Gratis
23. August 2019 - Technischer Datenschutz

Millionen biometrischer Kennzeichen im Netz aufgetaucht

Drucken

Viele Menschen nutzen die an sich praktische Funktion, ihr Smartphone per Fingerabdruck oder Gesichtserkennung zu entsperren. Solche biometrischen Systeme setzen auch Unternehmen immer häufiger zur Zutrittskontrolle ein. Wie ein aktueller Fall zeigt, ist das nicht ohne Risiko.

Biometrische Daten erfordern besondere Sicherungsmechanismen (Bild: iStock.com / guvendemir)

Gerade wenn es darum geht, biometrische Merkmale zu speichern, sollten besondere Sicherheitsvorkehrungen gelten.

Denn bei einem Missbrauch dieser sensiblen personenbezogenen Daten können sich für den Betroffenen erhebliche Nachteile ergeben.

Umso erstaunlicher ist ein Biometrie-Datenleck, über das verschiedene Medien berichten.

30 Millionen Datensätze im Netz

Die beiden Experten Noam Rotem und Ran Lokar aus Israel, die für das Unternehmen vpn Monitor arbeiten, konnten aus einem System fast 30 Millionen Datensätze kopieren. Darunter befanden sich Fingerabdruck- und Gesichtserkennungs-Daten sowie Gesichtsfotos von Benutzern.

Die Informationen lagen im betroffenen System unverschlüsselt vor. Die Experten mussten also lediglich die Zugriffsbarrieren überwinden.

Die Daten selbst stammen vom System „Biostar 2“ der koreanischen Sicherheitsfirma Suprema. Sie bezeichnet sich selbst als einen der Marktführer bei biometrischen Sicherheits-Systemen.

Mit der Software-Lösung können Unternehmen die Zugangskontrolle zu Büros mittels intelligenter Türschlösser und Scannern für Fingerabdrücke und Gesichter selbst einrichten und verwalten.

Sicherheitslücke geschlossen

Das Unternehmen Suprema hat als Ergebnis des Vorfalls die Lücke im System, die die Sicherheitsexperten ausgenutzt hatten, inzwischen geschlossen.

Ob daraus folgt, dass die Informationen der Benutzer damit zukünftig auch verschlüsselt gespeichert werden, ist noch nicht bekannt.

Vorsicht bei Speicherung biometrischer Kennzeichen

Biometrische Kennzeichen ohne eine entsprechende Verschlüsselung abzulegen, ist äußerst gefährlich.

Sofern Unternehmen auf biometrische Kennzeichen setzemn, um ihre Systeme abzusichern, sollten die Verantwortlichen unbedingt darauf achten, dass statt der Aufnahmen von Fingerabdrücken oder Gesichtern lediglich Rechenmodelle dieser Merkmale für den Abgleich genutzt werden bzw. aus den Personen-Kennzeichen ein Hash-Wert erzeugt wird, den die Systeme für die Prüfung verwenden.

Besonderes Augenmerk sollten Unternehmen auch auf das Speichersystem legen. Das gilt umso mehr, wenn in diesem Zusammenhang Informationen in der Cloud gespeichert oder verarbeitet werden sollten.

Unverschlüsselte biometrische Kennzeichen ermöglichen nicht nur die Zuordnung zu einer bestimmten Person. Angreifer könnten sie auch dazu nutzen, die Identität des Betroffenen für kriminelle Zwecke zu missbrauchen.

Und das wäre ein besonders schwerer Verstoß gegen die Einhaltung der Datensicherheit und des Datenschutzes und damit entsprechend mit einer Geldbuße durch die Datenschutz-Aufsichtsbehörden zu ahnden.

Stephan Lamprecht