Die koreanische Sicherheitsfirma Suprema ist europäischer Marktführer bei Zutrittskontrollsystemen mit biometrischen Daten. Präziser gesagt geht es um intelligente Türschlösser, die von diversen Unternehmen genutzt werden. Sie kommen zum Beispiel in Lagerhallen und Büros zum Einsatz und sind für die Zugangskontrolle zuständig. Auch Banken und die britische Polizei setzen auf dieses System. Der Supergau an der Geschichte: Es kam zu einem Mega-Datenleck, das von zwei Sicherheitsforschern präzise analysiert wurde. Die Lücke ist nach einigen Tagen von der Sicherheitsfirma geschlossen worden, während dieser Zeit lagen jedoch mehr als 27,8 Millionen Datensätze, darunter etwa eine Million Fingerabdrücke, frei und ungeschützt im Netz herum.
So begann der Albtraum
Noam Rotem und Ran Lokar sind zwei israelische Sicherheitsforscher, die das VPN-Vergleichsportal vpnMentor betreiben. Sie haben vom pikanten Datenleck gehört (wurde zuvor bereits vom israelischen Portal „Calacalist“ und der britischen „Guardian“ berichtet) und haben es binnen kürzester Zeit der Plattform „Biostar 2“, die Teil der Sicherheitsfirma Suprema ist, zuordnen können (webbasiert mit Verarbeitung von Fingerabdrücken und Gesichtsscans). Laut den Forschern war das Leck riesig und hätte ernsthafte Folgen mit sich ziehen können. Nicht nur für die betroffenen Unternehmen, sondern auch für die Mitarbeiter. Wie sich zeigte, konnte man die Kontrolle über die im System hinterlegten Konten vollständig übernehmen.
Das Datenleck bescherte Noam Rotem und Ran Lokar Daten mit einer Speicherkapazität von 23 Gigabyte. Darunter waren nicht nur Fingerabdrücke und Gesichtserkennungsdaten zu finden, auch Fotos von Gesichtern, persönliche Daten und unverschlüsselte Benutzernamen inklusive Passwörter waren mit von der Partie. Die zwei Forscher hätten theoretisch auch die Datensätze in den Konten der Firmen manipulieren und neu anlegen können. Für Kriminelle eine Einladung, um vermeintlich sichere Einrichtungen „einfach“ hacken zu können.
Betroffen waren übrigens auch deutsche Kunden. Einer von ihnen ist die Firma Identbase, die sich mit dem Druck von ID- und Zugangskarten beschäftigt.
Entsetzung über vollständige und unverschlüsselt abgespeicherte biometrische Daten
Große Verwunderung: Die biometrischen Daten haben vollständig und zum größten Teil ohne Verschlüsselung vorgelegen. Dabei wäre die Lösung so einfach, man müsste die Fingerabdrücke lediglich als Hash speichern (so wäre eine Rückentwicklung unmöglich). Alarmierend war auch die Erkenntnis, dass viele Kunden bei Suprema ihr Konto sehr schlecht gesichert haben. So tauchten sehr einfache Passwörter wie „abcd1234“ und „Passwort“ auf.
Vorerst keine Gefahr mehr
Laut vpnMentor hat man die Sicherheitslücke nach einer Woche geschlossen. Andy Ahn, Marketingleiter der koreanischen Sicherheitsfirma, sagt, dass man Kunden im Falle einer Gefahr informieren werde. Bleibt zu hoffen, dass sich der Fall kein zweites Mal wiederholt.