Thought Leadership

Image
Fingerabdruck
Terror-Biometrie

Technologiefirmen ebenso wie Sicherheitsbehörden versuchen uns gerne glaubhaft zu vermitteln, dass die Identifizierung durch biometrische Daten – Fingerabdruck, Irisscan, Gesichts- oder Stimmerkennung – besonders zuverlässig, ja, geradezu 100 prozentig sicher sind. Das entspricht keineswegs der Wahrheit. Cyber-Terroristen haben längst einen Weg gefunden, biometrische Daten im großen Stil zu stehlen. Im Darknet – also im verborgenen Teil des Internets – existiert bereits ein florierender krimineller Handel mit Millionen geklauter biometrischer Identitäten. Ein Ausweis mit biometrischen Daten der betroffenen Person ist für rund 3000 Euro zu haben.

Frontex stellt manipulierte Chips sicher

Frontex, die Grenzschutzagentur der Europäischen Union, gibt „einige Fälle von gefälschten Pässen mit einem manipulierten Chip in der EU und im Schengenraum“ zu. Vermutlich handelt es sich dabei jedoch bereits um einige hundert derartiger Fälle und die Zahl wird weiter ansteigen. Dann befinden sich in einigen Jahren zigtausende Ausweise mit Biochips – also Chips, auf denen die biometrischen Daten vermeintlich sicher gespeichert sind – im Besitz krimineller Organisationen. Die Folgen für uns persönlich und vermutlich auch für die Wirtschaft der einzelnen Länder können aktuell noch gar nicht abgesehen werden.

Millionen von Personenprofilen

Die gestohlenen Daten stammen überwiegend aus Großdatenbanken, in denen Tausende und oftmals Millionen von Personenprofilen gespeichert werden. Bereits im August 2018 gelang der ARD-Journalistin Sabine Wolf der Nachweis, dass die größte biometrische Datenbank der Welt mit 1,2 Milliarden Daten nicht sicher ist. Im gleichen Jahr wies der Sicherheitsexperte Gunnar Porada auf eine seit zehn Jahren bestehende Sicherheitslücke bei Fingerabdruckscannern hin, die auch bei deutschen Einwohnermeldeämtern im Einsatz sind. Die klaffende Lücke: Die Übermittlung des Fingerabdrucks zwischen Erfassungsgerät und Computer erfolgt unverschlüsselt, ist also mithin leicht abgreifbar. Der Hersteller des Behördenscanners Dermalog räumte den Fehler ein. Die Firma gehört zum bundeseigenen Unternehmen Bundesdruckerei. Das Bundesinnenministerium hingegen wiegelte ab und stufte das Gerät als „angemessen sicher“ ein. Wenn es noch eines weiteren Beweises gebraucht hätte, um das geringe Sicherheitsbewusstsein der deutschen Behörden beim Umgang mit personenbezogenen und speziell biometrischen Daten zu dokumentieren, dann ist es dieser Einlass des Bundesinnenministeriums. Der Bundesinnenminister in dieser Zeit hieß übrigens Horst Seehofer, ein Mann, der sich seit langem mit „Law and order“ politisch zu profilieren versucht. Rigorose Grenzkontrollen gegen Flüchtlinge ist sein politisches Credo, um die Sicherheit der Bundesrepublik Deutschland zu stärken. Verständnis für technologische Kriminalität gehört wohl nicht zu seinen Stärken.

Schon Ende 2017 verhaftete übrigens die türkische Polizei in der osttürkischen Stadt Kirsehir zehn Mitglieder der Terrororganisation „Islamischer Staat“ (IS), die in ihrem Haus Fingerabdruckformen lagerten. Die Formen hatten zur Herstellung vom Fingerabdrucküberzügen gedient. Nachweislich nutzte der IS gefälschte Fingerabdrücke für illegale Finanztransaktionen.

Warnung vor sorglosem Umgang

Udo Helmbrecht, Chef der Europäischen Agentur für Netz- und Informationssicherheit, ENISA, wird nicht müde, Verbraucher vor dem sorglosen Umgang mit digitalisierten biometrischen Merkmalen zu warnen. Handy, Bankkonto oder Smarthome: In keinem Fall können wir überprüfen, wie sicher die eingesetzten Geräte und vor allem auch die verwendete Software tatsächlich sind. Sorglos werden wir in Zukunft unsere Fingerabdrücke, unsere Gesichtsmerkmale, unsere Iris und vieles mehr preisgeben, um modern zu sein. Die verwendete Hardware und Software kommt in vielen Fällen aus den USA, oftmals stecken in Asien gefertigte Chips in den Geräten. Die Speicherung unserer Daten in der Cloud lassen wir in der Regel zu, damit wir alle unsere Geräte mit unserer biometrischen Erkennung nutzen können. Wieder einmal fegen Bequemlichkeit, Gedankenlosigkeit – und in vielen Fällen schlichtweg Unkenntnis – alle eventuellen Sicherheitssorgen weg.

Der große Trugschluss besteht darin zu glauben, dass biometrische Daten zu 100 Prozent sicher sind. Unseren Fingerabdruck gibt es nur einmal, ebenso unsere Iris oder unser Gesicht. Abgesehen davon, dass auch hier Verwechslungen und Irrtümer nicht nur möglich, sondern auch nachweisbar sind, vergessen wir gerne die nachgeordneten Systeme. Die biometrischen Daten werden erfasst, zum Computer übertragen, in die Cloud geschickt, in eine Datenbank aufgenommen, auf Servern gespeichert und bei einer Abfrage übermittelt. Das alles birgt potenzielle Schwachstellen für Hackerangriffe. Der Verbraucher, der seine Iris, seine Fingerabdrücke oder seine Gesichtsmerkmale einem Gerät anvertraut, besitzt normalerweise keine Ahnung und keinerlei Kontrolle vom Sicherheitsniveau des jeweiligen Gerätes und vor allem nicht von der nachgeordneten Verarbeitungskette.

Für immer verloren

Das Schlimmste dabei: Wenn biometrische Daten einmal in die falschen Hände geraten, sind sie sozusagen für immer verloren. Wenn unser Passwort geknackt wird, können wir es sperren und uns ein neues ausdenken, das wir fortan verwenden. Aber wir können uns keine neuen Fingerkuppen zulegen, nicht einfach unsere Gesichtszüge ausreichend verändern oder uns neue Augen besorgen. Hersteller und Behörden wollen uns vorgaukeln, dass die biometrische Sicherheit am höchsten ist. Was dabei gerne vergessen wird: Sie ist auch am gefährlichsten.