Biometrische Daten – Gefahr für afghanische Ortskräfte

Zurückgelassene Geräte zur Erfassung biometrischer Daten gefährden afghanische Ortskräfte. Im August 2021 berichteten verschiedene Medien, dass die Taliban Biometrie-Geräte des US-Militärs erbeutet haben (zuerst theintercept.com, 4 min). Dies weckte die Neugier von IT-Sicherheitsforschern des Chaos Computer Clubs (CCC). Bei ihrer Analyse gebrauchter Biometrie-Geräte stießen sie auf die ungeschützten biometrischen Daten von 2632 Afghanen und Irakern. Einer der Forscher ist GI-Junior-Fellow Matthias Marx, der hier von der Recherche berichtet. 

Nach dem Abzug der NATO aus Afghanistan stand zumindest theoretisch die Gefahr im Raum, dass die Taliban mit den erbeuteten Biometrie-Geräten von Haus zu Haus ziehen könnten, um Ortskräfte zu identifizieren. Experten zufolge sollten die Taliban zwar weitere Technik benötigen, um die Geräte nutzen zu können. Diese könnte jedoch vom pakistanischen Geheimdienst bereitgestellt werden (netzpolitik.org, 5 min). So begannen wir uns für die Geräte zu interessieren. 

Zunächst haben wir das Internet nach Informationen durchforstet. Dabei stießen wir auf umfangreiches Material: Anleitungen und Broschüren, mehrere Bücher, ein Lehrvideo und auf Wikileaks veröffentlichte Dokumente. So konnten wir nachvollziehen, wie die Geräte ausgestattet sind und wie sie im militärischen Kontext eingesetzt wurden. Durch eine biometrische Vollerfassung der afghanischen Bevölkerung sollte jederzeit eine Unterscheidung von den Guten und den Bösen möglich werden (npr.org, 4 min, alternativ zeit.de, 6 min). Unklar blieb jedoch, ob von den zurückgelassenen Geräten tatsächlich eine Gefahr ausgeht.

Wir waren überrascht, als wir mehrere gebrauchte Geräte über Ebay erwerben konnten. Diese Geräte haben wir forensisch untersucht. Dabei stellten wir schnell fest, dass wir einfach auf alle lokal gespeicherten Daten zugreifen können. Es gab keinen Zugriffsschutz, nichts war verschlüsselt. Während die Untersuchungen aus technischer Sicht uninteressant waren, waren die extrahierten Daten umso spannender. Neben Programmen zur Erfassung und zum Abgleich biometrischer Daten fanden wir biometrische Daten von zwei Angehörigen der US-Streitkräfte. Dank gespeicherter Geokoordinaten wussten wir auch, dass eines unserer Geräte zuletzt in Jordanien genutzt worden war.

Allerdings konnten wir noch immer nichts Konkretes über die Situation in Afghanistan sagen. Daher behielten wir den Gebrauchtmarkt im Internet im Auge – und kauften weitere Geräte. Bei unserem fünften Gerät wurden wir fündig. Es war zuletzt Mitte 2012 irgendwo zwischen Kabul und Kandahar eingesetzt worden. Auf diesem Gerät fanden wir außer den Geokoordinaten eine Watchlist mit biometrischen Daten von 2632 Personen (2300 Fotos von Gesichtern, 2964 Iris-Scans sowie 24078 Fingerabdrücke). Auch die Gründe für die Erfassung waren zum Teil angegeben. Aus diesen wurde ersichtlich, dass längst nicht nur Terroristen in der Biometrie-Datenbank erfasst worden waren, sondern auch Ortskräfte und Angehörige afghanischer Streitkräfte. Die theoretische Gefahr, vor der viele lange warnten, war also ganz real. 

Daraufhin haben wir verschiedene Verantwortliche informiert: die Verteidigungsministerien der USA und Deutschland als bekannte Nutzer der Geräte sowie den Hersteller. In unserer Meldung wiesen wir nicht nur auf den fehlenden Schutz der sensiblen Daten hin. Wir erwähnten auch, dass gebrauchte Geräte im Internet gehandelt werden und fügten Links zu weiteren Angeboten an. Daraufhin passierte lange nichts. Zweieinhalb Monate nach unserer Meldung konnten wir ein weiteres Biometrie-Gerät kaufen. Erst nachdem wir unsere Recherche auf der Jahresendveranstaltung 2022 des CCCs vorgestellt hatten, wurden die Angebote gelöscht (ccc.de, 55 min, br.de, 10 min). Dies ändert natürlich nichts daran, dass die Taliban ihre Geräte noch haben. Ob die biometrisch erfassten Personen, die sich noch in Afghanistan aufhalten, über möglichen Gefahren aufgeklärt wurden oder ihnen Hilfe angeboten wurde, bleibt unklar. 

Der Vorfall ist ein eindrucksvolles Beispiel dafür, dass die zentrale Speicherung vieler biometrischer Daten immer gefährlich ist. Vor dem Einsatz solcher Risikotechnologien müssen wir uns auch die schlimmstmögliche Nutzung vor Augen führen. Dabei dürfen wir nicht vernachlässigen, dass sich die politische Situation in einem Land schnell und unvorhergesehen ändern kann. Systeme, die wir heute etablieren, müssen so gestaltet sein, dass sie auch morgen niemanden gefährden. In Bezug auf biometrische Daten heißt das, dass wir davon absehen sollten, solche Daten in großen Mengen zentral zu sammeln.

Dieser Beitrag wurde von Matthias Marx verfasst, der bei den Security Research Labs in Berlin tätig ist. In seiner Freizeit engagiert er sich beim Chaos Computer Club. Vielen Dank für diesen ausführlichen Einblick!

Dieser Beitrag erschien in unserem Newsletter GI-Radar, der alle zwei Wochen erscheint und viele weitere spannende Einblicke in die Informatik bietet. Alle Ausgaben gibt es hier zum Nachlesen.