Chaos Computer Club ersteigert Biometrie-Geräte des US-Militärs mit Biometrischer Datenbank aus Afghanistan

Sicherheit (Pexels, allgemeine Nutzung)[English]Der Chaos Computer Club (CCC) hat mehrere Biometrie-Geräte des US-Militärs über eine Online-Auktionsplattform (mutmaßlich eBay) ersteigert. Bei der Untersuchung wurde festgestellt, dass Militär und Hersteller eine verantwortungslose Handhabung pflegten. Auf den Geräten befindliche Daten lagen unverschlüsselt vor. Der CCC erhielt Zugriff auf eine Biometrie-Datenbank mit den Daten von 2.632 Personen aus Afghanistan.

Die Vorgeschichte

Das US-Militär hat in Afghanistan Geräte zur biometrischen Erfassung von Personen verwendet. Ziel war es, die gesamte afghanische Bevölkerung mit ihren Biometrischen Daten (Fingerabdrücke, Iris-Scans, Gesichtsfotos und DNA). Auch die Bundeswehr setzte diese Geräte im Rahmen der NATO-Mission in diesem Land ein. Mit Hilfe von Programmen wie dem Automated Biometric Identification System (ABIS) sollten bekannte Kriminelle, aber auch Ortskräfte oder Angehörige der afghanischen Sicherheitskräfte jederzeit identifiziert werden können, schreibt der CCC.

Diese Geräte, die eine biometrische Datenbank enthalten, sind für die dort gespeicherten Personen eine tickende Zeitbombe. Beim hastigen Abzug der NATO-Truppen vor einem Jahr fielen einige dieser Geräte auch den Taliban in die Hände. Jeder, der die Geräte in die Finger bekommt, kann die Datenbank auslesen und dann dann beispielsweise Ortskräfte oder Angehörige der afghanischen Sicherheitskräfte identifizieren. Den Militärs war das Risiko durchaus bekannt, wie Warnungen eines US-Militärangehörigen im Jahr 2007 für den Irak belegen.

Geräte ersteigert und untersucht

Matthias Marx, snoopy, starbug, md und weitere CCC-Mitglieder waren über diese Berichte alarmiert und begannen sich Informationen über die Biometrie-Geräte zu beschaffen.

Ich bin gestern über obigen Tweet auf diesen Sachverhalt gestoßen. Auf der Auktionsplattform eBay stießen die Mitglieder des CCC auf mehrere Angebote solcher Geräten und konnten folgende Exemplare ersteigern:

  • 4 Geräte des Typs SEEK II (Secure Electronic Enrollment Kit) und
  • 2 Geräte des Typs HIIDE 5 (Handheld Interagency Identity Detection Equipment)

Diese Geräte wurden im Anschluss forensisch durch den CCC untersucht. Anhand der untersuchten Geräte zeigt sich eine verantwortungslose Sorglosigkeit des US-Militärs und der Hersteller. Die Daten waren unverschlüsselt auf den Geräten abgelegt, der Zugang erforderte zwar ein Passwort. Hier reichte aber das Standard-Passwort, welches jeweils dokumentiert ist. Eine auf den Geräte gespeicherte Standard-Datenbank ließ sich problemlos exportieren.

Bei der Analyse dieser exportierten Datenbank fanden sich Namen und biometrische Daten zweier US-Militärs, GPS-Koordinaten vergangener Einsatzorte sowie eine umfassende Biometrie-Datenbank mit Namen, Fingerabdrücken, Iris-Scans und Fotos von 2.632 Personen, wie der CCC hier schreibt. Das Gerät mit dieser Datenbank war zuletzt Mitte 2012 irgendwo zwischen Kabul und Kandahar eingesetzt worden.

Der CCC informierte den Hersteller der SEEK-Geräte, Crossmatch Technologies (heute: HID Global), und das US Department of Defense sowie die deutsche Bundeswehr über die Schwachstelle. Insbesondere wurden die verantwortlichen Stellen auch darauf hingewiesen, dass gebrauchte Geräte mit hochsensiblen Daten einfach im Internet bestellt werden können. Das Datenleck scheint jedoch niemanden zu kümmern, schreibt der Chaos Computer Club.

„Der verantwortungslose Umgang mit dieser Risiko-Technologie ist unfassbar“, sagte Matthias Marx, der die CCC-Forschungsgruppe geleitet hat. Die Konsequenzen sind lebensbedrohlich für die vielen Menschen in Afghanistan, die von US- und Bundesregierung im Stich gelassen wurden. „Uns ist unbegreiflich, dass es den Hersteller und die militärischen ehemaligen Nutzer nicht kümmert, dass gebrauchte Geräte mit sensiblen Daten online verhökert werden“, so Marx weiter.

Diese Entwicklung war vorherzusehen, denn biometrische Datenbanken lassen sich nicht wirksam und nicht dauerhaft gegen illegitime Interessen sicheren. Der aktuelle Fall aus Afghanistan ist nur ein Vorgeschmack auf viele zukünftige Biometrie-Datenbanken, die in die falschen Hände geraten, so der CCC. Der CCC hat die Ergebnisse am 27.12.2022 präsentiert (siehe dieses Dokument) und diese Meldung dazu herausgegeben.

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

13 Antworten zu Chaos Computer Club ersteigert Biometrie-Geräte des US-Militärs mit Biometrischer Datenbank aus Afghanistan

  1. janil sagt:

    Jaja, der MIK, Erst Afghanistan in die Steinzeit zurück Bomben und dann mittels eines weißblond behaarten Mannes, die Gesellschaft auch noch auf das Niveau von Kupfer-Meißel und Steinhammer zurückwerfen. Und genau diesen gesellschaftlichen Führern jetzt auch noch das Auffinden unliebsamer Leute erleichtern.
    Sollte es einen Herrn über uns geben, der muss doch nur noch am Heulen sein und über eine nochmalige Sintflut nachdenken. Achja, die ist ja eventuell schon in Planung und Ausführung.

    • Luzifer sagt:

      ist doch alles Gottes Plan … wir verstehen den Sinn da nur nicht, wir sind eben nicht Gott! ;-P

      b2t: Tja das ist das blöde an der Technik, fällt sie in die falschen Hände, richtet sie Schaden an und trotzdem ist der Homo Saphiens allzugerne bereit seine Daten überall zu verbreiten und zu hinterlassen und aus der Hand zu geben. Im Web 2.0 Zeitalter für zweifelhafte „Follower“ und „Fame“ in (a)sozialen Netzen … vernunfbegabt? Wohl eher nicht! Gottes größter Fehler!

  2. OwenBurnett sagt:

    Es sollte einfach illegal sein biometrische Daten von bürgern zu sammeln welche sich nicht bereits schlimer Straftaten schuldig gemacht haben.
    Basta

  3. Stephan sagt:

    Passiert sicher alles im Sinne um KiPos zu Verhindern…wie es so gerne Behauptet wird.
    Dieses totschlag Argument wird doch mittlerweile von allem und jedem benutzt.

  4. Guten Morgen. sagt:

    Die Amis haben auf die lokalen Herausforderungen technisch innovativ, effektiv und effizient reagiert, denn dort hat niemand einen Ausweis und jeder 10 verschiedene Namen. Vertrauen ist gut, Kontrolle ist besser. Sie wollten in ihren Basen keine Taliban einsickern und Anschläge begehen lassen, sie konnten mit Systemen wie diesen jede Person, die Vertragsarbeiter, Dolmetscher usw. am Checkpoint eindeutig zuordnen und nach bestandener Identitätskontrolle in die Basis einlassen.

    • R.S. sagt:

      Das ändert aber nichts daran, das die Daten auf solchen Systemen grundsätzlich verschlüsselt werden müssen.
      Und das diese Systeme niemals in fremde Hände gelangen dürfen.

      • Guten Morgen. sagt:

        Richtig. Mit meiner Erklärung habe ich sachliche Argumente für die Verwendung dieser Systeme angeführt, um anderen Mitschreibern hier, die Sinn und Zweck der Geräte nicht erkannt hatten, zu entgegnen,

  5. Teletom sagt:

    Genau das, was hier passiert ist, ist das Problem mit zentralen Registern. Der CCC hat hiermit nur einen konkreten Beweis beigebracht, für das, was von Politkern und „Sauberleuten“ gerne in den Bereich von „Verschwörungstheorien“ geschoben wird.

    Angeblich sollen sich die Holländer mal damit gerühmt haben, das seinerzeit modernste Bevölkerungsregister gehabt zu haben, das sogar die Religionszugehörigkeit erfasst hat. Die Nationalsozialisten sollen hoch erfreut gewesen sein, dass ihnen die Vorarbeit schon abgenommen war.

    Und genau deswegen hatte sich Deutschland nach dem Krieg, als die Demokratie noch jung und vital war, für dezentrale Strukturen entschieden, ausser beim Flensburger Register. Mittlerweile wird aber jede Gelegenheit (jede „Schweinerei“) genutzt, zentrale Register aufzubauen, staatlich, z.B. Impfregister, und privat bis halbstaatlich, z.B. elektronische Krankenakte.

    Das Problem ist, „die Menschen“ lernen nicht aus der Geschichte. Und Prinzipien, wie das der Datensparsamkeit, werden nicht angewendet.

    Soll ich, wenn ich kein Experte bin, um eine Schlange einen Bogen machen? Heutzutage wird argumentiert: „Es ist ja nicht bewiesen, dass die Schlange giftig ist, also brauche ich keinen Bogen machen.“ Früher hätte man gesagt: „Ich kann das nicht beurteilen, also bin ich lieber vorsichtig.“ Man könnte die Schlange durch „Internetmonokultur“, „Klimawandel“, „Social Credits“, „Automobile Betriebsdaten“ etc. ersetzen. Wie ich schon in einem anderen Kommentar schrieb, die Mehrheit nimmt es nicht wahr oder geht sehenden Auges mit kognitiver Dissonanz in diese Zentralisierung. Die wahrnehmende Minderheit hat schon seit sehr langer Zeit Bauchschmerzen.

    • Cornelia sagt:

      >Man könnte die Schlange durch „Internetmonokultur“, „Klimawandel“, „Social Credits“, „Automobile Betriebsdaten“ etc. ersetzen.<
      Warum der Klimawandel in der Liste ist, verstehe ich nicht. Dem kann ich nicht ausweichen bzw. der vollzieht sich auch, wenn ich persönlich versuche, etwas dagegen zu machen.

      Ansonsten ist der Kommentar absolut korrekt.
      Zentrale Register mögen für manche Aspekte hilfreich oder sogar nötig sein. Dass darin aber nur das absolute Minimum an Daten stehen sollte, wird leider oft nicht beherzigt.
      Gegebenenfalls sollten sensible Zusatzinformationen wenigstens (mittels Verknüpfung einer zufällig gesetzten ID/Chiffre) in einer separaten Datenbank gespeichert sein, damit das Risiko, dass alle Daten gleichzeitig in dieselben falschen Hände gelangen, entsprechend gering ist.
      Fiktives Beispiel:
      Wenn jemand der Biometrischen Datenbank nur entnehmen könnte, dass die Person mit der Chiffre 6F3B81X39 am 12.10.2019 um 17:46 ausserhalb von Kabul durch den Checkpoint 5 ging, ohne dabei zu erfahren, dass hinter der Chiffre 6F3B81X39 die Person Abdul Mohammed steht, nützte dem Leser die Information herzlich wenig. Selbst wenn zur Chiffre 6F3B81X39 noch mehrere andere Einträge in der Datenbank vorlägen, würde das keinen direkten Rückschluss auf die Person geben.

      • Teletom sagt:

        Hallo Cornelia. Kurze Antwort, weil ziemlich offtopic: Klimawandel wird ja auf allen Niveaus (Stammtisch bis akademisch) diskutiert, besonders kontrovers die Frage, ob aktuell anthropogen = beeinflussbar oder unabhängig vom „Stoffwechsel der Menschheit“ = unbeeinflussbar. Das eine Lager sagt „unbeeinflussbar“, folglich Gaspedal bis zum Anschlag, bevor „der Chinese“ „unser Öl“ aufbraucht, das andere Lager meint „komplett beeinflussbar“, deswegen alles verbieten.

        Der Vorsichtige, welcher bei entsprechendem Alter schon in den 80ern angefangen hätte, sich richtig zu verhalten, könnte sagen, auch wenn unbeeinflussbar vom Menschen, gibt es trotzdem keinen vernünftigen Grund, nicht ressourcensparend zu arbeiten. Sollte es aber doch beeinflussbar sein, macht das Sparen von Ressourcen um so mehr Sinn. Gleichzeitig hätte die frühzeitige, moderate Vorgehensweise hektische und drastische Einschnitte verhindern können und die Gesellschaft wäre weniger gespalten.

        Zusammengefasst: Datensparsamkeit ist gut, Ressourcensparsamkeit auch, egal ob Klimawandel anthropogen oder nicht. – Nur meine 2 Cents, du darfst anderer Meinung sein. …und offtopic off.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert