Knapp 300 Euro kostet die Kamera, die hochauflösende Wärmebilder direkt auf das Display des Smartphones überträgt. Damit könnte künftig möglich werden, wofür in der Vergangenheit viel technischer Aufwand nötig war: die Geheimzahlen von Online-Bankkonten oder Türschlössern herauszufinden.
Mit Wärmebildern Codes zu knacken, klingt nach einer obskuren Mischung aus Science-Fiction-Phantasien und Action-Film, ist aber prinzipiell möglich. Das fanden IT-Experten vom britischen Sicherheitsdienst Sec Tec heraus.
Minimaler Temperaturunterschied durch Körperwärme
Wenn der Finger die Geheimzahl eingibt, hinterlässt er eine Spur auf den Tasten: Durch die Körperwärme entsteht ein minimaler Temperaturunterschied zu den nicht berührten Feldern auf der Tastatur. Die Wärmebildkamera bringt diesen Temperaturunterschied direkt auf das Smartphone-Display - oft auch noch bis zu eine Minute nach Eingabe der Tastenkombination. Das schreiben die Techniker von Sec Tec in einem Blogeintrag auf ihrer Webseite. Sie hätten außerdem zwei Möglichkeiten herausgefunden, um mit den Wärmedaten auch die Reihenfolge der Geheimzahl zu ermitteln. Wie das geht, wollten sie aus Sorge vor Nachahmern verschweigen.
Vor ihnen hatten bereits zahlreiche andere Technikexperten vor diesen Möglichkeiten gewarnt. Auf Youtube kursieren mehrere Videos über das Auslesen von Geheimzahlen mit Infrarotgeräten. Die Reihenfolge der Zahlenkombination sei über den Wärmegrad der Tasten herauszufinden: Ziffern, die zuerst berührt werden, sind kälter als die Nummern, die bei einer Geheimzahl am Schluss stehen.
Bisher noch keine Fälle bekannt
David Wray, Berater bei Sec Tec, sagt, er kenne bisher noch keinen Fall, bei dem Kriminelle das Verfahren genutzt haben, um an Bankkonten zu gelangen. Aber er ergänzt: "Angesichts der Tatsache, dass die Technologie so günstig ist, ist zu erwarten, dass es in Zukunft solche Versuche geben wird." Sind die Bankkonten also in Gefahr? "Nein", sagt eine Sprecherin des Bundesverbands Deutscher Banken. Es gebe bei einem vierstelligen Code insgesamt 24 Kombinationsmöglichkeiten, und nach drei Fehlversuchen werde die Geheimzahl gesperrt. Außerdem habe ohne Bankkarte ohnehin niemand Zugriff auf ein Konto.
Auch der Deutsche Sparkassen- und Giro-Verband geht davon aus, dass für die Kunden keine Gefahr besteht; außerdem sei die Entwicklung beim Verband schon länger bekannt, heißt es. Alle Geldautomaten seien mit Metalltasten ausgestattet. Im Gegensatz zu Kunststoffpads gäben diese die Wärme schnell wieder ab und machten ein aussagekräftiges Infrarotbild fast unmöglich.
Anders sieht es allerdings bei Türschlössern aus, die sich mit Tastenkombinationen öffnen lassen. Solche Systeme blockieren in der Regel nicht nach mehreren Fehlversuchen. Es gebe deshalb Unternehmen, die ihre Mitarbeiter dazu auffordern, nach der Eingabe von Tür-Codes das gesamte Tastenfeld mit der Handfläche zu berühren, sagt Berater Wray. Auf diese Weise könne der Wärmeunterschied nicht mehr festgestellt werden.
