Auf den ersten Blick wirkt der kleine Koffer nicht besonders bemerkenswert. Er gleicht jenen Boxen, die Fotografen oder Filmemacher verwenden, um ihre Kameras vor Stößen zu schützen. Doch klappt man das etwa schuhschachtelgroße Gerät auf, offenbart sich ein wahres Labor zur Erfassung biometrischer Daten von Menschen.

Es handelt sich um ein Secure Electronic Enrollment Kit oder Seek II. Dieses wird dazu verwendet, Fingerabdrücke und Iris-Scans vorzunehmen. Irgendwie landete das kaum für den zivilen Markt bestimmte Gerät auf der Handelsplattform Ebay, und Matthias Marx, Mitglied des Chaos Computer Club (CCC), schlug zu: Um nur 68 Dollar kaufte er das Kit – und Informationen von 2.632 Personen gleich dazu. Denn auf der Speicherkarte befanden sich noch Namen, Fotos, Fingerabdrücke und Iris-Scans von Menschen aus dem Irak und Afghanistan.

Gerät stammt vom US-Militär

Die Geräte zur Erfassung biometrischer Daten wurden bevorzugt vom US-Militär eingesetzt, und so kommt es laut einer Reportage der "New York Times", dass sich im Speicher biometrische Daten von bekannten Terroristen und gesuchten Kriminellen befanden, bei anderen Personen dürfte es sich um lokal rekrutierte Mitarbeiter von US-Behörden handeln, wieder andere wurden rein zufällig an Checkpoints erfasst. Wie aus den Metadaten des Geräts hervorgeht, wurde es zuletzt im Sommer 2012 in der Gegend um Kandahar in Afghanistan eingesetzt.

Wie das Seek von Afghanistan auf dem Onlinemarktplatz gelandet ist, konnte nicht geklärt werden. Aber: Der Datensatz stellt ein Sicherheitsrisiko vor allem für jene Afghanerinnen und Afghaner dar, die mit dem US-Militär beispielsweise als Übersetzer zusammengearbeitet haben. Das ist auch der Grund, warum Marx die Daten nicht öffentlich macht.

Verteidigungsministerium verlangt Rückgabe

Mit dem Fund konfrontiert, erklärte ein Sprecher des US-Verteidigungsministeriums, dass man keinen Kommentar abgeben werde, solange man die Daten nicht einsehen könne. Aber man hätte das Gerät gerne zurück: "Das Ministerium fordert, dass alle Geräte, von denen angenommen wird, dass sie personenbezogene Daten enthalten, zur weiteren Analyse zurückgegeben werden", ließ der Sprecher ausrichten und verlangte, dass das Seek nach Fort Belvoir in Virginia geschickt wird. Von dort aus wird das Biometrie-Programm des US-Militärs geleitet.

Die Daten auf dem Gerät wurden in Anhaltezentren, während Patrouillen, zur Überprüfung von Bewerbern und nach Explosionen von improvisierten Sprengsätzen gesammelt. Die US-Generäle hofften laut der "NYT", mit dem Einsatz von Biometrie Spione der Taliban identifizieren zu können. Diese erwiesen sich immer wieder als Problem, wenn sie etwa US-Stützpunkte oder Truppenteile der afghanischen Armee infiltrieren konnten. Im US-Militär ging man sogar so weit, das Sammeln von biometrischen Daten als "entscheidende Fertigkeit auf dem Schlachtfeld" anzusehen, wie es in einem Handbuch der US-Armee heißt.

Beim Chaos Computer Club hat man bereits sechs Geräte zum Erfassen biometrischer Daten gesammelt. Die meisten stammen von Ebay und wurden um weniger als 200 Euro verkauft. Der Plan des Hackerkollektivs ist es, die Geräte zu analysieren und Sicherheitslücken zu finden. Die Idee entstand, als die Taliban nach dem Rückzug der US-Truppen derartige Geräte erbeuten konnten. Die Hackergruppe wollte herausfinden, ob und wie es den Taliban möglich ist, an die Daten zu gelangen.

Daten wurden unverschlüsselt gespeichert

Dass auf dem Seek II die Daten unverschlüsselt gespeichert waren, sei ein Schock gewesen, schreibt die "NYT". Es war beunruhigend, dass sie nicht einmal versuchten, die Daten zu schützen", sagte Marx und bezog sich dabei auf das US-Militär. "Sie kümmerten sich nicht um das Risiko, oder sie ignorierten es." Auf einem zweiten Seek II befanden sich Metadaten, die darauf hindeuten, dass das Gerät zuletzt in Jordanien im Jahr 2013 eingesetzt wurde. Es enthielt Fingerabdrücke und Iris-Scans einer kleinen Gruppe von US-Militärangehörigen.

Das Seek II mit den 2.632 Datensätzen wurde von einem Surplus-Händler in Texas verkauft, der es wiederum bei einer Versteigerung der US-Streitkräfte erworben haben will. Die Hacker jedenfalls werden die Daten nicht behalten: Sobald die Analyse abgeschlossen ist, werden sie die personenbezogenen Informationen löschen, hieß es seitens des CCC. (pez, 27.12.2022)