Datenschutz – Schwere Datenpanne bei Sicherheitsplattform für Biometriedaten

Die Datenverstöße einer auf Biometrie spezialisierten Sicherheitsplattform betreffen mehrere Millionen Nutzer. Unter der Leitung von Internet-Datenschutzforschern entdeckte ein Expertenteam von vpnMentor kürzlich einen großen Datenverlust in der Sicherheitsplattform BioStar 2.

Datenschutz-Anwalt informiert: BioStar 2

BioStar 2 ist eine webbasierte, biometrische Sicherheits-Plattform die Smart-Lock-Lösungen anbietet. Als zentralisierte Anwendung ermöglicht sie es Administratoren, den Zugriff auf sichere Bereiche von Einrichtungen zu steuern, Benutzerrechte zu verwalten, in Sicherheitsanwendungen von Drittanbietern zu integrieren und Aktivitätsprotokolle aufzuzeichnen. Als Teil einer biometrischen Software nutzt BioStar 2 Technologien zur Gesichtserkennung und Fingerabdrücken, um Benutzer zu identifizieren.

Datenschutz-Anwalt informiert: Suprema

Die App wird von Suprema gebaut, einem der weltweit führenden Sicherheitsdienstleister mit dem höchsten Marktanteil bei biometrischer Zugangskontrolle in Europa, dem Nahen Osten und Afrika. Suprema hat kürzlich eine Partnerschaft mit dem niederländischen Elektronikkonzern Nedap geschlossen, um BioStar 2 in sein AEOS-Zutrittskontrollsystem zu integrieren. AEOS wird von über 5.700 Organisationen in 83 Ländern eingesetzt, darunter einige der größten multinationalen Unternehmen, viele kleine lokale Unternehmen, Regierungen, Banken und auch die britische Stadtpolizei.

Datenschutz-Anwalt informiert: Anwender von BioStar 2 hochgradig gefährdet

Die bei der Verletzung durchgesickerten Daten sind von sehr sensibler Natur. Dazu gehören detaillierte personenbezogene Daten von Mitarbeitern sowie unverschlüsselte Benutzernamen und Passwörter, die Hackern Zugang zu Benutzerkonten und Berechtigungen in Einrichtungen mit BioStar 2 geben. Böswillige Agenten könnten damit in sichere Einrichtungen eindringen und ihre Sicherheitsprotokolle für kriminelle Aktivitäten manipulieren.

Datenschutz-Anwalt informiert: Lebenslange Schäden für Betroffene

Es handelt sich um eine riesige Lücke, die sowohl die beteiligten Unternehmen und Organisationen als auch ihre Mitarbeiter gefährdet. Das Team konnte auf über eine Million Fingerabdrücke und Informationen zur Gesichtserkennung zugreifen. In Kombination mit den persönlichen Daten, Benutzernamen und Passwörtern ist das Potenzial für kriminelle Aktivitäten und Betrug enorm. Am schlimmsten ist, einmal gestohlene Daten der Fingerabdrücke oder Gesichtserkennung können danach nicht mehr benutzt werden. Ein Individuum wird möglicherweise für den Rest seines Lebens betroffen sein.

Datenschutz-Anwalt informiert: Reaktion von BioStar 2

Nachdem der Verstoß in der Datenbank von BioStar 2 entdeckt hatte, wurde das Unternehmen kontaktiert und über die Ergebnisse informiert. Allerdings zeigte sich BioStar 2 während dieses Prozesses im Allgemeinen sehr unkooperativ. Zahlreiche Versuche der Datenschutz-Forscher, das Unternehmen per E-Mail zu kontaktieren, blieben ohne Erfolg. Die Forscher versuchten nun, die Büros von BioStar 2 telefonisch zu erreichen. Auch hier zeigte das Unternehmen nahezu keine Reaktion.

Datenschutz-Anwalt informiert: BioStar 2 erstaunlich unkooperativ

Als die Forscher endlich mit einem Mitarbeiter des deutschen Teams sprachen, erhielten sie eine gemurmelte Antwort: "Wir sprechen nicht mit vpnMentor", bevor das Telefon plötzlich wieder aufgelegt wurde. Dies deutet darauf hin, dass sie sich der Forschergruppe bewusst waren und auch derer Versuche, das Problem zu lösen. Die Forscher haben auch versucht, den DSGVO Compliance Officer von BioStar 2 zu kontaktieren, erhielten aber keine Antwort. Schließlich, erst nachdem eine ganze Woche ins Land gegangen war und das Unternehmen telefonisch mit der etwas kooperativeren französischen Niederlassung gesprochen hatte, wurden Schritte unternommen, um das Datenleck zu schließen.

Datenschutz-Anwalt informiert: Zugriff auf riesige Datenmengen

Als zentrale Sicherheitslösung enthielt die Datenbank von BioStar 2 nahezu alle Arten von sensiblen Daten. Solche könnten bei einer Vielzahl von kriminellen Aktivitäten eingesetzt werden, die sowohl für die betroffenen Unternehmen und Organisationen als auch für deren Mitarbeiter oder Kunden verheerend wären. Die Experten konnten auf über 27,8 Millionen Datensätze, mit insgesamt 23 Gigabyte Daten, zugreifen.

Datenschutz-Anwalt informiert: Hochsensible Daten ungeschützt

Folgenden Informationen waren abrufbar: Zugriff auf Client-Verwaltungsfelder, Dashboards, Backend-Kontrollen und Berechtigungen, Fingerabdruckdaten, Informationen zu Gesichtserkennung und Bilder von Benutzern, unverschlüsselte Benutzernamen, Passwörter und Benutzer-IDs, Aufzeichnungen über die Ein- und Ausreise in die verschiedenen Sicherheitsbereiche, Mitarbeiter-Datensätze mit Startdatum, Sicherheitsniveaus und Freigaben der Mitarbeiter, personenbezogene Daten, einschließlich der Anschriften der Mitarbeiter und deren E-Mail-Adressen, Einordnung der Mitarbeiter innerhalb der Strukturen und Hierarchien der Unternehmen und Informationen zu mobilen Geräten und Betriebssystemen.

Datenschutz-Anwalt informiert: Lächerlicher Passwortschutz

Einer der überraschenden Aspekte dieses Lecks war, wie ungesichert die Passwörter der Konten waren, auf die zugegriffen wurde. Viele Konten hatten lächerlich einfache Passwörter, wie "Password" und "abcd1234". Es ist schwer vorstellbar, dass die Leute immer noch nicht wissen, wie einfach es für einen Hacker ist, auf sein Konto zuzugreifen. Natürlich haben auch viele Benutzer kompliziertere und effektivere Passwörter erstellt, die normalerweise schwer zu entdecken oder zu entschlüsseln sind. Allerdings konnten die Passwörter in der Datenbank von BioStar 2 problemlos eingesehen werden, da sie als reine Textdateien gespeichert wurden, anstatt sicher gehasht zu werden.

Datenschutz-Anwalt informiert: Lange Liste kompromittierter Unternehmen

Die Bandbreite der von dem Leck betroffenen Unternehmen variierte stark in Größe, Standort, Branche und Anwendern. Beispiele für Unternehmen, auf deren Informationen die Forscher weltweit zugreifen und sie einsehen konnten, sind zum Beispiel in den Vereinigten Staaten, das Union Member House, ein Coworking Space und Social Club mit 7.000 Nutzern, Lits Link, eine Beratungsfirma für Softwareentwicklung, Phoenix Medical, ein Hersteller von Medizinprodukten. Zahlreiche Firmen in Indonesien, Indien, Sri Lanka, dem Vereinigten Königreich, den Vereinigten Arabischen Emiraten, Finnland, Türkei, Osttimor und Japan.

Datenschutz-Anwalt informiert: Deutschland auch betroffen

Bei der belgischen Firma Adecco Staffing - haben die Forscher rund 2.000 Fingerabdrücke gefunden, die mit dem bekannten auch in Deutschland aktiven Personaldienstleister verbunden sind. Direkt in Deutschland betroffen ist die Identbase GmbH. Daten dieses Anbieters von kommerzieller Drucktechnologie für  ID- und Zugangskarten wurden ebenfalls in der exponierten Datenbank gefunden.

Datenschutz-Anwalt informiert: Die schiere Größe macht fassungslos

Vielleicht ist das größte Problem bei diesem Leck seine Größe. Die Anwender von BioStar 2 sind weltweit verteilt, mit potenziellen zukünftigen Anwendern wie Regierungen, Banken, Universitäten, Verteidigungsunternehmen, Polizei und multinationalen Unternehmen. Die Plattform verfügt schon jetzt über mehr als 1,5 Millionen Installationen weltweit, und alle diese könnten durch dieses Leck gefährdet sein. Die Gesamtzahl der betroffenen Menschen könnte im zweistelligen Millionenbereich liegen.

Datenschutz-Anwalt informiert: Auswirkungen solcher Datenlecks

Gesichtserkennung und Fingerabdruckinformationen können nicht geändert werden. Sobald sie gestohlen wurden, können sie nicht mehr verwendet werden. Die ungesicherte Art und Weise, wie BioStar 2 diese Informationen speichert, ist angesichts ihrer Bedeutung und der Tatsache, dass BioStar 2 von einem Sicherheitsunternehmen entwickelt wurde, äußerst beunruhigend. Anstatt einen Hash des Fingerabdrucks zu speichern, der nicht rückentwickelt werden kann, speichern sie die tatsächlichen Fingerabdrücke von Personen, die für böswillige Zwecke kopiert werden können. Kriminelle aller Art könnten diese Informationen für verschiedene illegale und gefährliche Aktivitäten nutzen, indem sie die im Leck gefundenen Daten zusammenführen.

Datenschutz-Anwalt informiert: Kontoübernahmen drohen

Mit diesem Leck haben kriminelle Hacker vollen Zugriff auf die Admin-Konten von BioStar 2. Auf diese Weise können sie ein High-Level-Konto mit vollständigen Benutzerrechten und Sicherheitsfreigaben übernehmen und Änderungen an den Sicherheitseinstellungen in einem gesamten Netzwerk vornehmen. Sie können nicht nur die Benutzerberechtigungen ändern und Personen von bestimmten Bereichen ausschließen, sondern auch neue Benutzerkonten - einschließlich Gesichtserkennung und Fingerabdrücke - erstellen, um sich Zugang zu geschützten Bereichen innerhalb eines Gebäudes oder einer Einrichtung zu verschaffen.

Datenschutz-Anwalt informiert: Weitere schwerwiegende Sicherheitsverletzungen

Darüber hinaus können Hacker die Fingerabdrücke bestehender Konten in ihre eigenen ändern und ein Benutzerkonto entführen, um unbemerkt auf geschützte Bereiche zuzugreifen. Hacker und andere Kriminelle könnten möglicherweise Bibliotheken mit Fingerabdrücken erstellen, die jederzeit verwendet werden können, wenn sie irgendwo eindringen wollen, ohne entdeckt zu werden. Dies ermöglicht einem Hacker und seinem Team den freien Zugang zu allen mit BioStar 2 geschützten Bereichen. Sie haben auch Zugriff auf Aktivitätsprotokolle, so dass sie die Daten löschen oder ändern können, um ihre Aktivitäten auszublenden. Dadurch wird die gesamte Sicherheitsinfrastruktur eines gehackten Gebäudes nutzlos. Jeder hat mit diesen Daten die Freiheit, unbemerkt überall hineinzugehen.

Datenschutz-Anwalt informiert: Raub und Betrug

Die offensichtlichste Gefahr, einem Hacker oder Verbrecher den vollständigen Zugang zu einem sicheren Gebäude zu gewähren, ist Diebstahl. Sie können diese Datenbank nutzen, um buchstäblich in einen Raum zu gehen und alles von Wert zu nehmen. Dies gilt unabhängig von der Art des Gebäudes, ob es sich um eine Veranstaltungshalle einer kleinen Stadt oder das Büro einer Regierung handelt. Das Leck ermöglicht Hackern auch den Zugriff auf ansonsten geschlossene Netzwerke, die sie von außerhalb eines Gebäudes möglicherweise nicht erreichen können. Damit können sie wertvolle Informationen, Pflanzenviren, Überwachungs- und Ausbeutungssysteme und vieles mehr stehlen.

Datenschutz-Anwalt informiert: Identitätsdiebstahl und Betrug

Das BioStar 2-Leck enthielt neben den Namen, Fingerabdrücken und Bildern der Benutzer eine Vielzahl von individuellen persönlichen Daten. Dazu gehörten Unterlagen der Beschäftigten, E-Mail-Adressen und Privatadressen. Abgesehen von den Sicherheitsbedenken für die betroffenen Unternehmen können Mitarbeiter und Kunden nun auch für Betrug und andere Verbrechen, Social Engineering genannt, angesprochen werden.

Datenschutz-Anwalt informiert: Phishing-Kampagnen und Weiterverkauf der Daten

Mit den persönlichen und beruflichen Daten, die in diesem Leck enthalten sind, wäre es nicht schwierig, effektive Phishing-Kampagnen zu erstellen. Eine Phishing-Kampagne ist die Verwendung von imitierten E-Mails, um Opfer dazu zu bringen, auf einen Link zu klicken, der in Malware eingebettet ist, oder Informationen bereitzustellen, mit denen sie diese stehlen können. Die Daten von BioStar 2 bieten Cyberkriminellen eine solide Grundlage, um Nutzer für illegale finanzielle Gewinne zu nutzen. Sie können die Informationen, einschließlich der Fingerabdrücke, auch im Internet an andere Kriminelle oder böswillige Agenten verkaufen. Dies könnte zu vielen nicht nachvollziehbaren, belastenden Aktivitäten führen, die mit den Daten unschuldiger Anwender von BioStar 2 realisiert werden.

Datenschutz-Anwalt informiert: Chantage und Erpressung

Bestimmte Mitarbeiter aufgrund ihrer Zugangsberechtigungen in einem Unternehmen zu bedrohen oder zu erpressen, ist eine beliebte Taktik, die von Kriminellen auf der ganzen Welt angewandt wird. Es ermöglicht einem Hacker den Zugriff auf wertvolle Informationen oder Vermögenswerte, ohne sich selbst in Gefahr zu bringen. Der Verstoß in der Datenbank von BioStar 2 ermöglicht es Hackern, individuelle Sicherheitsfreigaben innerhalb eines Unternehmens einzusehen und darauf aufbauend hochrangige Personen für Chantage oder Erpressung anzusprechen. Mit den verfügbaren personenbezogenen Daten können sie ihre Bedrohungen sehr effektiv gestalten, indem sie auf private Informationen zugreifen und persönliche Schwachstellen wie Familie oder Beziehungen ausnutzen. Dadurch sind die Mitarbeiter der betroffenen BioStar 2-Kunden einem extrem hohen Gefahrenpotential ausgesetzt.

Datenschutz-Anwalt informiert: Gestohlener Fingerabdrücke besonders problematisch

Die Verwendung biometrischer Sicherheitsmerkmale wie Fingerabdrücke ist eine aktuelle Entwicklung. Somit ist die volle potenzielle Gefahr des Diebstahls von Fingerabdrücken noch nicht bekannt. Das Wichtigste ist jedoch, dass der Fingerabdruck, sobald er gestohlen wurde, im Gegensatz zu Passwörtern nicht mehr geändert werden kann. Dies macht den Datendiebstahl von Fingerabdrücken noch beunruhigender. Fingerabdrücke ersetzen typisierte Passwörter bei vielen Konsumgütern, wie zum Beispiel Smartphones und PCs. Die meisten Fingerabdruckscanner auf Konsumgütern sind unverschlüsselt, so dass ein Hacker, der eine Technologie zur Replikation Ihres Fingerabdrucks entwickelt, Zugang zu allen privaten Informationen wie Nachrichten, Fotos und Zahlungsmethoden erhält, die auf Ihrem Gerät gespeichert sind.

Datenschutz-Anwalt informiert: Unabsehbare Folgen

Dies sind nur ein paar potenzielle Problem von vielen. Für BioStar 2 ist eines der größten Probleme im Moment die Reputation. Es ist besorgniserregend, dass ausgerechnet ein Sicherheitsunternehmen die Daten seiner Kunden nicht vollständig geschützt hat. In den Händen von kriminellen Hackern könnten alle diese Daten heruntergeladen und für die spätere Verwendung bei einer Vielzahl von Verbrechen gespeichert worden sein.

Datenschutz-Anwalt informiert: Rat an BioStar 2 und Suprema

Dieses Leck hätte leicht vermieden werden können, wenn die Hersteller von BioStar 2 einige grundlegende Sicherheitsvorkehrungen getroffen hätten. Während die Informationen, welche die Forscher fanden, es durchaus auch in die Hände von kriminellen Hackern geschafft haben könnten, schlagen diese BioStar 2 und Suprema folgendes vor: 1. Schützen Sie Ihre Server mit besseren Schutzmaßnahmen. 2. Speichern Sie nicht die tatsächlichen Fingerabdrücke von Benutzern. Speichern Sie eine Hash-Version, die nicht rückentwickelt werden kann. 3. Implementieren Sie geeignete Zugriffsregeln für Ihre Datenbanken. 4. Lassen Sie niemals ein System, das keine Authentifizierung erfordert, für das Internet offen. Alles Vorschläge die auch andere Unternehmen beherzigen sollten.

Datenschutz-Anwalt informiert: Rat an die Kunden von BioStar 2

Wenn Ihr Unternehmen oder Ihre Organisation BioStar 2 verwendet und Sie befürchten, dass Sie von dieser Datenschutzverletzung betroffen sind, sollten sie sich für weitere Informationen an Suprema wenden.

Ebenfalls sollten sie das Passwort für Ihr Dashboard bei BioStar 2 sofort ändern und die Mitarbeiter über die Änderung ihrer persönlichen Passwörter informieren. Darüber hinaus sollten Sie, einen Leitfaden erstellen oder Tools mit Ihren Mitarbeitern austauschen, um ihnen zu helfen, sichere Passwörter zu erstellen. Es gibt online viele Generatoren für sichere Passwörter, um besser geschützt zu sein.

Datenschutz-Anwalt informiert: Ratschläge für Benutzer

Wenn Ihr Arbeitgeber oder ein Unternehmen, bei dem Sie Kunde sind, BioStar 2 verwendet, können Ihre persönlichen Daten, Fingerabdrücke und Gesichtserkennungsdaten durchgesickert sein. Sie sollten das Unternehmen oder den Arbeitgeber über Ihre Bedenken informieren und sicherstellen, dass ihm das Datenleck bekannt ist.

Resch Datenschutz – Experten für DSGVO und Expertise im Datenschutz

Wenn Sie Fragen zur DSGVO oder allgemein zum Datenschutz haben, rufen Sie an unter 030 885 9770, oder füllen Sie den Fragebogen aus. Sie erhalten dann eine kostenlose erste Einschätzung Ihres Falles.