Sensible Daten im Netz sind unverschlüsselt zugänglich

Im 21. Jahrhundert ist es keine Seltenheit, Fingerabdrücke und andere biometrische Merkmale als Zugangsdaten zu benutzen. Diese Daten gelten als besonders sensibel, weil sie einmalig sind. Im Gegensatz zu einem Passwort kann ein Fingerabdruck nicht einfach geändert werden.

Umso grösser ist der Schock deshalb bei folgendem Fall: Bei einer Biometrie-Firma wurde ein enormes Datenleck entdeckt. Nun gibt es die hochsensiblen Daten im Netz: ungeschützt und unverschlüsselt standen rund eine Million Fingerabdrücke online.

Die Daten stammen von der Plattform «Biostar 2» der koreanischen Sicherheitsfirma Suprema. Die Firma ist nach eigenen Angaben der europäische Marktführer bei biometrischen Zutrittskontrollsystemen.

«Biostar 2» arbeitet mit Fingerabdrücken oder Gesichtsscans. Dies geschieht auf einer webbasierten Plattform für intelligente Türschlösser. Mit dieser Software können Unternehmen die Zugangskontrolle für ihre Büros oder Lagerhallen selbst organisieren. Laut «Guardian» wird das System sogar von der britischen Polizei und mehreren Unternehmen aus der Rüstungsindustrie sowie Banken genutzt.

Sicherheitsforscher erklärten: «Das Leck ist riesig. Es gefährdet nicht nur betroffene Geschäfte und Organisationen, sondern auch die Angestellten.»

Auf über 27,8 Millionen Datensätze und 23 Gigabyte Daten hatten die Forscher Zugriff. Unter den Daten im Netz waren auch Fingerabdruck- und Gesichtserkennungsdaten, Gesichtsfotos von Nutzern, unverschlüsselte Benutzernamen sowie Passwörter. Aber auch Protokolle über den Zugang zu den Einrichtungen, Sicherheitsstufen und -freigabe sowie persönliche Daten des Personals waren vorhanden.

Besonders gefährlich: Man hätte die Daten im Netz in den Firmenkonten neu anlegen und manipulieren können. «Böswillige Agenten könnten das Leck nutzen, um sichere Einrichtungen zu hacken und die Sicherheitsprotokolle für kriminelle Aktivitäten zu manipulieren.»