Report München


19

Sicherheitslücke bei Behörden Leichtes Spiel für Hacker

Bei der Erhebung biometrischer Daten nutzen Behörden eine veraltete Technologie. Ein aktueller Test zeigt: Die Fingerabdrücke können mit einem einfachen Hackerangriff ausgetauscht oder abgegriffen werden.

Von: Sabina Wolf

Stand: 31.07.2018

An der Universität Liechtenstein haben wir mit dem Cybersicherheitsexperten Gunnar Porada einen Termin. Denn er ist der Meinung, dass die biometrischen Merkmale der deutscher Bürger leicht angreifbar sind. Der Cyber Experte hat einen Versuch für uns vorbereitet.

Um dieses Gerät geht es: Ein Fingerabdruckscanner, wie deutsche Behörden ihn einsetzen. Mit der zugehörigen Software kann Gunnar Porada den Fingerabdruck auf dem Glas abnehmen, im Fachjargon „capturen“ genannt.

"Wir öffnen ganz normal den Capture Bereich. Der Fingerabdruckscann fängt an zu blinken. Wir legen den Fingerabdruck drauf und der Fingerabdruck wird normal eingescannt, wie wir uns das vorstellen."

Gunnar Porada, Cyber-Sicherheitsexperte

Biometrische Daten werden unverschlüsselt übertragen

Der Fingerabdruck wird vom Lesegerät an den Computer weitergeleitet und dort verarbeitet. Und hier steckt ein gewaltiges Risiko: Denn die Übertragung der Bilddatei erfolgt unverschlüsselt. Gunnar Porada hat einen Trojaner geschrieben, der genau diese Schwachstelle, die fehlende Verschlüsselung, angreift.

"Jetzt aktiviere ich mit einem Tastendruck den Trojaner, der ab diesem Moment ab, wenn ich auf ‚captuchern‘ drücke, die Fingerabdrücke sofort austauscht und manipuliert mit irgendwelchen beliebigen Bilddaten. In dem Fall haben wir einen Totenkopf ersetzt. Es können auch Fingerabdrücke sein, die dann real aussehen. Dadurch, dass ein Angreifer Zugriff auf die Bilddaten hat und nichts anderes sind die Fingerabdrücke, kann er natürlich entscheiden, ob er sie abhören möchte, d.h. missbrauchen, kopieren möchte, oder ob er sie manipuliert, so dass dann falsche Fingerabdrücke zum Beispiel in Ausweisdokumenten gespeichert werden und später dann für kriminelle Aktionen dienen können."

Gunnar Porada, Cyber-Sicherheitsexperte

Millionen Deutsche haben ihren Fingerabdruck in den letzten Jahren auf einem derartigen Scanner abgegeben. Auch das Bundesverwaltungsamt empfiehlt diesen Fingerabdruckscanner für das Schengen System. Ein Scanner, der keinen ausreichenden Schutz für biometrische Daten bietet.

Ist es denn sehr wahrscheinlich, dass ein Einwohnermeldeamt, eine andere Außenstelle einer Behörde einen Trojaner sich einfängt, eine Schadsoftware?

"Ich denke, dass die Erfahrung, die wir über die Jahrzehnte gemacht haben, dass selbst der Bundestag angegriffen wurde, dass nahezu alle Computer überall angegriffen worden sind, selbst Atomkraftwerke und Energieversorger, zeigt doch deutlich, dass heutzutage jeder Computer angegriffen werden kann und somit natürlich auch in eine Meldestelle ein Trojaner die Computer infizieren könnte."

Gunnar Porada, Cyber-Sicherheitsexperte

Was weiß der Hersteller über die Sicherheitslücke?

Mitte Juni besuchen wir die Computer Messe Cebit in Hannover. Denn dort hat auch die Firma, die den Fingerabdruckscanner herstellt einen Stand. Was weiß das Unternehmen über diese gravierende Sicherheitslücke? Hersteller ist die Firma Dermalog, sie gehört der Bundesdruckerei und die gehört dem Bund. Und tatsächlich, hier wird ein ganz ähnlicher Scanner präsentiert. Wir lassen uns beraten:

Scanner-Beratung

report München: „Das Ding macht das Foto. Verschlüsselt das jetzt hier im Gerät?“

Oliver von Treuenfels, Fa. Dermalog: „Nein. Nein. Das geht zu einem PC, der da ist und in diesem PC wird dann gecodet an Hand des Bildes.“

report München: „Also erstmal Foto, Transport zum Gerät und dann Coding. Also keine Verschlüsselung im Gerät?“

Oliver von Treuenfels, Fa. Dermalog: „Nein. Das ist der ZF 1, der steht bei den deutschen Einwohnermeldeämtern.“

report München:Ist das das gleiche wie das?“

Oliver von Treuenfels, Fa. Dermalog: „Der ist ein bisschen größer.“

report München: „Kann der verschlüsseln?“

Oliver von Treuenfels, Fa. Dermalog: „Der verschlüsselt auch erst auf dem PC.“

report München: „Ab dem PC. Ok.“

Oliver von Treuenfels, Fa. Dermalog: „Das wird es jetzt bei unseren zukünftigen Modellen geben. Dass die Bilder schon verschlüsselt das Gerät verlassen. Das ist auch jetzt immer mehr eine Anforderung, die kommt insbesondere aus der Bankenwelt. Und da arbeiten wir daran. Weil man versuchen möchte zu verhindern, dass jemand in dem Moment, wo der Fingerabdruck zum PC wandert, dass er da abgegriffen wird.“

Unglaublich. Die Firma weiß also, dass das Gerät angreifbar ist. Nur auf Druck der Banken wird nun nachgebessert. Das Bundesinnenministerium sollte und müsste es auch wissen, denn die Sicherheitslücke besteht schon seit 10 Jahren.

"Ich möchte aber daran erinnern, dass wir auch eben seit 10 Jahren die Daten nicht ‚State of the Art‘ sichern und ich mir wünschen würde, dass das besser gemacht würde z.B. durch eine Verschlüsselung in dem Hardware-Gerät selber. Denn wir Bürger haben eben den Anspruch und auch denke ich doch das Recht dazu, dass unsere Daten bestmöglich gesichert werden."

Gunnar Porada, Cyber-Sicherheitsexperte

Das Bundesinnenministerium sieht keinen Handlungsbedarf. Man teilt uns mit. Zitat: „Die Erhebung und/ oder Verarbeitung von Bürgerdaten mit bzw. in informationstechnischen Systemen …kann …als angemessen sicher gelten.“

„Angemessen“ sicher. Klingt wie eine Bankrotterklärung! Fakt ist: Der Scanner ist angreifbar. Der Staat hat eine enorme Verantwortung. Denn, wenn unsere biometrischen Daten einmal in kriminellen Händen sind, sind sie für immer verloren.

Manuskript zum Druck

Manuskript als PDF:


19