Vor laufender Kamera demonstrierte der CCC, wie leicht man den Fingerabdruck-Scanner an der Kasse des Edeka-Supermarktes täuschen und so auf fremde Kosten einkaufen kann. Nach kurzer Einweisung durch den CCC waren sogar die Journalisten von PlusMinus selbständig in der Lage, mit kopierten Fingerabdrücken das Kassensystem zu überlisten.
Damit seien die Behauptungen der Biometrie-Befürworter und -Hersteller, dass so etwas – wenn überhaupt, nur im Labor – möglich sei, nachdrücklich widerlegt. Während der Marktleiter sichtlich über den Ausgang des Experimentes überrascht war, sehen die Verantwortlichen von Edeka keinerlei Handlungsbedarf. Die Systeme seien sicher – im Gegensatz dazu die Stellungnahme des CCC:
„Fingerabdruck-Systeme, wie sie bereits in den neuen biometrischen Reisepässen zum Einsatz kommen und für den Personalausweis geplant sind, können mit einfachen Mitteln überlistet werden und bieten keinerlei nennenswerte Sicherheit.“
Tatort des Experimentes war der Edeka-Markt in Rülzheim. In diesem Lebensmittelmarkt, wie auch in über einhundert weiteren Edeka-Fillialen, wird in einem groß angelegten Versuch den Kunden die Bezahlung vom – allein von ihrem Fingerabdruck geschützten – Kundenkonto angeboten.
Wie schon vor drei Jahren vom CCC in einem einfach nachzuvollziehenden Video demonstrierte, konnten die Fingerabdrücke eines eingeweihten Kunden von einem Alltagsgegenstand abgenommen werden. Nach einer einfachen, vom CCC entwickelten Methode, konnten diese Abdrücke zu einer Attrappe verarbeitet werden, die den Reportern umstandslos das Einkaufen auf fremde Rechnung erlaubte. Die dafür notwendigen Materialien – Sekundenkleber, Holzleim und ein Laserdrucker – finden sich in fast jedem Haushalt.
Der Chaos Computer Club rät daher dringend von der Benutzung biometrischer Bezahlsysteme ab; nicht zuletzt weil die Haftungsfrage völlig ungeklärt ist. Was ist, wenn ein Dritter mit meinem Fingerabdruck auf meine Kosten einkauft? Die Nachweispflicht bleibt beim Kunden.
Überträgt man das Szenario auf Grenzkontrollstellen, wo Fingerabdruckleser für die Passkontrolle installiert werden, ist nach dem CCC zu befürchten, dass die Sicherheit des bisher als eines der sichersten Dokumente der Welt eingeschätzten Dokuments mit Einführung des ePass untergraben statt verbessert wird.