Sicherheitslücke: Biometrische Daten von Millionen Menschen offen im Netz

Ein Sicherheitsunternehmen, dessen Plattform auch von Polizei und Behörden benutzt wird, speicherte die biometrischen Daten von Millionen von Menschen unverschlüsselt. Sicherheitsforscher konnten auf Fingerabdrücke, Fotos und persönliche Passwörter zugreifen und die Daten sogar ersetzen.

Fingerabdruckscanner
Biometrische Identifizierung kann besonders einfach geknackt werden, wenn die biometrischen Vergleichsdaten offen einsehbar sind. (Symbolbild) CC-BY 2.0 Mike MacKenzie

Ein Untersuchungsteam von vpnMentor deckte eine Sicherheitslücke bei der südkoreanischen Firma Suprema auf. Deren Biostar2-Plattform ermöglicht es Unternehmen, mit Hilfe von Gesichtserkennung und Fingerabdrücken Menschen zu identifizieren und Zugangsbefugnisse zu sicheren Bereichen in Gebäuden zu vergeben. Laut dem Guardian wird das System auch von der britischen Polizei, Banken und Sicherheitsfirmen genutzt.

Das Team unter der Leitung der zwei israelischen Sicherheitsforschern Noam Rotem und Ran Locar konnte bei seinen Untersuchungen auf 23 Gigabyte sehr sensibler Daten zugreifen. Zu den mehr als 27 Millionen Datensätzen gehören biometrische Daten von Angestellten, aber auch deren Sicherheitsstufen und -freigaben und unverschlüsselte Benutzernamen und Passwörter. Abgesehen von der fehlenden Verschlüsselung kritisierten die Forscher die Einfachheit der Passwörter: Teilweise wurden Passwörter wie „Password“ oder „abcd1234“ entdeckt. Gesichtserkennungsinformationen und Fingerabdrücke waren zudem unverschlüsselt gespeichert. Die Sicherheitslücke hätte genutzt werden können, um die Sicherheitssysteme der betroffenen Einrichtungen zu kontrollieren, neue Datensätze anzulegen und sich Zugang zu den betroffenen Einrichtungen zu verschaffen.

Unverschlüsselte biometrische Daten im Netz

Mit gestohlenen Fingerabdrücken und Fotos können Kriminelle außerdem Identitätsdiebstahl und andere schwerwiegende Straftaten begehen. Was auch das Team als besonders schwerwiegend einschätzt, drückt der österreichische Hacker Stefan Daschek auf Twitter passend aus:

Passwörter unverschlüsselt speichern ist verantwortungslos. FINGERABDRÜCKE unverschlüsselt speichern ist … da gibts kein Wort für. (Im Gegensatz zu Passwörtern kann man die nämlich, wenn sie mal geleaked sind, nicht ändern.)

Nach dem Fund der Daten informierten die Forscher Suprema über die Sicherheitslücke. Dort zeigte man sich nach Angaben der Forscher sehr unkooperativ, reagierte nicht auf Mails, legte bei einem Anruf einfach auf. Am 13. August, also kurz vor der Veröffentlichung, wurde die Sicherheitslücke durch das Unterenhmen aber geschlossen.

Du möchtest mehr kritische Berichterstattung?

Unsere Arbeit bei netzpolitik.org wird fast ausschließlich durch freiwillige Spenden unserer Leserinnen und Leser finanziert. Das ermöglicht uns mit einer Redaktion von derzeit 15 Menschen viele wichtige Themen und Debatten einer digitalen Gesellschaft journalistisch zu bearbeiten. Mit Deiner Unterstützung können wir noch mehr aufklären, viel öfter investigativ recherchieren, mehr Hintergründe liefern - und noch stärker digitale Grundrechte verteidigen!

 

Unterstütze auch Du unsere Arbeit jetzt mit deiner Spende.

2 Ergänzungen
  1. Eigentlich war es ja jedem halbwegs vernünftigem Menschen vorher klar:
    Man benutzt keine biometrischen Authentifizierungsverfahren.
    Ich verstehe nicht wieso diese nicht schon längst geächtet und verboten sind.
    Wenn diese Sicherheitsmerkmale abhanden kommen, kann man sich nicht
    einfach einen neuen Zeigefinger wachsen lassen, oder sein Gesicht updaten.
    Schäuble kann davon ein Liedchen singen. Der benutzt niemals wieder einen Fingerabdruck zur biometrischen Identifizierung.

  2. Leider wird es nichtmehr möglich sein, sich dieser Kontrolle zu entziehen, bald braucht man auch im Personalausweis Fingerabdrücke, genauso wie im Reisepass schon seit Jahren. Auch zum einreisen in andere Länder fordern diese dass man die Abdrücke abgibt, irgendwann in 10 Jahren wird man draufkommen, wie groß das Potential ist, wenn einer sowas hackt, aber dann ist es zu spät. Der Menschliche Fingerabdruck lässt sich nach heutigem Kenntnisstand NIE ändern, damit gilt: Einmal weg immer weg, ein Leben lang. Mir wäre es bei weitem als Politiker zu gefährlich derart leichtsinnig mit hochsensiblen unersetzbaren Daten der Bürger herumzuspielen. Wie sicher diese ganzen „Hochsicheren“ Systeme wirklich sind bewiesen schon vor Jahren zahlreiche erfolgreiche Hackerangriffe und diverse Schlagzeilen.

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.