Viele Menschen vertrauen auf biometrische Daten wie etwa einen digitalen Fingerabdruck. Doch diese Daten lassen sich leicht stehlen. Kriminellen und Terroristen eröffnen sie damit erhebliche Missbrauchsmöglichkeiten.
Ende 2017 gelang türkischen Sicherheitskräften ein spektakulärer Coup. In Kirsehir im Osten des Landes verhafteten die Beamten zehn Mitglieder der Terror-Miliz “Islamischer Staat” (IS). In den Räumen der Terroristen fanden sie nicht nur einschlägiges Propagandamaterial, sondern auch Instrumente, um gefälschte biometrische Identitäten herzustellen. Dazu gehörten etwa Formen für einen Fingerabdruck. Auf den klebten sie einen aus dem Internet gestohlenen, nachträglich bearbeiteten und schließlich auf eine Folie geklebten Fingerabdruck. Solche manipulierten Abdrücke erkennt die Software etlicher – auch von großen Institutionen genutzter – Geräte als echt an. Ist das einmal geschehen, öffnen sich die Sicherheitsschleusen für allen nur denkbaren Missbrauch. Die verhafteten Dschihadisten nutzten das nachgewiesenermaßen für Geldtransfers.
“Gefälschte Pässe – Biometrischer Datenhandel im Dark Web” heißt eine am Wochenanfang im ARD-Fernsehen ausgestrahlte Dokumentation, die dem Diebstahl und Missbrauch biometrischer Daten nachgeht. Dabei wurde deutlich, dass Terroristen die geraubten Daten noch zu ganz anderen Zwecken einsetzen können.
Biometrische Erfassung: digitales Raster über einem Gesicht
“Kriminelle und Terroristen haben natürlich ein sehr großes Interesse daran, das zu missbrauchen und zu benutzen”, sagt der IT-Sicherheitsexperte Gunnar Porada von der Universität Liechtenstein. Die Daten seien für vielerlei Zwecke einsetzbar: “zum Beispiel zur Eröffnung von Kontodaten, vielleicht auch an Flughäfen – für Reisepässe für sämtliche Kontrollen, wo wir unsere Fingerabdrücke mit abgeben”.
“Auf Sicherheit kann man nur hoffen”
Der Fall zeigt: Die elektronischen Daten sind alles andere als sicher. Das gilt sowohl für die der Konsumenten wie auch die der Bürger. In anderen Worten: Nicht nur kommerzielle Unternehmen, sondern auch staatliche Behörden können nicht garantieren, dass die bei ihnen gesammelten Daten ausreichend gegen möglichen Diebstahl gesichert sind. Klassische Kriminelle benutzen gestohlene Daten einzelner Personen zum Beispiel, um unter deren Identität im Internet einzukaufen.
Quelle der gestohlenen Daten können auch im regulären Handel erworbene digitale Geräte sein, die diese Daten speichern. Deren Sicherheit ist nur dann gewährleistet, wenn sich die Sicherheitssysteme technisch auf dem jeweils neuesten Stand befinden. Das sei aber nicht zwangsläufig der Fall, sagt Udo Helmbrecht, Chef der europäischen Agentur für Netz- und Informationssicherheit: “Wenn ich als Käufer dieses Produkt kaufe, weiß ich nicht, ob dort Sicherheitsfeatures drin sind. Sind sie drin, weiß ich nicht, welche es sind. Wenn Sie so einen typischen Fingerabdruck-Leser oder eine Gesichtserkennungssoftware in einem Smartphone nehmen, dann gibt es keine vorgegebenen Zertifikate.” Ein Risiko für Konsumenten sei das, betont er: “Wenn ich das kaufe, dann muss ich darauf hoffen, dass der Hersteller das ordentlich gemacht hat.”
Gefälschte Pässe im Schengenraum
Gestohlene Daten eignen sich nicht nur zum Wirtschaftsbetrug. Sie sind auch in anderer Hinsicht gefährlich, etwa bei der weltweiten Migration. Staaten sind nicht durchgehend in der Lage, die Identität der Migranten zweifelsfrei zu ermitteln. Das gilt auch für die Mitgliedstaaten der EU. Auch in ihnen können sich Personen mit gefälschter Identität registrieren lassen. “Da waren einige Fälle von gefälschten Pässen mit einem manipulierten Chip in der EU und im Schengenraum”, zitiert die Journalistin Sabina Wolf, Autorin der ARD-Sendung, eine Auskunft der Grenzschutzagentur Frontex vom Juni diesen Jahres.
Daten sind überall. Szene aus der Universität Konstanz
Offenbar wird es den Kriminellen nicht allzu schwer gemacht, sich in den Besitz fremder Daten zu bringen. So sollen selbst die Systeme, mit denen deutsche Einwohnermeldeämter die Daten ihrer Bürger erfassen, gegen einen digitalen Angriff nicht hinreichend gefeit sein. Diese Ämter nutzen offenbar Fingerabdruck-Lesegeräte des Unternehmens “Dermalog”, das über die Bundesdruckerei dem Bund gehört. Der ARD-Reportage zufolge gibt das Gerät die eingelesen Daten unverschlüsselt an den Computer weiter – für Hacker ist das ein ideales Einfallstor.
Deutschland: Zweifelhafte Datensicherheit
“Wenn ein Angreifer Zugriff auf Bilddaten wie etwa Fingerabdrücke hat, kann er natürlich entscheiden, ob er sie zum Missbrauch kopieren möchte”, sagt IT-Sicherheitsexperte Gunnar Porada: “Manipulierte Fingerabdrücke zum Beispiel können in Ausweisdokumenten gespeichert werden und später zu kriminellen Aktionen dienen.” Das gelte auch für die Einwohnermeldeämter: “Es ist gut möglich, dass in einer Meldestelle ein Trojaner einen Computer infizieren könnte.”
Für die Datensicherheit in Deutschland heißt das nichts Gutes. “Die Erhebung und/oder Verarbeitung von Bürgerdaten mit bzw. in informationstechnischen Systemen … kann … als angemessen sicher gelten”, heißt es in einer Antwort des Bundesinnenministeriums von Ende Juni auf eine Anfrage der Journalistin Sabina Wolf. “Angemessen sicher”, das ist eine schlechte Nachricht. Denn übersetzt heißt das wohl nicht anderes als: im Zweifelsfall überhaupt nicht sicher.
Video ansehen 02:45 Jetzt live 02:45 Min. 
Teilen
Sind digitale Finanzströme sicher?
Versenden Facebook Twitter google+ Tumblr VZ Mr. Wong Xing Newsvine Digg
Permalink https://p.dw.com/p/1JjIw