Allen Warnungen von Sicherheitsexperten zum Trotz: Der Vormarsch biometrischer Verfahren zur Authentifizierung von Nutzern ist offenbar unaufhaltbar. Nun werden allerdings die schlimmsten Befürchtungen der Mahner Realität.

Vollzugriff

Israelische Sicherheitsforscher der Firma Vpnmentor haben Zugriff auf eine Datenbank mit den Fingerabdrücken von mehr als einer Million Nutzern erhalten. Auch Daten zur Gesichtserkennung sowie Logins, Passwörter und persönliche Informationen zu Angestellten waren hier zu finden. Was die gesamte Angelegenheit besonders pikant macht: Ein großer Teil dieser Daten wurde unverschlüsselt gespeichert, wie der Guardian berichtet.

Betrieben wird dieses Datenbank von der Firma Suprema, die das biometrische Zugangssystem Biostar 2 anbietet. Dieses kommt unter anderem zur Absicherung von Lagerhäusern oder bei Banken zum Einsatz. Aber auch die britische Polizei soll die Technologie des Unternehmens nutzen. Laut der Webseite von Suprema ist die Firma europaweit Marktführer für biometrische Zugangssysteme, und wird derzeit weltweit in mehr als 1,5 Millionen Systemen genutzt.

Suche

Die Sicherheitsforscher sind auf die Datenbank bei einer automatisierten Suche nach offenen Ports im Netz gestoßen. Zu ihrer Verblüffung mussten sie feststellen, dass der Zugriff auf die Daten komplett ungeschützt war, und dass zudem ein Großteil der Informationen unverschlüsselt gespeichert war. Mithilfe von Elasticsearch konnten sie die Datenbank auch bequem durchsuchen.

In Summe fanden sie dabei 27,8 Millionen Einträge in der Datenbank vor. Neben den erwähnten Fingerabdrücken fanden sich zum Teil auch Fotos von Personen sowie komplett ungeschützte Passwörter – und zwar selbst von Administratoren. Auch zahlreiche Details über die Nutzung der Systeme sowie private Informationen zu Sicherheitsangestellten konnten ausgelesen werden. Doch nicht nur das: Den Forschern gelang es sogar Daten zu manipulieren und Nutzer hinzuzufügen – womit die Sicherheit all dieser Zugangssysteme leicht zu unterwandern war. Immerhin hätte hier jemand unbemerkt seinen eigenen Fingerabdruck einfügen können.

Kritik

Die Forscher üben dabei schwere Kritik an Suprema: So sei es etwa selbst bei Smartphones üblich, dass Fingerabdrücke lediglich in Form eines Hash gespeichert werden, womit sie nicht mehr auf das eigentliche Foto zurückgeführt werden können. In diesem Fall wurden aber wirklich die Originalbilder unverschlüsselt abgelagert. Hat nun jemand darauf Zugriff, kann er sich andernorts als diese Person ausgeben. Genau vor solchen Szenarien hatten Gegner biometrischer Verfahren lange gewarnt. Immerhin kann man das Gesicht oder den Fingerabdruck im Gegensatz zu einem Passwort nicht einfach ändern.

Versuche Suprema zu kontaktieren, seien zunächst ebenfalls fehlgeschlagen. Das Unternehmen habe den offenen Zugang zwar still und heimlich geschlossen, direkt mit den Sicherheitsforschern interagieren wollte man aber nicht. Erst auf Nachfrage des Guardian betont man nun, dass man eine "tiefgreifende Untersuchung" eingeleitet hat. Sollte es eine wirklich konkrete Gefahr für die eigenen Kunden gegeben haben, werde man diese informieren. (apo, 14.8.2019)