Fingerabdrücke und Iris-Scans: Hacker kauften auf eBay Biometrie-Geräte des US-Militärs samt Daten

Der Chaos Computer Club erwarb auf eBay ein Gerät des US-Militärs zur Erfassung biometrischer Daten – für nur 68 US-Dollar. Doch wie es der Zufall so will, war das Gerät entgegen der ursprünglichen Erwartung nicht etwa auf die Werkseinstellungen zurückgesetzt worden. Stattdessen offenbarte die darin enthaltene Speicherkarte Namen, Nationalitäten, Fotos, Fingerabdrücke und Iris-Scans von 2.632 Personen, die das US-Militär in Afghanistan gesammelt hatte.

Sicherheitsforscher der deutschen Hackerorganisation Chaos Computer Club (CCC) haben bei eBay sechs biometrische Erfassungsgeräte ersteigert, die zuvor vom US-Militär verwendet wurden. Wie die New York Times am Dienstag zuerst berichtete, waren die offensichtlich gar nicht für den zivilen Markt bestimmten Geräte zuvor irgendwie auf der Handelsplattform gelandet. Matthias Marx vom Chaos Computer Club zögerte nicht lange und schlug zu: Für nur 68 US-Dollar ersteigerte er das ungewöhnliche Angebot und – und dabei gratis gleich noch biometrische Informationen von 2.632 Personen.

Denn auf den Speicherkarten der sogenannten SEEK II-Geräte befanden sich noch die Namen, Nationalitäten, Fotos, Fingerabdrücke und Iris-Scans von zahlreichen Menschen. Den ungewöhnlichen Fund übergab der Hacker daraufhin an die New York Times (NYT), die dann die Angaben zu diesen Personen überprüfte. Es stellte sich heraus, dass es sich überwiegend um Personen aus dem Irak und Afghanistan handelte, darunter mutmaßliche oder bekannte Terroristen, aber auch Einheimische, die zuvor für die US-Regierung gearbeitet hatten oder an Kontrollpunkten angehalten worden waren. Das letzte Mal waren die Geräte 2012 in der Nähe von Kandahar in Afghanistan eingesetzt worden.

Auf den ersten Blick wirken die von Marx ersteigerten Geräte unscheinbar. Sie verfügen über einen winzigen Bildschirm, eine physische Tastatur und ein kleines Mousepad. Doch klappt man die etwa schuhkartongroßen Geräte auf, offenbart sich ein wahres Labor zur Erfassung biometrischer Daten von Menschen. Denn neben normaler Peripherie sind sie mit einem Fingerabdruckleser unter einem aufklappbaren Plastikdeckel ausgestattet und können auch Iris-Scans sowie Fotos von Personen aufnehmen. Die Geräte wurden demnach bevorzugt vom US-Militär zur Datenerfassung eingesetzt und sind Bestandteil eines ganzen Systems zur Erfassung biometrischer Daten des US-Verteidigungsministeriums, das die USA nach den Anschlägen vom September 2001 entwickelt hatten.

Offenbar waren laut der NYT die US-Militärs der Meinung, dass das Sammeln biometrischer Daten dazu beitragen würde, Spione der Taliban identifizieren zu können. So sollte das Gerät den Bodentruppen insbesondere bei der Identifizierung von Personen helfen, die US-Stützpunkte in Afghanistan und im Irak besuchten, aber auch bei der Identifizierung von Aufständischen. Nachdem afghanische Truppen und Polizisten eine Reihe von Schüssen auf amerikanische Soldaten abgegeben hatten, gingen Verantwortliche im Pentagon sogar so weit, das Sammeln von biometrischen Daten als "entscheidende Fertigkeit auf dem Schlachtfeld" anzusehen, wie es in einem Handbuch der US-Armee heißt.

Nach dem Rückzug der USA aus dieser Region sollten diese Daten jedoch von den Geräten gelöscht werden. Der Chaos Computer Club hat inzwischen bereits sechs sensible Geräte (vier SEEK II und zwei HIIDE 5) erwerben können. Die meisten stammen demnach von eBay und wurden für weniger als 200 Euro verkauft. Der generelle Plan der Hacker beim CCC ist es, solche Geräte zu analysieren, um eventuelle Sicherheitslücken zu finden. Insbesondere geht es nun bei diesem Fund darum festzustellen, wie leicht es für die Taliban gewesen wäre, diese von den US-Truppen nach ihrem Abzug zurückgelassenen Ressourcen anzuzapfen.

Zwei der von der Forschergruppe gekauften SEEK II-Geräte enthielten demnach noch sensible Personendaten. Während das erste letztmals in Afghanistan eingesetzt worden war, wurde das zweite ersteigerte Gerät hingegen offenbar zuletzt 2013 in Jordanien benutzt und enthielt sogar die Fingerabdrücke und Iris-Scans von US-Soldaten, aber auch von US-Bürgern, die offenbar im Geheimdienstbereich für das US-Militär arbeiteten. Das erste erworbene Gerät, das zuvor auf eBay zum Verkauf stand, wurde den Angaben zufolge von einem Surplus-Händler in Texas verkauft, der es wiederum bei einer Versteigerung der US-Streitkräfte erworben haben wollte.

Dass die Daten auf den SEEK II unverschlüsselt gespeichert waren, sei ein Schock gewesen, schreibt die NYT. Es sei besonders beunruhigend, dass sie nicht einmal versucht hatten, die Daten zu schützen, erklärte Marx der Zeitung mit Bezug auf das US-Militär. "Sie kümmerten sich nicht um das Risiko, oder sie ignorierten es." Die Hacker wollen die Daten jedenfalls nicht behalten: Sobald die Analyse abgeschlossen ist, werden sie die personenbezogenen Informationen löschen, hieß es vonseiten des CCC. Wie die Geräte samt den sensiblen Daten auf eBay gelangen konnten, ist derzeit noch unklar. Das Pentagon erklärte auf Anfrage der NYT, es könne die Daten nicht kommentieren, bevor es sie überprüft habe. "Das Ministerium fordert, dass alle Geräte, von denen angenommen wird, dass sie personenbezogene Daten enthalten, zur weiteren Analyse zurückgegeben werden", ließ ein Sprecher der Behörde ausrichten und verlangte, dass die vom CCC erworbenen Geräte nach Fort Belvoir in Virginia geschickt werden, denn von dort aus wird das Biometrie-Programm des US-Militärs geleitet.

Auch HID Global, der Hersteller des Geräts SEEK II, wies auf Anfrage der NYT jede Verantwortung für die Verwendung der Geräte nach dem Verkauf von sich. Stattdessen verwies das Unternehmen darauf, dass die Geräte zwar so konzipiert seien, dass sie die Daten auf den Servern der US-Regierung speichern. Allerdings seien sie zugleich auch mit Speicherkarten ausgestattet, damit sie in Regionen mit begrenzter Internetverbindung funktionieren. Laut HID Global hätte die Entfernung dieser Speicherkarten aus den Geräten demnach ausgereicht, um die Offenlegung der Daten zu verhindern. Dies sei bei den beiden SEEK II-Geräten während des schnellen Truppenabzugs aber offensichtlich versäumt worden.

Die Taliban kamen im August 2021 nach einem unglaublich chaotischen Abzug der US-Truppen und dem Ende der US-Besetzung des Landes in Afghanistan wieder an die Macht.

Mehr zum Thema - Wie die NSA: Auch Europol darf künftig Daten völlig unverdächtiger Personen auswerten