Auf Ebay gibt es nicht nur alte DVDs und Brettspiele, sondern auch Elektronik des US-Militärs. Teilweise sind darauf noch biometrische Daten gespeichert, etwa von Soldat*innen, Helfer*innen und Terrorist*innen. Es geht um extrem sensible Informationen wie Namen, Abdrücke aller zehn Finger und Scans der Iris.
US-Soldat*innen haben diese Geräte unter anderem in Afghanistan eingesetzt. Beim Abzug des US-Militärs sind einige davon in die Hände der Taliban gefallen, andere werden als Altbestände abverkauft. Wen die gespeicherten Daten als Helfer*in der USA entlarven, muss wohl um die eigene Sicherheit fürchten.
„Über kurz oder lang müssen wir davon ausgehen, dass Biometrie sich gegen uns wendet“, erklärt der Informatiker Matthias Marx am heutigen Dienstag bei seinem Vortrag zu dem Thema. Der aktuelle Fall sei dafür ein eindrückliches Beispiel. Gemeinsam mit weiteren Hackern des Chaos Computer Clubs hat Marx die militärischen Geräte bei Ebay erstanden, untersucht und die Verantwortlichen konfrontiert.
Dahinter steckt nicht bloß die Geschichte einer eindrucksvollen Datenpanne. Vielmehr zeigt die Enthüllung, wie selbst das US-Militär bei Grundlagen der IT-Sicherheit kläglich versagt. Bis heute werden die Geräte laut Marx bei Ebay angeboten, verkauft von Gebrauchtwaren-Händlern. Ihr Passwort-Schutz lässt sich wohl als Lachnummer bezeichnen: Es genügte das Standard-Passwort aus der Hersteller-Anleitung, wie Marx erklärt.
„Die Daten lagen offen wie bei einem USB-Stick. Man kann das Gerät starten, das Standardpasswort eingeben und die dafür vorgesehene grafische Oberfläche nutzen, um die Daten zu durchsuchen“, schreibt Marx auf Anfrage von netzpolitik.org. Zum Einsatz kommt das angestaubte Betriebssystem Windows XP Embedded.
„Absolut unsicher“ und „höchst leichtsinnig“
Darüber hinaus zeigt der Vorfall, mit welcher Leichtfertigkeit das US-Militär biometrische Daten erfasst und speichert – also Daten, die besonders geschützt werden sollten, weil sie sich leicht missbrauchen lassen. „Jetzt ist klar, dass diese Geräte absolut unsicher und für den Einsatz in Afghanistan ungeeignet waren“, sagt Belkis Wille von der Menschenrechts-Organisation Human Rights Watch gegenüber tagesschau.de. Es sei „höchst leichtsinnig“ gewesen, solche Geräte in Afghanistan einzusetzen, so Wille weiter. Die US-Regierung solle umgehend handeln. Konkret heißt das: Ausreise und Asyl für gefährdete Menschen möglich machen.
Marx schreibt auf Anfrage: „Wenn tausende Geräte im Umlauf sind, muss man einfach davon ausgehen, dass ein paar Geräte verloren gehen.“ Der Hersteller hätte sich eine Architektur ausdenken sollen, bei der die Daten zumindest etwas besser geschützt sind. „Hier wurde es noch nicht einmal versucht.“ Der Fall zeige, dass „Verantwortliche gar kein Bewusstsein für diese Risikotechnologie haben“.
Die offiziellen Namen der Geräte lauten „HIIDE 5“ und „SEEK II“. Für die insgesamt sechs gebrauchten Exemplare sollen die Hacker nur mehrere Hundert Euro ausgegeben haben. Marx beschreibt sie als Industrie-PCs mit robustem Gehäuse. Soldat*innen im Einsatz können damit Menschen biometrisch erfassen und identifizieren. Die Daten können auf einem begrenzten lokalen Speicher landen sowie in einer zentralen Datenbank. Treffen Soldat*innen eine ihnen fremde Person, können sie mit dem Gerät prüfen, ob sie bereits registriert ist. In dem Fall kann die Datenbank verraten, ob die Person als Freund*in oder Feind*in abgespeichert wurde. Für die Person heißt das zum Beispiel, sie darf ein geschütztes Gelände betreten – oder sie wird festgenommen.
Genau hier liegt das Problem für betroffene Menschen in Afghanistan: Wer für US-Nutzer*innen damals als Freund*in eingestuft wurde, dürfte heute für die Taliban als Feind*in gelten. Solche Hinweise könnten sich in den lokalen Daten der erbeuteten Geräten finden lassen. Und wer aufgrund biometrischer Merkmale verfolgt wird, hat ein ernstes Problem. Denn Gesicht, Fingerabdrücke und Iris lassen sich kaum vor der Außenwelt verbergen.
Auch Bundeswehr erfasste Daten in Afghanistan
Allein durch die Shopping-Tour auf Ebay kamen Daten von 2.632 Personen zusammen, wie Marx zusammenfasst, dazu gehörten demnach 2.300 Gesichter, 2.946 Iris-Scans und 24.078 Fingerabdrücke. GPS-Koordinaten auf einem Gerät lieferten zudem den Hinweis, dass es in Afghanistan eingesetzt wurde. Die Fotos der erfassten Personen zeigen die Hacker nicht, zwei beschreibt Marx jedoch mit Worten. Eines davon ist dieses:
„Ein Mann, Anfang 30, braune Augen, etwas zerzauste, gepflegte, dichte, mittellange, schwarze Haare. Neutraler Gesichtsausdruck. Ernst, vielleicht müde. Glatte Haut, keine Falten, kurzer Vollbart. Orangefarbener Overall. Im Hintergrund nacktes Mauerwerk, nicht verputzte, große, helle Steine.“
Konfrontiert mit dem Problem habe das US-Verteidigungsministerium auf den Hersteller verwiesen. Der Hersteller habe bislang nicht reagiert.
Der Fall könnte auch die deutsche Bundeswehr beschäftigen. Unter anderem tagesschau.de berichtet über eine Vereinbarung zwischen US-Militär und Bundeswehr. Demnach konnten auch deutsche Soldat*innen in Afghanistan biometrische Daten sammeln. Das deutsche Verteidigungsministerium beschwichtigt auf Anfrage des Bayerischen Rundfunks: Es sehe keine Hinweise, warum diese Daten von den USA nicht gelöscht worden seien. Von der Bundeswehr genutzte Geräte seien mit Missionsende an die NATO-Missionsführung zurückgegeben worden.
Für einige Bundestagsabgeordnete ist das Thema allerdings nicht so einfach vom Tisch. Einen „Riesenskandal“ nennt das Clara Bünger von der Linkspartei gegenüber tagessschau.de. Sie ist Mitglied im Afghanistan-Untersuchungsausschuss. Regierung und Bundeswehr müssten dafür Sorge tragen, dass die Daten nicht in die falschen Hände geraten, so Bünger. Der entwicklungspolitische Sprecher der FDP-Fraktion, Till Mansmann, sagte, der Vorgang solle schleunigst aufgearbeitet werden.
Die PDF-Präsentation von kantorkel, snoopy und Starbug gibt es hier, der Video-Mitschnitt des Vortrags sollte in Kürze erscheinen. Der Bayerische Rundfunk hat zu dem Thema eine Episode der Recherche-Reihe „ARD Radiofeature“ produziert.
0 Ergänzungen
Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.