Auf Ebay gekauftHacker finden Iris-Scans und Fotos auf gebrauchten Militär-Geräten

In Afghanistan sammelte das US-Militär unter anderem Fingerabdrücke, Iris-Scans und Gesichtsfotos. Jetzt werden die dafür genutzten Geräte auf Ebay verscherbelt, sensible Daten inklusive. Für manche Betroffene könnten die Daten zur Gefahr werden.

- - in Datenschutz
Ein US-Soldat benutzt ein biometrisches Erfassungs- und Überprüfungsgerät während eines Einsatzes in der Provinz Helmand, Afghanistan.
Biometrische Erfassung in Afghanistan, 2014. – Alle Rechte vorbehalten Foto: IMAGO / StockTrek Images; Screenshot: Ebay; Montage: netzpolitik.org

Auf Ebay gibt es nicht nur alte DVDs und Brettspiele, sondern auch Elektronik des US-Militärs. Teilweise sind darauf noch biometrische Daten gespeichert, etwa von Soldat*innen, Helfer*innen und Terrorist*innen. Es geht um extrem sensible Informationen wie Namen, Abdrücke aller zehn Finger und Scans der Iris.

US-Soldat*innen haben diese Geräte unter anderem in Afghanistan eingesetzt. Beim Abzug des US-Militärs sind einige davon in die Hände der Taliban gefallen, andere werden als Altbestände abverkauft. Wen die gespeicherten Daten als Helfer*in der USA entlarven, muss wohl um die eigene Sicherheit fürchten.

„Über kurz oder lang müssen wir davon ausgehen, dass Biometrie sich gegen uns wendet“, erklärt der Informatiker Matthias Marx am heutigen Dienstag bei seinem Vortrag zu dem Thema. Der aktuelle Fall sei dafür ein eindrückliches Beispiel. Gemeinsam mit weiteren Hackern des Chaos Computer Clubs hat Marx die militärischen Geräte bei Ebay erstanden, untersucht und die Verantwortlichen konfrontiert.

Zocken gegen den Bullshit

play now

Dahinter steckt nicht bloß die Geschichte einer eindrucksvollen Datenpanne. Vielmehr zeigt die Enthüllung, wie selbst das US-Militär bei Grundlagen der IT-Sicherheit kläglich versagt. Bis heute werden die Geräte laut Marx bei Ebay angeboten, verkauft von Gebrauchtwaren-Händlern. Ihr Passwort-Schutz lässt sich wohl als Lachnummer bezeichnen: Es genügte das Standard-Passwort aus der Hersteller-Anleitung, wie Marx erklärt.

„Die Daten lagen offen wie bei einem USB-Stick. Man kann das Gerät starten, das Standardpasswort eingeben und die dafür vorgesehene grafische Oberfläche nutzen, um die Daten zu durchsuchen“, schreibt Marx auf Anfrage von netzpolitik.org. Zum Einsatz kommt das angestaubte Betriebssystem Windows XP Embedded.

„Absolut unsicher“ und „höchst leichtsinnig“

Darüber hinaus zeigt der Vorfall, mit welcher Leichtfertigkeit das US-Militär biometrische Daten erfasst und speichert – also Daten, die besonders geschützt werden sollten, weil sie sich leicht missbrauchen lassen. „Jetzt ist klar, dass diese Geräte absolut unsicher und für den Einsatz in Afghanistan ungeeignet waren“, sagt Belkis Wille von der Menschenrechts-Organisation Human Rights Watch gegenüber tagesschau.de. Es sei „höchst leichtsinnig“ gewesen, solche Geräte in Afghanistan einzusetzen, so Wille weiter. Die US-Regierung solle umgehend handeln. Konkret heißt das: Ausreise und Asyl für gefährdete Menschen möglich machen.

Marx schreibt auf Anfrage: „Wenn tausende Geräte im Umlauf sind, muss man einfach davon ausgehen, dass ein paar Geräte verloren gehen.“ Der Hersteller hätte sich eine Architektur ausdenken sollen, bei der die Daten zumindest etwas besser geschützt sind. „Hier wurde es noch nicht einmal versucht.“ Der Fall zeige, dass „Verantwortliche gar kein Bewusstsein für diese Risikotechnologie haben“.

Schlechter Datenschutz gefährdet afghanische Mitarbeiter

Die offiziellen Namen der Geräte lauten „HIIDE 5“ und „SEEK II“. Für die insgesamt sechs gebrauchten Exemplare sollen die Hacker nur mehrere Hundert Euro ausgegeben haben. Marx beschreibt sie als Industrie-PCs mit robustem Gehäuse. Soldat*innen im Einsatz können damit Menschen biometrisch erfassen und identifizieren. Die Daten können auf einem begrenzten lokalen Speicher landen sowie in einer zentralen Datenbank. Treffen Soldat*innen eine ihnen fremde Person, können sie mit dem Gerät prüfen, ob sie bereits registriert ist. In dem Fall kann die Datenbank verraten, ob die Person als Freund*in oder Feind*in abgespeichert wurde. Für die Person heißt das zum Beispiel, sie darf ein geschütztes Gelände betreten – oder sie wird festgenommen.

Genau hier liegt das Problem für betroffene Menschen in Afghanistan: Wer für US-Nutzer*innen damals als Freund*in eingestuft wurde, dürfte heute für die Taliban als Feind*in gelten. Solche Hinweise könnten sich in den lokalen Daten der erbeuteten Geräten finden lassen. Und wer aufgrund biometrischer Merkmale verfolgt wird, hat ein ernstes Problem. Denn Gesicht, Fingerabdrücke und Iris lassen sich kaum vor der Außenwelt verbergen.

Auch Bundeswehr erfasste Daten in Afghanistan

Allein durch die Shopping-Tour auf Ebay kamen Daten von 2.632 Personen zusammen, wie Marx zusammenfasst, dazu gehörten demnach 2.300 Gesichter, 2.946 Iris-Scans und 24.078 Fingerabdrücke. GPS-Koordinaten auf einem Gerät lieferten zudem den Hinweis, dass es in Afghanistan eingesetzt wurde. Die Fotos der erfassten Personen zeigen die Hacker nicht, zwei beschreibt Marx jedoch mit Worten. Eines davon ist dieses:

„Ein Mann, Anfang 30, braune Augen, etwas zerzauste, gepflegte, dichte, mittellange, schwarze Haare. Neutraler Gesichtsausdruck. Ernst, vielleicht müde. Glatte Haut, keine Falten, kurzer Vollbart. Orangefarbener Overall. Im Hintergrund nacktes Mauerwerk, nicht verputzte, große, helle Steine.“

Konfrontiert mit dem Problem habe das US-Verteidigungsministerium auf den Hersteller verwiesen. Der Hersteller habe bislang nicht reagiert.

Der Fall könnte auch die deutsche Bundeswehr beschäftigen. Unter anderem tagesschau.de berichtet über eine Vereinbarung zwischen US-Militär und Bundeswehr. Demnach konnten auch deutsche Soldat*innen in Afghanistan biometrische Daten sammeln. Das deutsche Verteidigungsministerium beschwichtigt auf Anfrage des Bayerischen Rundfunks: Es sehe keine Hinweise, warum diese Daten von den USA nicht gelöscht worden seien. Von der Bundeswehr genutzte Geräte seien mit Missionsende an die NATO-Missionsführung zurückgegeben worden.

Für einige Bundestagsabgeordnete ist das Thema allerdings nicht so einfach vom Tisch. Einen „Riesenskandal“ nennt das Clara Bünger von der Linkspartei gegenüber tagessschau.de. Sie ist Mitglied im Afghanistan-Untersuchungsausschuss. Regierung und Bundeswehr müssten dafür Sorge tragen, dass die Daten nicht in die falschen Hände geraten, so Bünger. Der entwicklungspolitische Sprecher der FDP-Fraktion, Till Mansmann, sagte, der Vorgang solle schleunigst aufgearbeitet werden.

Die PDF-Präsentation von kantorkel, snoopy und Starbug gibt es hier, der Video-Mitschnitt des Vortrags sollte in Kürze erscheinen. Der Bayerische Rundfunk hat zu dem Thema eine Episode der Recherche-Reihe „ARD Radiofeature“ produziert.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

Über die Autor:in

Sebastian Meineck ist Journalist und seit 2021 Redakteur bei netzpolitik.org. Zu seinen aktuellen Schwerpunkten gehören digitale Gewalt, Jugendmedienschutz und Künstliche Intelligenz. Er interessiert sich besonders für Methoden der Online-Recherche; darüber schreibt er einen Newsletter und gibt Workshops an Universitäten. Zu seinen vorigen Stationen gehören VICE (Senior Editor), Motherboard (Editor-in-chief), der SPIEGEL (Autor) und die Deutsche Journalistenschule München. Das Medium Magazin hat ihn 2020 zu einem der Top 30 unter 30 im Journalismus gekürt.

Kontakt: E-Mail (OpenPGP), Sebastian Hinweise schicken | Sebastian für O-Töne anfragen | Mastodon

Veröffentlicht 27.12.2022 um 17:52
Kategorie
Schlagworte
Weitere Artikel
Die Taliban in Afghanistan durchsuchen den Kofferraum eines weißen Autos, das auf der Straße steht.
Öffentlichkeit

EntwicklungsagenturSchlechter Datenschutz gefährdet afghanische Mitarbeiter

In Afghanistan verfolgen die Taliban ehemalige Mitarbeitende der Entwicklungsagentur GIZ, die nicht als Ortskräfte anerkannt werden. Recherchen des Bayrischen Rundfunks zeigen, wie mangelhafter Datenschutz es den radikalen Islamisten einfacher macht – und damit mehr als 3.000 Menschen gefährdet.

Lesen Sie diesen Artikel: Schlechter Datenschutz gefährdet afghanische Mitarbeiter
Eine Person führt Gesichtserkennung an einem Smartphone durch
Datenschutz

Bußgeldverfahren aus dem LändlePimEyes droht eine Millionenstrafe

Die umstrittene Gesichtersuchmaschine PimEyes könnte das erste Mal mit einer Strafe belegt werden. Ausgerechnet die baden-württembergische Datenschutzbehörde eröffnet nun das weltweit erste Bußgeldverfahren gegen das mittlerweile in der Karibik ansässige Unternehmen. Doch ob PimEyes tatsächlich zahlen muss, ist damit noch lange nicht klar.

Lesen Sie diesen Artikel: PimEyes droht eine Millionenstrafe
Eine Grenzkontrollstation mit Selbstbedienungskiosken zur Abnahme biometrischer Daten.
Überwachung

Neues EU-InformationssystemEU-Mitgliedstaaten drängen auf polizeiliche Nutzung von Biometriespeicher

Die EU führt biometrische Daten aus verschiedenen Datenbanken in einem „Gemeinsamen Identitätsspeicher“ zusammen. Sicherheitsbehörden sollen darin Fingerabdrücke und Gesichtsbilder abgleichen. Betroffen sind Tourist:innen, Geschäftsreisende und Geflüchtete aus Drittstaaten.

Lesen Sie diesen Artikel: EU-Mitgliedstaaten drängen auf polizeiliche Nutzung von Biometriespeicher

0 Ergänzungen

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.