Digital
Online-Sicherheit

Million Fingerabdrücke und Gesichtsfotos im Netz – das solltest du wissen

A technician at FIRM Systems demonstrates how finger prints are scanned and captured using Livescan biometric fingerprint technology Monday, June 6, 2016, in Springfield, Ill. Among those that the dea ...
Bild: AP/AP

Million Fingerabdrücke, Gesichtsfotos und Passwörter im Netz – das solltest du nun wissen

Eine Sicherheitsfirma hat die biometrischen Daten ihrer Kunden unverschlüsselt im Internet gespeichert. Davon betroffen sind unzählige Firmen in Europa – darunter Banken, aber auch die britischen Polizei.
14.08.2019, 14:3214.08.2019, 16:38
Mehr «Digital»

Sicherheitsforscher aus Israel haben eine Datenbank mit rund einer Million Fingerabdrücken und anderen biometrischen Daten aufgespürt: Darunter Gesichtsscans, aber auch unverschlüsselte Passwörter. Diese Datenbank konnte quasi ungeschützt und unverschlüsselt im Web abgerufen werden.

Wer ist davon betroffen?

Die Daten stammen vom System «Biostar 2» der koreanischen Sicherheitsfirma Suprema, die nach eigenen Angaben Marktführer in Europa bei biometrischen Zutrittskontrollsystemen ist. Über das Sicherheitsleck hatten zuerst der britische «Guardian» sowie das israelische Portal «Calacalist» berichtet.

«Biostar 2» arbeitet mit Fingerabdrücken oder Gesichtsscans auf einer webbasierten Plattform für intelligente Türschlösser, mit der Unternehmen die Zugangskontrolle für ihre Büros oder Lagerhallen selbst organisieren können. Das System wird nach Angaben vom «Guardian» auch von der britischen Polizei sowie mehreren Verteidigungsunternehmen und Banken genutzt.

Wer hat die Datenbank entdeckt?

Die gravierende Sicherheitslücke wurde von den israelischen Hackern Noam Rotem und Ran Lokar entdeckt, die für den Dienst vpnMentor arbeiten. Die Schwachstelle habe dazu geführt, dass man die vollständige Kontrolle über die Konten im System erhalten konnte, sagte Rotem dem Portal «Calcalist».

Wie schlimm ist es wirklich?

Ziemlich schlimm. Die Forscher hatten Zugriff auf über 27.8 Millionen Datensätze und 23 Gigabyte Daten, darunter Fingerabdruck- und Gesichtserkennungsdaten, Gesichtsfotos von Benutzern, unverschlüsselte Benutzernamen und Passwörter, Protokolle über den Zugang zu den Einrichtungen, Sicherheitsstufen und -freigabe sowie persönliche Daten des Personals. Ausserdem hätten sie Datensätze in den Firmenkonten neu anlegen und manipulieren können.

Entsetzt zeigten sich die Forscher darüber, dass in dem System die vollständigen biometrischen Daten meist unverschlüsselt abgespeichert wurden. «Anstatt einen Hash des Fingerabdrucks zu speichern, der nicht rückentwickelt werden kann, speichern sie die tatsächlichen Fingerabdrücke der Menschen, die für bösartige Zwecke kopiert werden können», sagten sie dem «Guardian». Auf Smartphones etwa werden biometrische Daten daher aus Sicherheitsgründen nur lokal und verschlüsselt gepeichert.

Überrascht waren Rotem und Lokar darüber, wie schlecht die Suprema-Kunden zum Teil ihre Konten abgesichert haben: «Viele Konten enthielten lächerlich einfache Passwörter wie ‹Passwort› und ‹abcd1234›.»

Wie reagiert die betroffene Firma?

Der Marketingleiter von Suprema, Andy Ahn, sagte dem «Guardian», das Unternehmen habe eine «eingehende Bewertung» der von vpnMentor bereitgestellten Informationen vorgenommen. Die Kunden würden im Falle einer Bedrohung informiert. Die Sicherheitslücke sei inzwischen geschlossen worden. (oli/sda/dpa)

DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet, um die Zahlung abzuschliessen.)
5 CHF
15 CHF
25 CHF
Anderer
Oder unterstütze uns per Banküberweisung.
Diese 20 Bilder halten unserer Gesellschaft den Spiegel vor
1 / 22
Diese 20 Bilder halten unserer Gesellschaft den Spiegel vor
«Beautiful Life On Social Media»
Auf Facebook teilenAuf X teilen
Fragst du dich, warum du überall neuen AGB zustimmen musst?
Video: watson
Das könnte dich auch noch interessieren:
Hast du technische Probleme?
Wir sind nur eine E-Mail entfernt. Schreib uns dein Problem einfach auf support@watson.ch und wir melden uns schnellstmöglich bei dir.
53 Kommentare
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
Die beliebtesten Kommentare
avatar
Donald
14.08.2019 14:43registriert Januar 2014
Die Sicherheitslücke zu schliessen bringt auch nicht mehr viel. Die Daten sind für immer "öffentlich". Meines Erachtens müsste eine solche Firma massive Entschädigungen zahlen. Und zwar so, dass sie vermutlich nicht überlebt.
30
Melden
Zum Kommentar
avatar
Gipfeligeist
14.08.2019 14:55registriert Januar 2016
Na so was aber auch. Naja, sind ja nur unsere Daten, für immer öffentlich. Wollen Sie ihre Genomanalyse noch verlinken, heute nur halber Preis?

Und genau deswegen graust es mich, wenn die Migros für 24h Läden biometrische Identifikation einführen will:

https://www.watson.ch/schweiz/migros/544913696-fuer-24-stunden-shops-scannt-migrolino-bald-die-gesichter-der-kunden
00
Melden
Zum Kommentar
avatar
Snowy
14.08.2019 16:20registriert April 2016
Fun fact: Es gibt ernsthaft immer noch Menschen, die e-Voting eine gute Sache finden...
01
Melden
Zum Kommentar
53
Einfach die besten Tweets*** der Woche
Eine subjektive Auswahl von Social-Media-Postings, die uns in den vergangenen Tagen ein Schmunzeln oder Lachen entlockt haben. ***Und du brauchst dafür keinen X-Account! 😉

Puh, was für eine Woche! Zur gebührenden Abrundung servieren wir dir eine Auswahl an vergnüglichen (oder gar lustigen) Social-Media-Postings.

Zur Story