Reisepass und Fingerabdruckscanner | Bildquelle: dpa

Cyberkriminalität Das Geschäft mit biometrischen Daten

Stand: 06.08.2018 06:00 Uhr

Identifizierung mit dem eigenen Fingerabdruck, der Iris oder der Stimme - das klingt sicher. Dabei haben Cyberkriminelle längst Möglichkeiten gefunden, diese Daten zu stehlen.

Von Sabina Wolf, BR

Weltweit werden Millionen biometrische Daten gestohlen. Der kriminelle Handel mit ihnen im Dark Web ist das neue Geschäft der Cyber-Mafia. Nach Recherchen der Story im Ersten sind bereits heute viele Millionen Menschen weltweit von biometrischem Datendiebstahl betroffen.

Im sogenannten Dark Web werden mittlerweile auch Hunderte Ausweise mit biometrischen Daten angeboten. Den Reportern wurde von Kontaktleuten ein Reisedokument mit freier Wahl der biometrischen Merkmale für 3000 Euro angeboten. Die europäische Grenzagentur Frontex bestätigt auf Anfrage, es gebe "einige Fälle von gefälschten Pässen mit einem manipulierten Chip in der EU und im Schengenraum." Der Chip speichert dabei die biometrischen Merkmale.

Die biometrischen Daten werden meist aus riesigen Datenbanken abgefischt. In Indien sprachen die Reporter der Story im Ersten mit vielen Personen, deren Fingerabdrücke gestohlen wurden. Einer Journalistin vor Ort gelang der Nachweis, dass die größte biometrische Datenbank der Welt mit 1,2 Milliarden Daten nicht zugriffssicher ist.

Im Darkweb blüht der illegale Handel mit biometrischen Daten
tagesschau 12:00 Uhr, 06.08.2018, Sabina Wolf, BR

Download der Videodatei

Wir bieten dieses Video in folgenden Formaten zum Download an:

Klein (h264)
Mittel (h264)
Groß (h264)
HD (h264)

Hinweis: Falls die Videodatei beim Klicken nicht automatisch gespeichert wird, können Sie mit der rechten Maustaste klicken und "Ziel speichern unter ..." auswählen.

Video einbetten

Nutzungsbedingungen Embedding Tagesschau: Durch Anklicken des Punktes „Einverstanden“ erkennt der Nutzer die vorliegenden AGB an. Damit wird dem Nutzer die Möglichkeit eingeräumt, unentgeltlich und nicht-exklusiv die Nutzung des tagesschau.de Video Players zum Embedding im eigenen Angebot. Der Nutzer erkennt ausdrücklich die freie redaktionelle Verantwortung für die bereitgestellten Inhalte der Tagesschau an und wird diese daher unverändert und in voller Länge nur im Rahmen der beantragten Nutzung verwenden. Der Nutzer darf insbesondere das Logo des NDR und der Tageschau im NDR Video Player nicht verändern. Darüber hinaus bedarf die Nutzung von Logos, Marken oder sonstigen Zeichen des NDR der vorherigen Zustimmung durch den NDR.
Der Nutzer garantiert, dass das überlassene Angebot werbefrei abgespielt bzw. dargestellt wird. Sofern der Nutzer Werbung im Umfeld des Videoplayers im eigenen Online-Auftritt präsentiert, ist diese so zu gestalten, dass zwischen dem NDR Video Player und den Werbeaussagen inhaltlich weder unmittelbar noch mittelbar ein Bezug hergestellt werden kann. Insbesondere ist es nicht gestattet, das überlassene Programmangebot durch Werbung zu unterbrechen oder sonstige online-typische Werbeformen zu verwenden, etwa durch Pre-Roll- oder Post-Roll-Darstellungen, Splitscreen oder Overlay. Der Video Player wird durch den Nutzer unverschlüsselt verfügbar gemacht. Der Nutzer wird von Dritten kein Entgelt für die Nutzung des NDR Video Players erheben. Vom Nutzer eingesetzte Digital Rights Managementsysteme dürfen nicht angewendet werden. Der Nutzer ist für die Einbindung der Inhalte der Tagesschau in seinem Online-Auftritt selbst verantwortlich.
Der Nutzer wird die eventuell notwendigen Rechte von den Verwertungsgesellschaften direkt lizenzieren und stellt den NDR von einer eventuellen Inanspruchnahme durch die Verwertungsgesellschaften bezüglich der Zugänglichmachung im Rahmen des Online-Auftritts frei oder wird dem NDR eventuell entstehende Kosten erstatten
Das Recht zur Widerrufung dieser Nutzungserlaubnis liegt insbesondere dann vor, wenn der Nutzer gegen die Vorgaben dieser AGB verstößt. Unabhängig davon endet die Nutzungsbefugnis für ein Video, wenn es der NDR aus rechtlichen (insbesondere urheber-, medien- oder presserechtlichen) Gründen nicht weiter zur Verbreitung bringen kann. In diesen Fällen wird der NDR das Angebot ohne Vorankündigung offline stellen. Dem Nutzer ist die Nutzung des entsprechenden Angebotes ab diesem Zeitpunkt untersagt. Der NDR kann die vorliegenden AGB nach Vorankündigung jederzeit ändern. Sie werden Bestandteil der Nutzungsbefugnis, wenn der Nutzer den geänderten AGB zustimmt.

Einverstanden

Zum einbetten einfach den HTML-Code kopieren und auf ihrer Seite einfügen.

Deutsche Systeme nicht sicher

Ein weiteres Einfallstor für die Kriminellen sind schlecht gesicherte Übertragungssysteme. Im Versuch zeigt der Cyber-Sicherheitsexperte Gunnar Porada eine seit zehn Jahren bestehende Sicherheitslücke bei Fingerabdruckscannern, die bei deutschen Einwohnermeldeämtern im Einsatz sind.

Die Übermittlung des Fingerabdrucks erfolgt unverschlüsselt vom Gerät zum Computer. Dieser Übertragungsweg ist angreifbar: "Dadurch, dass ein Angreifer Zugriff auf die Bilddaten hat und die nichts anderes sind als die Fingerabdrücke, kann er sie kopieren oder manipulieren und für kriminelle Aktionen nutzen." Im Gespräch mit Story im Ersten räumt der Hersteller des Behörden-Scanners, die Firma Dermalog, die Sicherheitslücke ein. Die Firma gehört zum bundeseigenen Unternehmen Bundesdruckerei. Das Bundesinnenministerium dagegen hält das eingesetzte Gerät für "angemessen sicher".

Digitalisiertes Gesicht | Bildquelle: Sendungsbild
galerie

Biometrische Daten können gefälscht und geklaut werden.

Terroristen nutzten gefälschte Fingerabdrücke

Auch Terroristen haben gestohlene biometrische Daten bereits eingesetzt. So nutzte die Terrormiliz "Islamischer Staat" (IS) gefälschte Fingerabdrücke für Finanztransaktionen. In der osttürkischen Stadt Kirsehir verhaften Ende 2017 türkische Beamte zehn Mitglieder des IS, die in ihrem Haus Fingerabdruckformen lagerten. Die Formen hatten zur Herstellung von Fingerabdrucküberzügen gedient.

Sicherheitsexperten warnen vor dem zu sorglosen Einsatz digitalisierter biometrischer Merkmale als Zugangscodes für die Anmeldung mit dem Handy, beim Bankkonto oder beim Smart-Home-System. Über die Qualität der eingesetzten Software könne man als Verbraucher wenig wissen, so Udo Helmbrecht, Chef der Europäischen Agentur für Netz- und Informationssicherheit ENISA. Man müsse darauf hoffen, dass der Hersteller es ordentlich gemacht habe. Helmbrecht setzt sich seit Jahren für eine IT-Haftung ein, sieht sie aber im Moment als "politisch schwierig umzusetzen".

Dürfen wir Ihnen jemanden vorstellen?

"Deutschland spricht"

Zwei Meinungen, ein Treffen

Die Gräben in der Gesellschaft sind tief. Wir wollen Menschen mit gegensätzlichen Meinungen zusammenbringen. Machen Sie mit!mehr

Den eigenen Fingerabdruck gibt es nur ein Mal

Sicherheitsexperte Gunnar Porada geht noch einen Schritt weiter: "Die Erfahrung hat gezeigt, dass bislang eigentlich alle Datenbanken hackbar sind und auch gehackt wurden. Die Verwendung von biometrischen Daten in Computersystemen ist deswegen unsicher." Das große Problem: Wenn biometrische Daten in kriminelle Hände geraten, sind sie für immer verloren. Den eigenen Fingerabdruck gibt es schließlich nur einmal.

Mehr zum Thema sehen Sie um 22:45 Uhr in der Story im Ersten: "Pässe für Kriminelle: Biometrischer Datenhandel im Dark Web"

Über dieses Thema berichtete Deutschlandfunk am 06. August 2018 um 06:25 Uhr.

Video

Aus dem Archiv

Mehr Wirtschaft

Top 5

Darstellung: