- Politik
- Afghanistan-Krieg
US-Biometriedaten auf Ebay
Aktivisten des Chaos Computer Clubs kaufen Militärgeräte im Internet
Forscher des Chaos Computer Clubs (CCC) in Berlin haben nach eigenen Angaben mehrere biometrische Identifikationsgeräte des US-Militärs auf Ebay erstanden und daraus Daten extrahiert. Die Scanner vom Typ »HIIDE« des Herstellers L-1 Identity Solutions und »SEEK« von Crossmatch Technologies (heute: HID Global) dienen der biometrischen Erfassung und Identifizierung von Personen im Feld mittels Fingerabdruck- und Iris-Scans. Sie seien im Internet frei verkäuflich gewesen, so der CCC-Aktivist Matthias Marx bei einer Vorstellung auf der Konferenz »Hacking in Parallel« in Berlin.
Wie die US-amerikanische Online-Zeitschrift »The Intercept« bereits im August 2021 berichtete, sollen Biometriegeräte des US-Militärs beim Rückzug aus Afghanistan auch in die Hände der Taliban gefallen sein. Die Aktivisten des CCC wollen nun den Beweis erbracht haben, dass sich die Technik auch ohne offizielle Authentifizierung nutzen lässt. Die darin gespeicherten biometrischen Daten konnten ohne großen technischen Aufwand ausgelesen werden. Den Taliban dürfte es damit ein Leichtes sein, ehemalige Ortskräfte westlicher Streitkräfte und andere politische Feinde ausfindig zu machen.
»Es ist grundsätzlich immer eine schlechte Idee, biometrische Daten in großen Mengen zentral zu sammeln«, so die CCC-Aktivisten auf einer Präsentation ihrer Arbeit am Dienstag. Eines der auf Ebay erworbenen Geräte habe Fingerabdrücke und Iris-Scans von über 2000 Personen enthalten, die offenbar bei einem Einsatz des US-Militärs in Afghanistan gesammelt worden seien. Die ältesten Datensätze stammten aus dem Jahr 1998, die jüngsten aus dem Jahr 2012. GPS-Koordinaten auf der Speicherkarte eines Scanners deuteten darauf hin, dass er sich zuletzt zwischen Kabul und Kandahar im Einsatz befand. Die Geräte waren für den Betrieb mit lokalen Datenbanken im Feld konzipiert und nicht auf den Zugang zum Internet angewiesen, jedoch sei ein regelmäßiger Abgleich mit zentralen Datenbanken in den USA vorgesehen gewesen. Die technische Absicherung der Daten sei trivial zu umgehen gewesen, so die Aktivisten des CCC. »Die Geräte wurden inklusive einer Betriebsanleitung und eines Leitfadens für den Einsatz geliefert«, so der CCC-Aktivist Matthias Marx gegenüber dem »Spiegel«. »Verschlüsselt ist da jedenfalls gar nichts. (…) Wir haben dann einfach das Standardpasswort eingetippt, das in der Betriebsanleitung stand und schon waren wir drin.« Die Anleitung habe außerdem die explizite Instruktion enthalten, das Passwort nicht zu ändern, wie die Forscher in ihrer Präsentation betonten.
In den falschen Händen könnten »HIIDE« und »SEEK« nebst dazugehörigen Daten großen Schaden und menschliches Leid verursachen, so die Aktivisten. Die biometrischen Datensätze seien mit umfangreichen Angaben zur Person sowie mit Anweisungen wie »Zutritt zur Basis« oder »Festnehmen« beziehungsweise »Befragen« verknüpft gewesen. In den Händen der Taliban könnten die Angaben zu einer »Abschussliste« werden, es sei einfach, daraus zu rekonstruieren, wer auf welcher Seite gestanden habe. Auch Datensätze von US-Militärangehörigen sollen auf den Geräten zu finden gewesen sein.
Die CCC-Forscher verweisen auf ein Memorandum zwischen den US-Streitkräften und der Bundeswehr zum Austausch von biometrischen Daten, das die Plattform »Wikileaks« veröffentlicht hatte. Darin sei unter anderem vereinbart worden, dass keine Informationen über deutsche Staatsbürger erhoben und die von deutschen Streitkräften gesammelten Bestände nach Ende des Afghanistan-Einsatzes gelöscht werden sollten. Außerdem gebe es Indizien, dass tatsächlich Daten von der Bundeswehr erhoben worden seien: Die erbeutete Datenbank habe Einträge ohne Staatsbürgerschaft enthalten, was sich mit Vereinbarungen mit den deutschen Streitkräften decke, solche Daten nicht zu sammeln, so die CCC-Aktivisten. In einem Datensatz fand sich auch ein Kürzel »GER«, das vermutlich auf die Bundeswehr verweist.
Verkauft worden seien die Geräte von eher unscheinbaren Elektronikhändlern aus den USA. Woher diese sie erworben hätten, sei unklar. In einigen Fällen hätten die Geräte unbenutzt gewirkt, so Marx – ein möglicher Hinweis darauf, dass es sich um Restposten aus Lagerbeständen des US-Militärs handeln könnte. Die CCC-Aktivisten betonten, sie hätten sowohl die US-Streitkräfte als auch die Bundeswehr auf die mögliche gravierende Sicherheitslücke und das Potenzial für Datenverlust aufmerksam gemacht. Das US-Militär habe daraufhin erklärt, die technische Schwachstelle liege im Verantwortungsbereich des Herstellers der Geräte. Man sei gebeten worden, die Geräte zurückzugeben, obwohl sie weiterhin im Internet zu erwerben seien. »Der verantwortungslose Umgang mit dieser Risiko-Technologie ist unfassbar«, so Marx.
Wir behalten den Überblick!
Mit unserem Digital-Aktionsabo kannst Du alle Ausgaben von »nd« digital (nd.App oder nd.Epaper) für wenig Geld zu Hause oder unterwegs lesen.
Jetzt abonnieren!
Linken, unabhängigen Journalismus stärken!
Mehr und mehr Menschen lesen digital und sehr gern kostenfrei. Wir stehen mit unserem freiwilligen Bezahlmodell dafür ein, dass uns auch diejenigen lesen können, deren Einkommen für ein Abonnement nicht ausreicht. Damit wir weiterhin Journalismus mit dem Anspruch machen können, marginalisierte Stimmen zu Wort kommen zu lassen, Themen zu recherchieren, die in den großen bürgerlichen Medien nicht vor- oder zu kurz kommen, und aktuelle Themen aus linker Perspektive zu beleuchten, brauchen wir eure Unterstützung.
Hilf mit bei einer solidarischen Finanzierung und unterstütze das »nd« mit einem Beitrag deiner Wahl.
