Ein Untersuchungsteam von vpnMentor deckte eine Sicherheitslücke bei der südkoreanischen Firma Suprema auf. Deren Biostar2-Plattform ermöglicht es Unternehmen, mit Hilfe von Gesichtserkennung und Fingerabdrücken Menschen zu identifizieren und Zugangsbefugnisse zu sicheren Bereichen in Gebäuden zu vergeben. Laut dem Guardian wird das System auch von der britischen Polizei, Banken und Sicherheitsfirmen genutzt.
Das Team unter der Leitung der zwei israelischen Sicherheitsforschern Noam Rotem und Ran Locar konnte bei seinen Untersuchungen auf 23 Gigabyte sehr sensibler Daten zugreifen. Zu den mehr als 27 Millionen Datensätzen gehören biometrische Daten von Angestellten, aber auch deren Sicherheitsstufen und -freigaben und unverschlüsselte Benutzernamen und Passwörter. Abgesehen von der fehlenden Verschlüsselung kritisierten die Forscher die Einfachheit der Passwörter: Teilweise wurden Passwörter wie „Password“ oder „abcd1234“ entdeckt. Gesichtserkennungsinformationen und Fingerabdrücke waren zudem unverschlüsselt gespeichert. Die Sicherheitslücke hätte genutzt werden können, um die Sicherheitssysteme der betroffenen Einrichtungen zu kontrollieren, neue Datensätze anzulegen und sich Zugang zu den betroffenen Einrichtungen zu verschaffen.
Unverschlüsselte biometrische Daten im Netz
Mit gestohlenen Fingerabdrücken und Fotos können Kriminelle außerdem Identitätsdiebstahl und andere schwerwiegende Straftaten begehen. Was auch das Team als besonders schwerwiegend einschätzt, drückt der österreichische Hacker Stefan Daschek auf Twitter passend aus:
Passwörter unverschlüsselt speichern ist verantwortungslos. FINGERABDRÜCKE unverschlüsselt speichern ist … da gibts kein Wort für. (Im Gegensatz zu Passwörtern kann man die nämlich, wenn sie mal geleaked sind, nicht ändern.)
Nach dem Fund der Daten informierten die Forscher Suprema über die Sicherheitslücke. Dort zeigte man sich nach Angaben der Forscher sehr unkooperativ, reagierte nicht auf Mails, legte bei einem Anruf einfach auf. Am 13. August, also kurz vor der Veröffentlichung, wurde die Sicherheitslücke durch das Unterenhmen aber geschlossen.
Eigentlich war es ja jedem halbwegs vernünftigem Menschen vorher klar:
Man benutzt keine biometrischen Authentifizierungsverfahren.
Ich verstehe nicht wieso diese nicht schon längst geächtet und verboten sind.
Wenn diese Sicherheitsmerkmale abhanden kommen, kann man sich nicht
einfach einen neuen Zeigefinger wachsen lassen, oder sein Gesicht updaten.
Schäuble kann davon ein Liedchen singen. Der benutzt niemals wieder einen Fingerabdruck zur biometrischen Identifizierung.
Leider wird es nichtmehr möglich sein, sich dieser Kontrolle zu entziehen, bald braucht man auch im Personalausweis Fingerabdrücke, genauso wie im Reisepass schon seit Jahren. Auch zum einreisen in andere Länder fordern diese dass man die Abdrücke abgibt, irgendwann in 10 Jahren wird man draufkommen, wie groß das Potential ist, wenn einer sowas hackt, aber dann ist es zu spät. Der Menschliche Fingerabdruck lässt sich nach heutigem Kenntnisstand NIE ändern, damit gilt: Einmal weg immer weg, ein Leben lang. Mir wäre es bei weitem als Politiker zu gefährlich derart leichtsinnig mit hochsensiblen unersetzbaren Daten der Bürger herumzuspielen. Wie sicher diese ganzen „Hochsicheren“ Systeme wirklich sind bewiesen schon vor Jahren zahlreiche erfolgreiche Hackerangriffe und diverse Schlagzeilen.