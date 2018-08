Identifizierung mit dem eigenen Fingerabdruck, der Iris oder der Stimme - das klingt sicher. Dabei haben Cyberkriminelle längst Möglichkeiten gefunden, diese Daten zu stehlen.

Von Sabina Wolf, BR

Weltweit werden Millionen biometrische Daten gestohlen. Der kriminelle Handel mit ihnen im Dark Web ist das neue Geschäft der Cyber-Mafia. Nach Recherchen der Story im Ersten sind bereits heute viele Millionen Menschen weltweit von biometrischem Datendiebstahl betroffen.

Im sogenannten Dark Web werden mittlerweile auch Hunderte Ausweise mit biometrischen Daten angeboten. Den Reportern wurde von Kontaktleuten ein Reisedokument mit freier Wahl der biometrischen Merkmale für 3000 Euro angeboten. Die europäische Grenzagentur Frontex bestätigt auf Anfrage, es gebe "einige Fälle von gefälschten Pässen mit einem manipulierten Chip in der EU und im Schengenraum." Der Chip speichert dabei die biometrischen Merkmale.

Biometrische Daten können gefälscht und geklaut werden.

Die biometrischen Daten werden meist aus riesigen Datenbanken abgefischt. In Indien sprachen die Reporter der Story im Ersten mit vielen Personen, deren Fingerabdrücke gestohlen wurden. Einer Journalistin vor Ort gelang der Nachweis, dass die größte biometrische Datenbank der Welt mit 1,2 Milliarden Daten nicht zugriffssicher ist.

Deutsche Systeme nicht sicher

Ein weiteres Einfallstor für die Kriminellen sind schlecht gesicherte Übertragungssysteme. Im Versuch zeigt der Cyber-Sicherheitsexperte Gunnar Porada eine seit zehn Jahren bestehende Sicherheitslücke bei Fingerabdruckscannern, die bei deutschen Einwohnermeldeämtern im Einsatz sind.

Die Übermittlung des Fingerabdrucks erfolgt unverschlüsselt vom Gerät zum Computer. Dieser Übertragungsweg ist angreifbar: "Dadurch, dass ein Angreifer Zugriff auf die Bilddaten hat und die nichts anderes sind als die Fingerabdrücke, kann er sie kopieren oder manipulieren und für kriminelle Aktionen nutzen." Im Gespräch mit Story im Ersten räumt der Hersteller des Behörden-Scanners, die Firma Dermalog, die Sicherheitslücke ein. Die Firma gehört zum bundeseigenen Unternehmen Bundesdruckerei. Das Bundesinnenministerium dagegen hält das eingesetzte Gerät für "angemessen sicher".

Terroristen nutzten gefälschte Fingerabdrücke

Auch Terroristen haben gestohlene biometrische Daten bereits eingesetzt. So nutzte die Terrormiliz "Islamischer Staat" (IS) gefälschte Fingerabdrücke für Finanztransaktionen. In der osttürkischen Stadt Kirsehir verhaften Ende 2017 türkische Beamte zehn Mitglieder des IS, die in ihrem Haus Fingerabdruckformen lagerten. Die Formen hatten zur Herstellung von Fingerabdrucküberzügen gedient.

Der sogenannte "Islamische Staat" setzte gefälschte Fingerabdrücke für Finanztransaktionen ein.

Sicherheitsexperten warnen vor dem zu sorglosen Einsatz digitalisierter biometrischer Merkmale als Zugangscodes für die Anmeldung mit dem Handy, beim Bankkonto oder beim Smart-Home-System. Über die Qualität der eingesetzten Software könne man als Verbraucher wenig wissen, so Udo Helmbrecht, Chef der Europäischen Agentur für Netz- und Informationssicherheit ENISA. Man müsse darauf hoffen, dass der Hersteller es ordentlich gemacht habe. Helmbrecht setzt sich seit Jahren für eine IT-Haftung ein, sieht sie aber im Moment als "politisch schwierig umzusetzen".

Den eigenen Fingerabdruck gibt es nur einmal

Sicherheitsexperte Gunnar Porada geht noch einen Schritt weiter: "Die Erfahrung hat gezeigt, dass bislang eigentlich alle Datenbanken hackbar sind und auch gehackt wurden. Die Verwendung von biometrischen Daten in Computersystemen ist deswegen unsicher." Das große Problem: Wenn biometrische Daten in kriminelle Hände geraten, sind sie für immer verloren. Den eigenen Fingerabdruck gibt es schließlich nur einmal.

