Datenleck: Fingerabdrücke von Millionen Menschen frei im Netz

In Großbritannien nutzen Polizei, Sicherheitsfirmen und andere Einrichtungen Zutrittssysteme für Mitarbeiter. Die Mitarbeiter müssen sich mit ihrem Gesicht oder Fingerabdruck identifizieren. Doch wie sicher ist das System, wenn es plötzlich von außen manipuliert werden kann und etwa Fingerabdrücke ausgetauscht werden und somit Fremde Zugang zu heiklen Bereichen haben?

Biometrie-Datenbank betroffen

Genau dieses Szenario haben israelische Sicherheitsforscher nun entdeckt. Sie haben Fingerabdrücke, Gesichtserkennungsdaten, Usernames, Passwörter und persönliche Informationen von einer Million Menschen in einer Datenbank im Netz ungeschützt entdeckt. Die biometrischen Daten waren dort unverschlüsselt gespeichert. Das Schlimme daran: Werden biometrische Merkmale wie das Gesicht im Zuge eines Cyberangriffs gestohlen, sind sie für immer weg. Anders als Passwörter können Gesichter nicht einfach "zurückgesetzt" werden.

Es kommt noch schlimmer für die Firmen, die das System einsetzen. Diese Datenbank konnte auch manipuliert werden, in dem man neue Daten hinzufügt und alte rauslöscht. Damit wäre es möglich, dass sich jemand mit seinem Fingerabdruck in Gebäude einschleicht und dabei als eine Person ausgibt, die er gar nicht ist.

Die israelischen Sicherheitsforscher Noam Rotem und Ran Loca haben diese gravierende Sicherheitslücke im System der Securityfirma Suprema, die für die Datenbank verantwortlich ist, gefunden und gemeldet, wie der Guardian berichtet. Rotem und Loca, die für den Dienst vpnMentor arbeiten, finden das Ausmaß der Lücke „alarmierend“. Konkret geht es dabei um das webbasierte Biometrie-System Biostar 2.

Identifikation von Menschen

Mit diesem System lassen sich Biometriedaten dazu nutzen, um Menschen zu identifizieren, wenn sie ein Gebäude betreten. Die Biostar-2-Plattform wurde im vergangenen Monat in ein anderes Kontrollsystem namens AEOS integriert, Diese wird nicht nur in Großbritannien eingesetzt: Dieses System wird von 5700 Organisationen in 83 Ländern der Welt, darunter auch viele Regierungen und Banken, verwendet.

Die israelischen Sicherheitsforscher sind nur durch Zufall auf diese gravierende Lücke in der Datenbank gestoßen. Das Abgreifen der Daten selbst war dann aber nicht besonders schwierig, weil die Daten unverschlüsselt waren. Insgesamt fanden die Forscher 27,8 Millionen Aufzeichnungen und 23 GB Daten. Neben biometrischen Daten waren auch die Sicherheitslevel der einzelnen Person und ihre Zutrittsbefugnisse und Login-Daten zu Computersystemen dabei. Diese waren ebenfalls unverschlüsselt – und zwar auch bei sogenannten Administratoren, die die Computersysteme der einzelnen Institutionen verwalten. 

Genaue Kontrolle möglich

„Der Zugang hat auch ermöglicht, Millionen Nutzern in Echtzeit dabei zuzusehen, wie sie eine bestimmte Institution betreten und in welchem Raum sie gerade sind“, so die Forscher zum Guardian. Die vom Leck betroffene Sicherheitsfirma hat die gefundene Lücke in den frühen Morgenstunden des Mittwochs zwar geschlossen, so dass kein Zugriff mehr möglich ist, sich aber bei den Forschern nicht gemeldet. Gegenüber dem Guardian gab man sich verhalten. Man würde eine „ausführliche Untersuchung“ durchführen und notfalls Kunden informieren, falls es eine Gefahr gegeben habe.

Die israelischen Sicherheitsforscher warnen, dass es nicht die einzige Lücke sein könnte, die Biometriedaten betrifft. „Es gibt Millionen von offenen Systemen und diese durchzugehen, ist ein sehr mühsamer Prozess“, sagt Forscher Rotem. Das Problem ist nämlich, dass in diesem Bereich viele Drittfirmen zum Einsatz kommen, um den Service zu nutzen.