Gratis
14. August 2018 - Sicherheitslücken in Meldeämtern

Schützen Behörden biometrische Kennzeichen zu wenig?

Drucken

Das auf Sicherheits-Software spezialisierte Unternehmen G-Data bemängelt in einem Bericht, wie Behörden mit biometrischen Daten der Bürger umgehen. Die Sicherheitslücken könnten weitreichende Folgen haben.

Biometrische Daten sind oft ungenügend abgesichert Biometrische Daten sind oft ungenügend abgesichert (Bild: Lev Levitan / iStock /Getty Images)

Laut Fernsehbericht in der ARD findet im sogenannten Darknet ein schwunghafter Handel mit biometrischen Kennzeichen statt. Wer zahlungskräftig genug ist, kann sich so rasch eine neue Identität zulegen.

Dabei stellt sich die Frage, woher die Kriminellen etwa die Fingerabdrücke der Opfer in digitaler Form erhalten haben.

Unverschlüsselte Datenleitung zwischen Sensor und PC

In diesem Zusammenhang weist das Unternehmen G-Data auf den problematischen Umgang mit Fingerabdruck-Sensoren etwa in Meldeämtern hin.

Denn die Übertragung zwischen dem Fingerabdruck-Sensor und dem angeschlossenen PC erfolgt unverschlüsselt. Und dies ist offenbar bereits seit mehr als zehn Jahren der Fall.

Der Vorwurf lautet, dass sich die Hersteller von Smartphones anscheinend deutlich mehr Gedanken über die Sicherheit der Fingerabdrücke machten, als es die Behörden täten.

Die G-Data-Autoren kritisieren den Widerspruch zwischen dem Verhalten der Behörden und der von der Datenschutz-Grundverordnung (DSGVO) geforderten Praxis beispielsweise in Webshops.

So müssten Onlinehändler und Unternehmen im Zweifel nachweisen, dass die Übertragung von personenbezogenen Daten sicher und verschlüsselt erfolge. Die Behörden würden aber eine solche Sicherheitslücke einfach tolerieren.

Problem sind Datenbanken mit biometrischen Kennzeichen

In der Praxis dürfte es schwierig, allerdings nicht unmöglich sein, die Fingerabdrücke bereits während des Scannens zu erbeuten. Das sei mit hohen Risiken für den Kriminellen verbunden.

Deswegen lenken die Autoren den Blick auf ein anderes potenzielles Angriffs-Szenario. Denn wie der sogenannte „Bundestagshack“ gezeigt habe, sind staatliche IT-Strukturen nicht unverwundbar.

Für Kriminelle sei es ohnehin zielführender, sich den Datenbanken zuzuwenden, die die biometrischen Kennzeichen speichern. Die Ausbeute ist im Erfolgsfall sehr viel höher.

Und die Folgen sind für den einzelnen Bürger im Zweifel gravierend. Da sich ein Fingerabdruck nicht einfach wie ein Passwort ändern lässt, kann ein erbeutetes biometrisches Merkmal für das Opfer über viele Jahre spürbare Konsequenzen haben.

Begehen die Diebe damit Straftaten, trägt im schlimmsten Fall ein Unschuldiger die Konsequenzen.

Auch für Unternehmen wichtig

Die kritischen Anmerkungen von G-Data sind nicht von der Hand zu weisen. Sie regen auch zum Nachdenken über das Thema innerhalb von Unternehmen an, die beispielsweise IT- und Schließsysteme mittels Biometrie sichern.

Die Technologie ist zwar aus Anwendersicht einfach. Das bedeutet aber eben nicht automatisch sicher. Wer auf höchstmögliche Sicherheit wert legt, muss sich über Kombinationen der Technologien Gedanken machen, beispielsweise über

  • Biometrie und Passwörter, oder
  • Biometrie mit Hardware-Tokens, die Einmalpasswörter erzeugen.

Unternehmen sollten auch die Maßnahmen genau unter die Lupe nehmen, die sie ergriffen haben, um die gespeicherten biometrischen Kennzeichen zu sichern.

Stephan Lamprecht