Schrift:
Ansicht Home:
Netzwelt

Leck bei Biometrie-Firma

Mehr als eine Million Fingerabdrücke online zugänglich

Sicherheitsforscher haben ein riesiges Datenleck bei einem Anbieter für biometrische Zutrittskontrollen entdeckt. Mindestens eine deutsche Firma ist betroffen.

John Lund / Getty Images

Biometrische Daten werden zunehmend zur Zugangskontrolle eingesetzt (Symbolbild)

Von
Mittwoch, 14.08.2019   14:57 Uhr

Millionen sensibler Informationen wie detaillierte persönliche Daten von Angestellten zahlreicher Unternehmen, unverschlüsselte Anwendernamen und Passwörter sowie biometrische Daten waren online zugänglich: Die israelischen Datenschutzexperten Noam Rotem und Ran Locar haben mit einem Team des VPN-Vergleichsportals vpnMentor ein massives Datenleck auf der Plattform Biostar 2 von Suprema gefunden, mit der Firmen unter anderem den Zugang zu speziell gesicherten Gebäudebereichen verwalten können. Mindestens eine deutsche Firma ist davon betroffen.

Im Zuge eines Web-Mapping-Projekts, das Schwachstellen in Firmen aufdecken soll, entdeckten die Sicherheitsforscher ihrem am Mittwoch veröffentlichten Bericht zufolge Anfang vergangener Woche, "dass die komplette Datenbank von Biostar 2 ungeschützt und zum Großteil unverschlüsselt ist". Die Passwörter in der Datenbank waren den Sicherheitsforschern zufolge im Klartext gespeichert und nicht in einem sicheren Hash-Format.

Möglichkeit, Zugänge live zu verfolgen - und zu manipulieren

"Das Ausmaß ist ziemlich drastisch. Die Zugangskontrolle der Firma wird an Tausenden von Standorten eingesetzt und das Datenleck hat es jedem erlaubt, die Einstellungen zu verändern, neue Nutzer hinzuzufügen oder den Zugang zu bestimmten Bereichen zu beschränken", sagt Sicherheitsforscher Noam Rotem dem SPIEGEL. "Man braucht dazu keine speziellen Hacking-Tools, sondern nur einen Browser."

Das Team konnte nach Angaben von vpnMentor auf mehr als eine Million Fingerabdrücke zugreifen sowie auf Daten zur Gesichtserkennung. "Kombiniert mit den persönlichen Daten, Anwendernamen und Passwörtern ist das Potenzial für kriminelle Aktivitäten und Betrug riesig", heißt es im Bericht. Den Sicherheitsforschern zufolge hätten potenzielle Angreifer bis zuletzt anhand aktueller Aktivitäts-Logs live verfolgen können, wo Mitarbeiter verschiedener Firmen weltweit gerade ein smart gesichertes Gebäude betreten, welche Tür in einem Raum gerade geöffnet wird.

Der koreanische, weltweit tätige Hersteller Suprema zählt zu den international führenden Unternehmen für biometrische Sicherheitslösungen. Über die webbasierte App "Biostar 2" können Administratoren einstellen, welche Mitarbeiter oder Gäste Zugang zu gesicherten Bereichen erhalten, Nutzerrechte verwalten, Aktivitäten etwa mit Echtzeit-Alarm oder Videoaufnahmen überwachen. Das System kann auch mit Zugangssystemen von Drittfirmen verknüpft werden. Biometrie-Software identifiziert Personen zudem anhand von Gesichtserkennung und Fingerabdrücken - auch derart sensible Daten waren ohne eine Authentifizierung wie einen Passwortschutz mit dem Zugriff auf die Datenbank zugänglich.

Die britische Polizei nutzt das System - und mindestens eine deutsche Firma

"Biostar 2" ist auch in das AEOS-Sicherheitssystem von Nedap integriert, das in 83 Ländern von mehreren Tausend teils multinationalen, aber auch kleineren Unternehmen sowie Regierungen oder Banken eingesetzt wird. Zu den Kunden zählt auch die britische Metropolitan Police.

Mindestens eine deutsche Firma ist zudem von dem Datenleck betroffen: So fanden sich in der Datenbank auch Daten von Identbase, einem Dienstleister für Identifikationslösungen auf Plastikkartenebene, der etwa verschiedene Zutrittssysteme für Gebäude herstellt. Im Fall von Identbase fanden sich dem VPNmentor-Team zufolge immerhin keine kompletten Fingerabdrücke, sondern vor allem Anmeldedaten, E-Mails, Tokens sowie Informationen zu mobilen Geräten in dem Datenleck.

Es ist unklar, wie viele Firmen und Kontakte aus dem deutschen Raum genau betroffen sind, da es sich dem Forscherteam zufolge um eine große Datenmenge von 23 Gigabyte und 27,8 Millionen Einträgen handelt, die noch nicht vollständig ausgewertet wurde.

Routinen ändern

Die Forscher hatten die Herstellerfirma Suprema in der vergangenen Woche über das Datenleck informiert. Seit Mittwochmorgen sind die Daten nun nicht mehr zugänglich. Eine Stellungnahme von Suprema zu Fragen des SPIEGEL steht bisher noch aus.

Firmen, die das System benutzen, sollten jetzt umgehend ihre Routinen für die Zugangskontrolle ändern, rät Sicherheitsforscher Rotem. Bei den möglicherweise öffentlich gewordenen biometrischen Daten lasse sich der Schaden zudem im Nachhinein kaum mehr begrenzen. Die teils unverschlüsselt vorliegenden biometrischen Daten wie Fingerabdrücke könnten von Angreifern theoretisch zukünftig für andere Zwecke eingesetzt werden.

"Der Vorfall zeigt, dass es sehr riskant ist, biometrische Daten zur Zugangskontrolle einzusetzen", sagt Rotem dem SPIEGEL. "Sie können nicht wie Passwörter geändert werden, und wenn ein System leckt, können die Daten missbraucht werden. Jeder, der Zugang zum System hat, kann darauf basierend einen Fingerabdruck herstellen. Und wenn solche Daten erstmal draußen sind, sind sie draußen."

insgesamt 32 Beiträge
steingärtner 14.08.2019
1. Kennt man schon von anderen Hacks
Die Nutzer bekommen vom Dienstleister eine Mail, mit der Aufforderung ihre biometrischen Passwörter zu ändern. Problem gelöst.
Die Nutzer bekommen vom Dienstleister eine Mail, mit der Aufforderung ihre biometrischen Passwörter zu ändern. Problem gelöst.
grumpy53 14.08.2019
2. ja nee, is klar
Bargeld abschaffen, alles nur noch digital, Alexa wird abgehört, whatsapp gehackt, aber wir alle lieben den digitalen Wahnsinn, weil wir ja nix zu verlieren und zu verbergen haben. Ich kann nur staunen. Am liebsten möchte man [...]
Bargeld abschaffen, alles nur noch digital, Alexa wird abgehört, whatsapp gehackt, aber wir alle lieben den digitalen Wahnsinn, weil wir ja nix zu verlieren und zu verbergen haben. Ich kann nur staunen. Am liebsten möchte man fernab von jeder Drohne, jedem Rechner, jedem Satellit, jeder Überwachung einfach nur mal leben und sein.
tuvalu2004 14.08.2019
3. Wer hätte das gedacht
Ach ja, alle die gewarnt haben biometrische Daten zu verwenden. Aber das waren ja nur Kids, Technologieleugner oder Spinner - war der Duktus der Befürworter nicht so ähnlich? Und meint die Politik, denen gerade eine [...]
Ach ja, alle die gewarnt haben biometrische Daten zu verwenden. Aber das waren ja nur Kids, Technologieleugner oder Spinner - war der Duktus der Befürworter nicht so ähnlich? Und meint die Politik, denen gerade eine Maschinenpistole der Polizei abhanden gekommen ist, nicht auch, das alle Daten die der Staat und seine Behörden so sammeln -- total sicher seien? Die Londoner Metropolitan Police war zumindest völlig überzeugt davon. Erwarte die Abwiegelungen, Relativierungen und die Bekräftigung in die Sicherheit deutscher Daten minütlich.
hman2 14.08.2019
4. Super. Und was machen die betroffenen Personen?
Passwort wechseln geht ja nicht. Also Finger auswechseln? Viel Spaß...
Passwort wechseln geht ja nicht. Also Finger auswechseln? Viel Spaß...
Leonia Bavariensis 14.08.2019
5. Die Warnung war schon vorher da
Es hat nur eine Weile gedauert, bis der Schadensfall tatsächlich offensichtlich wurde.
Es hat nur eine Weile gedauert, bis der Schadensfall tatsächlich offensichtlich wurde.

Mehr im Internet

Artikel

© SPIEGEL ONLINE 2019
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung
TOP