Biometriedatenbank mit 27,8 Millionen Einträgen ungesichert im Netz

Israelische IT-Sicherheitsexperten konnten auf 23 Gigabyte an Daten inklusive über einer Million Fingerabdrücke in einer ungeschützten Datenbank zugreifen.

In Pocket speichern vorlesen Druckansicht 161 Kommentare lesen
Biometriedatenbank mit 27,8 Millionen Einträgen ungesichert im Netz

Mit prominenten Namen wirbt Suprema für die mobile Daseinsform seines biometrischen Zugangssystems. Ob diese von dem Datenleck betroffen sind, wurde nicht bekannt.

(Bild: supremainc.com)

Lesezeit: 4 Min.

Sicherheitsgau bei der Biometriedatenbank "Biostar 2" der südkoreanischen IT-Firma Suprema: Forscher des israelischen Online-Dienstes vpnMentor haben entdeckt, dass das webbasierte System mit hochsensiblen personenbezogenen Informationen weitgehend ungeschützt am Internet hing. Die Experten konnten sich nach eigenen Angaben ohne große Mühen Zugang zu 27,8 Millionen Einträgen verschaffen, die 23 Gigabyte an Daten ausmachten. Darunter waren neben unverschlüsselten Profilinformationen wie Nutzernamen und Passwörtern über eine Million Fingerabdrücke sowie eine ungenannte Zahl an Gesichtsbildern.

Suprema bezeichnet sich selbst als Marktführer in Europa und asiatischen Ländern bei biometrischen Zutrittskontrollsystemen. Biostar 2 verwendet Fingerabdrücke oder Gesichtsscans auf einer Online-Plattform für intelligente Türschlösser, mit der Unternehmen die Zugangskontrolle etwa für ihre Niederlassungen oder Lagerhallen selbst organisieren können.

Erst vor kurzem hat Suprema laut vpnMentor eine Kooperation mit dem niederländischer Elektrokonzern Nedap abgeschlossen, der IT-Ausrüstung für die Warensicherung, Zutrittskontrolle, RFID und Wahlcomputer herstellt. Seitdem sei Biostar 2 in das noch größere System AEOS zur biometrischen Zugangskontrolle integriert, das über 5700 Organisationen in 83 Ländern nutzten. Darunter befänden sich Konzerne genauso wie kleine Betriebe, Regierungseinrichtungen, Banken und die britische Metropolitan Police.

Das von den Datenschutzforschern Noam Rotem und Ran Locar angeführte Team entdeckte die massive Schwachstelle im Rahmen eines großen Projekts, mit dem die Hacker mit einfachen Portscans quasi an den Türklinken von Webservern rütteln und testen, ob sie aufgehen. Finden sie offene Stellen, suchen sie darüber nach weiteren, tiefer in die Systeme führenden Angriffspunkten.

Bei Biostar 2 gelang es den Experten, die Datenbank über einen gängigen Web-Browser anzusprechen. Durch die Manipulation der Suchkriterien für die Webadresse stießen sie auf die brisanten großen Datenmengen. Neben den biometrischen Merkmalen fanden sie etwa Protokolle über den Zugang zu den angeschlossenen Einrichtungen sowie Sicherheitsstufen und -freigaben nebst persönliche Daten des Personals. In Deutschland sollen Daten von Identbase betroffen gewesen sein, einem Ausrüster von Ausweis- und Zugangskontrollkarten.

Böswillige Hacker hätten sich so einen kompletten Zugang zu Administratorkonten verschaffen und die gesamten restlichen Sicherheitseinstellungen ändern, also auch etwa bestimmte Personen aus Räumen ausschließen können. Kriminelle könnten in Echtzeit verfolgen, welcher Benutzer welche Einrichtung oder welches Büro betritt. Ferner wäre es ihnen etwa möglich gewesen, Datensätze in den Firmenkonten neu anzulegen und zu manipulieren. Die gesamte biometrische Sicherheitsinfrastruktur eines Gebäudes würde so nutzlos und hinfällig.

Die Sicherheitsexperten warnen, dass die Lücke Erpressungen sowie massiven Identitätsdiebstahl und darauf basierenden Betrug wie Phishing erleichtern könnte. Sollten Fingerabdrücke gestohlen worden sein, könnten diese für vielfältige Zwecke missbraucht werden. Dies wiege besonders schwer, da biometrische Merkmale im Gegensatz etwa zu Passwörtern nicht mehr verändert werden und damit auf Dauer kompromittiert seien.

Ob sich andere Hacker bereits unbemerkt Zugang zu dem Datenfundus verschafften, ist unklar. Rotem und sein Team haben Biostar-Mitarbeiter am 7. August auf die Schwachstellen hingewiesen, wobei sie Angestellte in Deutschland zunächst zurückgewiesen hätten. Erst nach der Ansprache einer französischen Zweigstelle sei die Lücke am 13. August geschlossen worden.

Entsetzt zeigten sich die Forscher, dass Suprema die vollständigen biometrischen Daten in dem System abspeicherte. Dem Stand der Technik hätte es entsprochen, nur Hashwerte etwa von Fingerabdrücken aufzubewahren, die nicht einfach kopiert und frei verwendet werden könnten. Überrascht waren sie zudem, dass auch viele Kunden der Koreaner für ihre Konten nur Standardkennungen wie "Passwort" oder "abcd1234" verwendeten. Supremas Marketingchef Andy Ahn erklärte gegenüber dem Guardian, dass sein Unternehmen die von vpnMentor gelieferten Informationen derzeit noch eingehend prüfe. Sollte eine andauernde Bedrohung bestehen, werde es umgehend handeln und die Kunden informieren. (anw)