Der große Gesichtsverlust im Netz

Mehr als eine Million Fingerabdrücke und weitere 26 Millionen Datensätze zur Gesichtserkennung, Passwörtern und Nutzernamen waren ungeschützt über das Netz zugänglich.

Der Vormarsch biometrischer Daten ist nicht mehr aufzuhalten. In Reisepässen, auf Smartphones, überall hinterlegen wir unsere Fingerabdrücke und unsere biometrischen Gesichtsdaten. Sie machen uns Menschen unverwechselbar und auch deshalb sollte ihnen besonderer Schutz eingeräumt werden. Nun zeigen israelische Sicherheitsforscher, dass ausgerechnet jenes Unternehmen, das sich als "globaler Anbieter von Biometrie und Sicherheit" versteht, eben jene Daten ungesichert im Netz liegen lässt.

Suprema ist ein Anbieter von biometrischen Zugangssystemen für Gebäude. Auf die Dienste des Unternehmens setzen nicht nur Rüstungsunternehmen Banken, Sicherheitsunternehmen, sondern auch die britische Metropolitan Police und zum Teil Samsung.

So sicher ihre Anwendungen auch sein mögen, ihre Datenbanken haben sie nicht abgesichert. Wie die Sicherheitsexperten Noam Rotem und Ran Lokar auf der Webseite VpnMentor berichten, waren knapp 28 Millionen Fingerabdrücke, Gesichtsdaten, Passwörter und Nutzernamen von der Plattform "Biostar 2" im Netz zugänglich.

Dabei handelt es sich um eine Web-Plattform für intelligente Schlösser. Damit können Unternehmen Zugangskontrollen für Büros oder Lagerhallen selbst verwalten. Nur wer in diesem System mit all den erforderlichen Daten hinterlegt ist, hat auch Zugang.

Daten wären leicht manipulierbar gewesen

Die beiden Sicherheitsforscher geben an, dass sie über die Schwachstelle vollständige Kontrolle über die 27,8 Millionen Datensätze hatten. So hätten sie Fitnessstudio-Kunden in Indien und Sri Lanka aussperren können, oder Angestellte eines Co-Working-Büros in den USA. Zudem berichten sie, dass sie auch jederzeit neue Benutzer hätten anlegen können. Einfach über den Browser von zuhause aus.

Ein Vertreter von Suprema sagte dem Guardian, man prüfe den Bericht "eingehend" und werde Kunden sofort informieren, sollten sie in Gefahr sein. Für die Sicherheitsforscher ist sie auf jeden Fall vorhanden. Denn nach ihren eigenen Angaben sei es auch möglich gewesen Admin-Passwörter im Klartext auszulesen.

Das Problem ist weitaus massiver, als gehackte Datenbanken mit Passwörtern und Email-Adressen. Zwar sind diese auch nicht auf die leichte Schulter zu nehmen, aber mit biometrischen Daten ist das Fälschen von Reisepässen, Personalausweisen und somit auch der Identitätsdiebstahl möglich.

>>> Guardian