Sie machen Menschen unverwechselbar: Fingerabdrücke und Gesichter. Deshalb verdienen diese intimen Daten besonderen Schutz, wenn sie digital gespeichert werden. Ausgerechnet einer der größten Hersteller von biometrischen Zugangssystemen für Gebäude hat auf diese Daten nicht aufgepasst.
Eine riesige Datenbank des Unternehmens Suprema mit den hochsensiblen Informationen stand über einen längeren Zeitraum ungeschützt unverschlüsselt im Netz. Darunter sollen rund eine Million Fingerabdrücke sein. Wie die israelischen IT-Sicherheitsepxerten Noam Rotem und Ran Lokar von der Webseite VpnMentor berichteten, stammen die Daten von der Plattform "Biostar 2" des koreanischen Unternehmens. Suprema ist nach eigenen Angaben in Europa Marktführer bei biometrischen Zutrittskontrollsystemen. Auch in Samsung-Smartphones steckt Biometrie-Technik von Suprema.
VpnMentor vergleicht VPN-Software, die anonymisierte Verbindungen ins Netz ermöglicht. Über die Sicherheitslücke hatten zuerst der britische Guardian und das israelische Portal Calcalist berichtet.
"Biostar 2" ist eine Web-Plattform für intelligente Türschlösser, mit der Unternehmen die Zugangskontrolle für ihre Büros oder Lagerhallen selbst organisieren können: Nur wer rein darf, kommt auch rein. Die Arbeitszeit lässt sich ebenfalls erfassen. Damit das System Mitarbeiter erkennt, werden Fingerabdrücke oder Gesichts-Scans hinterlegt. Nach Angaben des Guardian nutzen auch die britische Polizei, Rüstungsunternehmen und Banken "Biostar 2".
Unter den Unternehmen, deren Daten von der offen zugänglichen Suprema-Datenbank betroffen sein sollen, waren Co-Working-Büros in den USA und Indonesien und eine Fitnessstudiokette in Indien und Sri Lanka. Auch der Name eines deutschen Unternehmens taucht in dem Bericht von vpnMentor auf: Identbase. Die Firma aus Meppen verkauft und installiert Zugangssysteme, auch von Suprema. Geschäftsführer Marcus Brand kann sich nicht erklären, wie der Name seines Unternehmens in der Datenbank gelandet sein soll: "Wir nutzen diese Produkte gar nicht, wir vertreiben sie nur." Vertriebsmitarbeiter von Identbase setzten lediglich Musterkoffer des Unternehmens zu Demonstrationszwecken ein, zudem habe man Suprema erst seit Kurzem im Angebot.
Die Aufdecker Rotem und Lokar sehen sich als ethische Hacker (sogenannte white hats). Über die Schwachstelle konnten sie eigenen Angaben zufolge die vollständige Kontrolle über die Konten im System erhalten. Sie hätten Zugriff auf mehr als 27,8 Millionen Datensätze und 23 Gigabyte Daten gehabt, darunter: Fingerabdruck- und Gesichtserkennungsdaten, Gesichtsfotos von Benutzern, unverschlüsselte Benutzernamen, Passwörter, Protokolle über den Zugang zu den Einrichtungen, Sicherheitsfreigaben und persönliche Daten des Personals. Außerdem hätten sie Datensätze in den Firmenkonten neu anlegen und manipulieren können, um Unbefugten Zugang zu Gebäuden zu ermöglichen.
"Mein fünfjähriger Sohn hätte ohne Probleme in ihre Datenbank kommen können"
All das ging einfach über einen normalen Browser. Über die Adresszeile konnten die Experten nach Begriffen suchen und die heiklen Daten finden. "Mein fünfjähriger Sohn hätte ohne Probleme in ihre Datenbank kommen können", sagte Informatiker Rotem der SZ. "Besonders schrecklich ist, dass nichts verschlüsselt war", sagt Rotem. Selbst Passwörter für Administratoren seien im Klartext lesbar gewesen. Wer diese Daten kennt, hat besonders weitreichende Befugnisse in Computersystemen. Noch dazu seien viele der Passwörter sehr einfach zu knacken gewesen, wie "passwort " oder " abcd1234." Ein Vertreter von Suprema sagte dem Guardian, man prüfe den Bericht "eingehend" und werde Kunden sofort informieren, sollten sie in Gefahr sein.
Große Datenbanken mit Benutzernamen - oft E-Mail-Adressen - und Passwörtern werden häufiger geknackt oder ausgelesen, weil sie leicht über das Netz zugänglich sind. Hacker sammeln diese Informationen in langen Listen, die sie dann automatisiert auf die Zugänge zu anderen Webseiten loslassen. Schließlich wissen sie, dass viele Menschen aus Faulheit oder Unwissen dieselben Zugangsdaten mehrfach verwenden. Die Mehrzahl aller Login-Versuche im Netz soll auf solche Hacker-Attacken zurückgehen. Allerdings sind viele Passwörter in den Datenbanken verschlüsselt gespeichert. Vor allem aber können Betroffene Passwörter im Falle eines Datenlecks mit ein paar Klicks und Tastaturdrücken ändern - biometrische Merkmale wie Augen (für Iris-Scans), Fingerabdrücke und Gesichter sind dagegen nun einmal unveränderlich.
David Emm, IT-Sicherheitsforscher beim Virenschutz-Anbieter Kaspersky, warnt deshalb: "Es ist eine ganz schlechte Idee, Kennwörter gegen biometrische Daten auszutauschen. Landet der eigene Fingerabdruck im Netz, ist er für immer verbrannt." Zumal es noch eine weitere Gefahr gebe: "Mit gestohlenen biometrischen Daten können Personalausweise gefälscht werden."
