CCC ersteigert Biometriegeräte inklusive Daten des US-Militärs auf eBay

Mitglieder des Chaos Computer Club (CCC) haben nachgewiesen, dass die Taliban mit von den NATO-Truppen zurückgelassenen Geräten Menschen identifizieren könnten, die sie als ihre Feinde betrachten. Seit 2011 hatten das US-Militär und seine Verbündete massenhaft Menschen in Afghanistan biometrisch erfasst. Einige der dazu genutzten Geräte haben die NATO-Truppen beim hastigen Abzug im August 2021 zurückgelassen, andere tauchen in eBay-Auktionen auf.

Sicherheitsforscher um den Hamburger Informatiker und CCC-Sprecher Matthias Marx haben im März 2022 offenbar problemlos mehrere dieser Biometriegeräte bei Händlern ersteigert, die sich auf den Verkauf von Altbeständen des US-Militärs spezialisiert haben, wie der CCC und BR24 berichten. Laut CCC handelt es sich um vier Geräte des Typs SEEK II (Secure Electronic Enrollment Kit) und zwei Geräte des Typs HIIDE 5 (Handheld Interagency Identity Detection Equipment).

Ungeschützte Biometriedaten

Marx und seine Kollegen haben daraufhin die Geräte forensisch untersucht und fanden nach eigenen Angaben heraus, dass sie zur Identifikation von Personen genutzt wurden, unter anderem an Check-Points bei der Fahndung nach Gesuchten, oder zur Zugangskontrolle für Ortskräfte. Aus technischer Sicht seien "die Untersuchungen der gebrauchten Geräte geradezu langweilig" gewesen, betonte der CCC: Sämtliche Datenträger waren unverschlüsselt. Als Zugangsschutz musste lediglich ein gut dokumentiertes Standardpasswort eingegeben werden. "Taliban könnten diese Geräte sofort einsetzen", sagte CCC-Sprecher Marx im BR-Interview. "Es gibt praktisch keine Hürde."

Was die CCC-Forscher auf den Geräten entdeckten, ist brisant. So befanden sich darauf Namen und biometrische Daten zweier US-Militärs, GPS-Koordinaten vergangener Einsatzorte sowie eine umfassende Biometrie-Datenbank mit Namen, Fingerabdrücken, Iris-Scans und Fotos von 2632 Personen. Das Gerät mit dieser Datenbank sei den ausgelesenen Informationen zufolge zuletzt Mitte 2012 irgendwo zwischen Kabul und Kandahar eingesetzt worden.

Laut BR werden manche der Personen in den Daten eindeutig als ehemalige Mitglieder der Polizei und des Militärs ausgewiesen. Andere hätten Zugang zu westlichen Militärstützpunkten gehabt. "Mit solchen Daten könnten die Taliban sehr leicht nachvollziehen, ob bestimmte Personen für das Militär gearbeitet haben", so IT-Experte Marx im BR-Interview.

Kein Interesse an Aufklärung

Dem BR-Bericht zufolge fand sich in der Datenbank auch ein Eintrag, der von der Bundeswehr stammen könnte. Er sei mit dem Kürzel "GER" versehen. Das Bundesverteidigungsministerium habe auf Anfrage mitgeteilt, dass keine Informationen zu dem Sachverhalt vorlägen. Von der Bundeswehr genutzte Geräte seien mit Missionsende an die Nato-Missionsführung zurückgegeben worden.

Der CCC betont, er habe nach den Funden den Hersteller der SEEK-Geräte, Crossmatch Technologies, über die Schwachstelle informiert. Insbesondere habe man die verantwortlichen Stellen von US-Verteidigungsministerium und Bundeswehr auch darauf hingewiesen, dass die gebrauchten Geräte einfach im Internet bestellt werden konnten. Das Datenleck schien jedoch niemanden zu kümmern: "Von der Bundeswehr erhielten wir eine Empfangsbestätigung, das Department of Defense verwies uns freundlich an den Hersteller, und der Hersteller unternahm nichts. Zweieinhalb Monate nach unserer Meldung konnten wir ein weiteres Biometriegerät online bestellen."

Die Konsequenzen seien lebensbedrohlich für die vielen Menschen in Afghanistan, die von US- und Bundesregierung hemmungslos im Stich gelassen wurden, erklärte CCC-Sprecher Marx: "Uns ist unbegreiflich, dass es den Hersteller und die militärischen ehemaligen Nutzer nicht kümmert, dass gebrauchte Geräte mit sensiblen Daten online verhökert werden."

(hob)