Iris-Scanner der US-Armee samt Daten für 68 Dollar auf Ebay gekauft

Im Zuge der US-amerikanischen Militärpräsenz in Afghanistan wurde auch in großem Stil auf biometrische Daten gesetzt, um Menschen zu identifizieren. Spezielle Geräte fertigten Iris- sowie Fingerabdruckscans von Menschen an. Beim Abzug der US- und NATO-Truppen 2021 wurden zahlreiche dieser Geräte zurückgelassen.

Nun landeten einige davon auf dem Online-Auktionshaus Ebay. Eines der “Secure Electronic Enrollment Kits” oder SEEK II wurde um knapp 150 US-Dollar zum Kauf angeboten, wie die New York Times berichtet.

Matthias Marx, ein deutscher Sicherheitsexperte und Mitglied des Chaos Computer Clubs (CCC), bot 68 Dollar (knapp 64 Euro) und bekam den Zuschlag. Auch andere CCC-Mitglieder stießen auf vergleichbare Angebote. Insgesamt kauften sie laut eigenen Angaben 4 Geräte des Typs SEEK II und 2 Geräte des Typs HIIDE 5 (Handheld Interagency Identity Detection Equipment).

Tausende Datensätze

Das alles einen weiteren problematischen Aspekt: Es konnten aus den Gerätschaften Daten extrahiert werden. Konkret befanden sich auf ihnen Namen und biometrische Daten von US-Militärs, GPS-Koordinaten vergangener Einsatzorte sowie eine Biometrie-Datenbank mit Namen, Fingerabdrücken, Iris-Scans und Fotos von 2.632 Personen. E

Trotz der sensiblen Natur der Daten, waren sie so gut wie gar nicht geschützt. Laut CCC waren die Datenträger unverschlüsselt. Lediglich ein „gut dokumentiertes Standardpasswort“ war als Zugangsschutz vorhanden. 

ingesetzt wurde das Gerät wohl 2012 "irgendwo zwischen Kabul und Kandahar", wie der CCC schreibt. Laut Informationen der New York Times, die die Daten einsehen konnte, waren unter den Betroffenen Terror-Verdächtige, aber auch Menschen, die lediglich Checkpoints passierten sowie sogar Helfer der US-Armee.

Hersteller und Militär ignorieren Problem

Der CCC kontaktierte daraufhin HID Global, den Hersteller der Geräte, sowie 2 bekannte Nutzer: Die deutsche Bundeswehr sowie das US Department of Defense (DoD). Während die Bundeswehr laut CCC eine „Empfangsbestätigung“ verschickte, verwies das wiederum DoD an den Hersteller, der jedoch nichts unternahm. Zweieinhalb Monate nach der Meldung konnte ein weiteres der Geräte online gekauft werden, wie der CCC schreibt.

Gefährlich für Menschen

Die Daten könnten für viele Menschen in Afghanistan lebensbedrohlich sein. Wenn sich aus ihnen herauslesen lässt, wer mit der US-Armee oder NATO-Truppen zusammengearbeitet hat, kann das für sie schwere Konsequenzen haben.

"Der verantwortungslose Umgang mit dieser Risiko-Technologie ist unfassbar", sagte Marx, der die CCC-Forschungsgruppe geleitet hat.

Geräte in Taliban-Hände

Bereits Mitte 2021 wurde bekannt, dass Taliban bei ihrem Vormarsch durch das Land derartige Geräte beschlagnahmt haben. Bereits damals kritisierte Welton Chang von der Menschenrechtsorganisation Human Rights First den laxen Umgang des Militärs mit den Informationen. Es sei nicht davon auszugehen, dass irgendjemand darüber nachgedacht hätte, was zu tun sei, falls das HIIDE-System in die falschen Hände gerate, sagte Chang.