77

Pässe für Kriminelle Biometrische Daten sind nicht sicher

Identifizierung mit dem eigenen Fingerabdruck, der Iris oder der Stimme - das klingt sicher. Dabei haben Cyberkriminelle längst Möglichkeiten gefunden, diese Daten zu klauen.

Von: Sabina Wolf

Stand: 06.08.2018

Weltweit werden bereits heute Millionen an biometrischen Daten geklaut. Der kriminelle Handel damit im Dark Web ist das neue Geschäft der Cyber-Mafia. Nach Recherchen der Story im Ersten sind bereits heute viele Millionen Bürgern weltweit von biometrischem Datendiebstahl betroffen.

Gefälschte Reisepässe im Dark Web

Im sogenannten Dark Web werden mittlerweile auch Hunderte Ausweise mit biometrischen Daten angeboten. Kontaktleute boten den Reportern ein Reisedokument mit freier Wahl der biometrischen Merkmale für 3.000 Euro an. Die europäische Grenzagentur Frontex bestätigt auf Anfrage, es gäbe "einige Fälle von gefälschten Pässen mit einem manipulierten Chip in der EU und im Schengenraum". Der Chip speichert dabei die biometrischen Merkmale.

Die biometrischen Daten werden meist aus riesigen Datenbanken abgefischt. In Indien haben die Reporter der Story im Ersten mit vielen Personen gesprochen, deren Fingerabdrücke geklaut wurden. Und einer Journalistin vor Ort gelang der Nachweis, dass die größte biometrische Datenbank der Welt mit 1,2 Milliarden Daten nicht zugriffssicher gewesen ist.

Auch deutsche Systeme nicht sicher

Ein weiteres Einfallstor für die Kriminellen sind schlecht gesicherte Übertragungssysteme. Im Versuch zeigt der Cyber-Sicherheitsexperte Gunnar Porada eine seit zehn Jahren bestehende Sicherheitslücke bei Fingerabdruckscannern, die bei deutschen Einwohnermeldeämtern im Einsatz sind. Die Übermittlung des Fingerabdrucks erfolgt unverschlüsselt vom Gerät zum Computer. Dieser Übertragungsweg ist angreifbar:

"Dadurch, dass ein Angreifer Zugriff auf die Bilddaten hat und nichts anderes sind die Fingerabdrücke, kann er sie kopieren oder manipulieren und für kriminelle Aktionen nutzen." Gunnar Porada, Cyber-Sicherheitsexperte

Im Gespräch mit Reportern der Story im Ersten räumt der Hersteller des Behörden-Scanners, die Firma Dermalog, die Sicherheitslücke ein. Die Firma gehört zum bundeseigenen Unternehmen Bundesdruckerei. Das Bundesinnenministerium dagegen hält das eingesetzte Gerät für "angemessen sicher".

Terroristen nutzten gefälschte Fingerabdrücke

Auch Terroristen haben geklaute biometrische Daten bereits eingesetzt. So nutzte die dschihadistische Terrorgruppe IS gefälschte Fingerabdrücke für Finanztransaktionen. In der ost-türkischen Stadt Kırşehir verhaften Ende 2017 türkische Beamte zehn Mitglieder des IS, die in ihrem Haus Fingerabdruckformen lagerten. Die Formen hatten zur Herstellung von Fingerabdrucküberzügen gedient.

Was kann der Verbraucher tun?

Sicherheitsexperten warnen vor dem zu sorglosen Einsatz digitalisierter biometrischer Merkmale als Zugangscodes für die Anmeldung mit dem Handy, beim Bankkonto oder bei Smart-Home-System. Über die Qualität der eingesetzten Software könne man als Verbraucher wenig wissen, so Prof. Udo Helmbrecht, Chef der Europäischen Agentur für Netz- und Informationssicherheit ENISA. Man müsse darauf hoffen, dass der Hersteller es ordentlich gemacht hat. Helmbrecht setzt sich seit Jahren für eine IT-Haftung ein, sieht sie aber im Moment als "politisch schwierig umzusetzen".

Sicherheitsexperte Gunnar Porada geht noch einen Schritt weiter. Er sagt: "Die Erfahrung hat gezeigt, dass bislang eigentlich alle Datenbanken hackbar sind und auch gehackt wurden. Die Verwendung von biometrischen Daten in Computersystemen ist deswegen unsicher."

Das große Problem: Wenn biometrische Daten in kriminelle Hände geraten, sind sie für immer verloren. Denn den eigenen Fingerabdruck, den gibt es nur einmal.

Die Story im Ersten: Pässe für Kriminelle können Sie am Montag, 6. August, im Ersten um 22.45 Uhr sehen.


77