuhr, der in letzter Zeit mit Meltdown und Spectre gut beschäftigt war. Der Mathematiker und Security-Experte ist seit 2012 Head of Research bei der HiSolutions AG, die seinerzeit (2011) der erste BSI-zertifizierte IT-Sicherheitsdienstleister für IS-Penetrationstests und dann z.B. maßgeblich an der Erarbeitung des IT-Grundschutz-Konzepts des BSI beteiligt war.
Fuhr selbst hat u.a. federführend am Leitfaden Security für den Maschinen- und Anlagenbau mitgewirkt und wird am ersten Tag der secIT in Hannover (13. und 14. März 2019) einen Überblick über die derzeit verfügbaren Authentifizierungsverfahren geben (Passwörter, Biometrie, Tokens etc.), die Lösungen bewerten und handfeste Vorschläge machen, wie Unternehmen und Organisationen ein geeignetes Verfahren auswählen und implementieren. „Passwort, Passwort, Token, Gesicht – fertig ist die Authentifizierungsschicht?“ heißt der knapp einstündige Vortrag auf der Themenbühne 2, der am Mittwoch um 11:15 Uhr beginnt. Am Nachmittag, um 16:55 Uhr, wird Fuhr dann noch an der von TR-Redakteur Wolfgang Stieler moderierten Podiumsdiskussion teilnehmen: „Die IT-Security der Zukunft – sind KI & Co. der Schlüssel zu mehr Sicherheit?“ Karten sind momentan noch zu haben – der Tagesworkshop am vorhergehenden Dienstag ist allerdings bereits ausverkauft.