Am 30. August 2021 haben die letzten NATO-Truppen Afghanistan überhastet verlassen.

Bei den Militäreinsätzen in Afghanistan und im Irak bauen die amerikanischen Streitkräfte eine biometrische Datenbank von Freund und Feind auf. Doch mit der Sicherheit scheint man es nicht so genau zu nehmen: Sechs der eingesetzten Biometrie-Geräte landen über Ebay beim Chaos Computer Club.

Ein deutscher Sicherheitsforscher des Chaos Computer Clubs (CCC) hat auf Ebay erfolgreich mehrere Geräte erworben, auf denen sich vollständige Datensätze von mutmaßlichen Terroristen und Gesuchten, aber auch Ortskräften des US-Militärs befunden haben sollen. Die "New York Times" berichtet, dass es sich bei den meisten Personen um Afghanen und Iraker handelt, deren biometrische Daten bei den Militäreinsätzen der USA nach dem 11. September 2001 erfasst wurden.

Wie die Zeitung berichtet, war eines dieser Biometrie-Geräte bei einer Auktion für 149,95 US-Dollar auf Ebay gelistet. Gewonnen hat CCC-Forscher Matthias Marx mit einem Gebot von nur 68 US-Dollar. Nach der Auktion wurde ihm das Gerät im August nach Hamburg geschickt. Auf der Speicherkarte entdeckte er anschließend Fingerabdrücke, Iris-Scans, Gesichter und DNA von insgesamt 2632 Personen. Dem Bericht zufolge wurde das Gerät namens SEEK II (Secure Electronic Enrollment Kit) letztmals im Sommer 2012 in der Nähe der afghanischen Stadt Kandahar eingesetzt.

Wie das Gerät nach dem Einsatz in Afghanistan ein Jahrzehnt später bei Ebay landen konnte, lässt sich den Angaben zufolge nicht nachvollziehen. Das US-Verteidigungsministerium verlangte auf Nachfrage der "New York Times", dass es zur weiteren Untersuchung wieder an die US-Behörden übergeben wird.

"Tickende Zeitbombe"

Wie der Chaos Computer Club (CCC) selbst berichtet, hat er gemeinsam mit Marx über einen Zeitraum von einem Jahr insgesamt sechs dieser Biometrie-Geräte auf Ebay erworben - die meisten für weniger als 200 US-Dollar das Stück. Demnach wurden einige davon bei dem überhasteten Abzug der NATO aus Afghanistan im Sommer 2021 schlicht in dem Land vergessen. "Jede biometrische Datenbank ist eine tickende Zeitbombe", schreiben die Experten für Cybersicherheit. "Seitdem die Taliban die Biometrie-Geräte erbeutet haben, besteht die Sorge, dass sie zur Identifikation ehemaliger Ortskräfte genutzt werden können."

Größere Computerkenntnisse sind demnach für die Verwendung der Geräte nicht notwendig. "Aus technischer Sicht waren die Untersuchungen geradezu langweilig", heißt es beim CCC. "Sämtliche Datenträger waren unverschlüsselt. Als Zugangsschutz musste lediglich ein gut dokumentiertes Standardpasswort eingegeben werden. Auch bei der Datenbank handelte es sich um eine Standard-Datenbank mit Standard-Datenformaten. Sie konnte mit wenig Aufwand vollständig exportiert werden."

Pentagon verweist an den Hersteller

Der Hersteller der Geräte, das Pentagon und die Bundeswehr, die diese ebenfalls in Afghanistan zur Datenerfassung von Verdächtigen und Ortskräften eingesetzt haben soll, wurden nach Angaben des CCC über die Sicherheitslücken informiert - bislang ohne Ergebnis: "Von der Bundeswehr erhielten wir eine Empfangsbestätigung, das US-Verteidigungsministerium verwies uns freundlich an den Hersteller, und der Hersteller unternahm nichts", schreiben die Experten. "Zweieinhalb Monate nach unserer Meldung konnten wir ein weiteres Biometrie-Gerät online bestellen."

Nach Angaben der "New York Times" sind die einer Polaroid-Kamera ähnlichen Geräte sogar noch funktionsfähig. Demnach hat CCC-Forscher Marx eines davon bei sich selbst getestet. Anschließend wurde er gebeten, es für den Datentransfer mit einem Server des US-Militärs zu verbinden.