US-Biometriedaten auf Ebay

Aktivisten des Chaos Computer Clubs kaufen Militärgeräte im Internet

  • Julian Hitschler
  • Lesedauer: 4 Min.
Ein US-Soldat verwendet ein biometrisches Identifikationsgerät in Afghanistan.
Ein US-Soldat verwendet ein biometrisches Identifikationsgerät in Afghanistan.

Forscher des Chaos Computer Clubs (CCC) in Berlin haben nach eigenen Angaben mehrere biometrische Identifikationsgeräte des US-Militärs auf Ebay erstanden und daraus Daten extrahiert. Die Scanner vom Typ »HIIDE« des Herstellers L-1 Identity Solutions und »SEEK« von Crossmatch Technologies (heute: HID Global) dienen der biometrischen Erfassung und Identifizierung von Personen im Feld mittels Fingerabdruck- und Iris-Scans. Sie seien im Internet frei verkäuflich gewesen, so der CCC-Aktivist Matthias Marx bei einer Vorstellung auf der Konferenz »Hacking in Parallel« in Berlin.

Wie die US-amerikanische Online-Zeitschrift »The Intercept« bereits im August 2021 berichtete, sollen Biometriegeräte des US-Militärs beim Rückzug aus Afghanistan auch in die Hände der Taliban gefallen sein. Die Aktivisten des CCC wollen nun den Beweis erbracht haben, dass sich die Technik auch ohne offizielle Authentifizierung nutzen lässt. Die darin gespeicherten biometrischen Daten konnten ohne großen technischen Aufwand ausgelesen werden. Den Taliban dürfte es damit ein Leichtes sein, ehemalige Ortskräfte westlicher Streitkräfte und andere politische Feinde ausfindig zu machen.

»Es ist grundsätzlich immer eine schlechte Idee, biometrische Daten in großen Mengen zentral zu sammeln«, so die CCC-Aktivisten auf einer Präsentation ihrer Arbeit am Dienstag. Eines der auf Ebay erworbenen Geräte habe Fingerabdrücke und Iris-Scans von über 2000 Personen enthalten, die offenbar bei einem Einsatz des US-Militärs in Afghanistan gesammelt worden seien. Die ältesten Datensätze stammten aus dem Jahr 1998, die jüngsten aus dem Jahr 2012. GPS-Koordinaten auf der Speicherkarte eines Scanners deuteten darauf hin, dass er sich zuletzt zwischen Kabul und Kandahar im Einsatz befand. Die Geräte waren für den Betrieb mit lokalen Datenbanken im Feld konzipiert und nicht auf den Zugang zum Internet angewiesen, jedoch sei ein regelmäßiger Abgleich mit zentralen Datenbanken in den USA vorgesehen gewesen. Die technische Absicherung der Daten sei trivial zu umgehen gewesen, so die Aktivisten des CCC. »Die Geräte wurden inklusive einer Betriebsanleitung und eines Leitfadens für den Einsatz geliefert«, so der CCC-Aktivist Matthias Marx gegenüber dem »Spiegel«. »Verschlüsselt ist da jedenfalls gar nichts. (…) Wir haben dann einfach das Standardpasswort eingetippt, das in der Betriebsanleitung stand und schon waren wir drin.« Die Anleitung habe außerdem die explizite Instruktion enthalten, das Passwort nicht zu ändern, wie die Forscher in ihrer Präsentation betonten.

In den falschen Händen könnten »HIIDE« und »SEEK« nebst dazugehörigen Daten großen Schaden und menschliches Leid verursachen, so die Aktivisten. Die biometrischen Datensätze seien mit umfangreichen Angaben zur Person sowie mit Anweisungen wie »Zutritt zur Basis« oder »Festnehmen« beziehungsweise »Befragen« verknüpft gewesen. In den Händen der Taliban könnten die Angaben zu einer »Abschussliste« werden, es sei einfach, daraus zu rekonstruieren, wer auf welcher Seite gestanden habe. Auch Datensätze von US-Militärangehörigen sollen auf den Geräten zu finden gewesen sein.

Die CCC-Forscher verweisen auf ein Memorandum zwischen den US-Streitkräften und der Bundeswehr zum Austausch von biometrischen Daten, das die Plattform »Wikileaks« veröffentlicht hatte. Darin sei unter anderem vereinbart worden, dass keine Informationen über deutsche Staatsbürger erhoben und die von deutschen Streitkräften gesammelten Bestände nach Ende des Afghanistan-Einsatzes gelöscht werden sollten. Außerdem gebe es Indizien, dass tatsächlich Daten von der Bundeswehr erhoben worden seien: Die erbeutete Datenbank habe Einträge ohne Staatsbürgerschaft enthalten, was sich mit Vereinbarungen mit den deutschen Streitkräften decke, solche Daten nicht zu sammeln, so die CCC-Aktivisten. In einem Datensatz fand sich auch ein Kürzel »GER«, das vermutlich auf die Bundeswehr verweist.

Verkauft worden seien die Geräte von eher unscheinbaren Elektronikhändlern aus den USA. Woher diese sie erworben hätten, sei unklar. In einigen Fällen hätten die Geräte unbenutzt gewirkt, so Marx – ein möglicher Hinweis darauf, dass es sich um Restposten aus Lagerbeständen des US-Militärs handeln könnte. Die CCC-Aktivisten betonten, sie hätten sowohl die US-Streitkräfte als auch die Bundeswehr auf die mögliche gravierende Sicherheitslücke und das Potenzial für Datenverlust aufmerksam gemacht. Das US-Militär habe daraufhin erklärt, die technische Schwachstelle liege im Verantwortungsbereich des Herstellers der Geräte. Man sei gebeten worden, die Geräte zurückzugeben, obwohl sie weiterhin im Internet zu erwerben seien. »Der verantwortungslose Umgang mit dieser Risiko-Technologie ist unfassbar«, so Marx.

Wir-schenken-uns-nichts
Unsere Weihnachtsaktion bringt nicht nur Lesefreude, sondern auch Wärme und Festlichkeit ins Haus. Zum dreimonatigen Probeabo gibt es ein Paar linke Socken und eine Flasche prickelnden Sekko Soziale – perfekt für eine entspannte Winterzeit. Ein Geschenk, das informiert, wärmt und das Aussteiger-Programm von EXIT-Deutschland unterstützt. Jetzt ein Wir-schenken-uns-nichts-Geschenk bestellen.

Das »nd« bleibt gefährdet

Mit deiner Hilfe hat sich das »nd« zukunftsfähig aufgestellt. Dafür sagen wir danke. Und trotzdem haben wir schlechte Nachrichten. In Zeiten wie diesen bleibt eine linke Zeitung wie unsere gefährdet. Auch wenn die wirtschaftliche Entwicklung nach oben zeigt, besteht eine niedrige, sechsstellige Lücke zum Jahresende. Dein Beitrag ermöglicht uns zu recherchieren, zu schreiben und zu publizieren. Zusammen können wir linke Standpunkte verteidigen!

Mit deiner Unterstützung können wir weiterhin:


→ Unabhängige und kritische Berichterstattung bieten.
→ Themen abdecken, die anderswo übersehen werden.
→ Eine Plattform für vielfältige und marginalisierte Stimmen schaffen.
→ Gegen Falschinformationen und Hassrede anschreiben.
→ Gesellschaftliche Debatten von links begleiten und vertiefen.

Sei Teil der solidarischen Finanzierung und unterstütze das »nd« mit einem Beitrag deiner Wahl. Gemeinsam können wir eine Medienlandschaft schaffen, die unabhängig, kritisch und zugänglich für alle ist.