GI-Radar 326: Biometrische Daten – Gefahr für afghanische Ortskräfte

 

Liebe Leserinnen und Leser,

in unseren Kurzmitteilungen geht es dieses Mal unter anderem um das bargeldlose Bezahlen von Kleinbeträgen. Das Thema im Fokus ermahnt zum vorsichtigen Umgang mit biometrischen Daten. In den GI-Meldungen bitten wir Sie darum, Ihren beruflichen Status zu aktualisieren, damit die GI-Geschäftsstellen Sie mit den für Sie relevanten Informationen versorgen können. Das Fundstück beschäftigt sich mit der Informatik in den Schulen.

Wir wünschen Ihnen viel Spaß mit dieser Ausgabe!

auf gi-radar.de weiterlesen

Die Wirkung von Likes + WLAN-Standards + Förderung von Open Source + Bezahlsysteme + Biometrische Daten: Gefahr für afghanische Ortskräfte + INFORMATIK 2023 + Bundesweite Informatikwettbewerbe + Mentoring-Programm + Ihre berufliche Position? + Länderübergreifendes Konzept für Informatik in der Schule

KURZMITTEILUNGEN

Qualität statt Quantität: Wie „Likes“ die Warnehmung verändern und wie soziale Medien ohne sie aussähen (SZ). Der Gradmesser für den Erfolg einer Meldung ist ihre Reichweite. Das ist auch bei Zeitungen so (Auflage!), aber in sozialen Medien gilt dies deutlich mehr. Ob und wie sich unser Verhalten in Bezug auf das Posten in und den Konsum von sozialen Medien auswirkt, wenn der Erfolg von Posts unsichtbar wäre, lässt sich anhand eines Werkzeugs ausprobieren.  weiterlesen

WLAN-Standards: was sie unterscheidet und was kommt (Spiegel). Bereits jetzt kann man oft (je nach Wohnort) vergleichsweise schnell surfen. Dennoch wird der WLAN-Standard immer weiter entwickelt und auch um neue Komponenten ergänzt. Für die kommenden Jahre stehen WI-FI 7 und WI-FI 8 in den Startlöchern. Wer sich für die technischen Details interessiert, liest hier weiter.  weiterlesen

Förderung von Open-Source-Projekten als politische Aufgabe? Eine Betrachtung (ZEIT). Der Grundgedanke von quelloffener Software ist, dass viele daran mitarbeiten und in der Regel niemand dafür bezahlt wird. Das macht es mitunter schwierig, eine gleichbleibende und verlässliche Qualität zu garantieren. Da entsprechende Software aber in vielen, durchaus kritischen Anwendungen eingesetzt wird, findet auch auf institutioneller Ebene ein leichtes Umdenken statt. Die Bundesregierung unterstützt Open-Source-Projekte über einen Fonds.  weiterlesen

Pro und Contra von offenen und geschlossenen Bezahlsystemen für Kleinbeträge (heise). Kleingeld an der Kasse abzuzählen nervt – das Personal ebenso wie die Wartenden. Immer häufiger setzen Anbieter deshalb auf bargeldlose Bezahlsysteme – sei es mit aufladbaren Karten oder der Verknüpfung mit Bankkarten auf dem Smartphone. Pro und Contra der Systeme einschließlich verschiedener Sichtweisen auf Datenschutzfreundlichkeit bietet Heise.  weiterlesen

THEMA IM FOKUS

Zurückgelassene Geräte zur Erfassung biometrischer Daten gefährden afghanische Ortskräfte. Im August 2021 berichteten verschiedene Medien, dass die Taliban Biometrie-Geräte des US-Militärs erbeutet haben (zuerst theintercept.com, 4 min). Dies weckte die Neugier von IT-Sicherheitsforschern des Chaos Computer Clubs (CCC). Bei ihrer Analyse gebrauchter Biometrie-Geräte stießen sie auf die ungeschützten biometrischen Daten von 2632 Afghanen und Irakern. Einer der Forscher ist GI-Junior-Fellow Matthias Marx, der hier von der Recherche berichtet.

Nach dem Abzug der NATO aus Afghanistan stand zumindest theoretisch die Gefahr im Raum, dass die Taliban mit den erbeuteten Biometrie-Geräten von Haus zu Haus ziehen könnten, um Ortskräfte zu identifizieren. Experten zufolge sollten die Taliban zwar weitere Technik benötigen, um die Geräte nutzen zu können. Diese könnte jedoch vom pakistanischen Geheimdienst bereitgestellt werden (netzpolitik.org, 5 min). So begannen wir uns für die Geräte zu interessieren.

Zunächst haben wir das Internet nach Informationen durchforstet. Dabei stießen wir auf umfangreiches Material: Anleitungen und Broschüren, mehrere Bücher, ein Lehrvideo und auf Wikileaks veröffentlichte Dokumente. So konnten wir nachvollziehen, wie die Geräte ausgestattet sind und wie sie im militärischen Kontext eingesetzt wurden. Durch eine biometrische Vollerfassung der afghanischen Bevölkerung sollte jederzeit eine Unterscheidung von den Guten und den Bösen möglich werden (npr.org, 4 min, alternativ zeit.de, 6 min). Unklar blieb jedoch, ob von den zurückgelassenen Geräten tatsächlich eine Gefahr ausgeht.

Wir waren überrascht, als wir mehrere gebrauchte Geräte über Ebay erwerben konnten. Diese Geräte haben wir forensisch untersucht. Dabei stellten wir schnell fest, dass wir einfach auf alle lokal gespeicherten Daten zugreifen können. Es gab keinen Zugriffsschutz, nichts war verschlüsselt. Während die Untersuchungen aus technischer Sicht uninteressant waren, waren die extrahierten Daten umso spannender. Neben Programmen zur Erfassung und zum Abgleich biometrischer Daten fanden wir biometrische Daten von zwei Angehörigen der US-Streitkräfte. Dank gespeicherter Geokoordinaten wussten wir auch, dass eines unserer Geräte zuletzt in Jordanien genutzt worden war.

Allerdings konnten wir noch immer nichts Konkretes über die Situation in Afghanistan sagen. Daher behielten wir den Gebrauchtmarkt im Internet im Auge – und kauften weitere Geräte. Bei unserem fünften Gerät wurden wir fündig. Es war zuletzt Mitte 2012 irgendwo zwischen Kabul und Kandahar eingesetzt worden. Auf diesem Gerät fanden wir außer den Geokoordinaten eine Watchlist mit biometrischen Daten von 2632 Personen (2300 Fotos von Gesichtern, 2964 Iris-Scans sowie 24078 Fingerabdrücke). Auch die Gründe für die Erfassung waren zum Teil angegeben. Aus diesen wurde ersichtlich, dass längst nicht nur Terroristen in der Biometrie-Datenbank erfasst worden waren, sondern auch Ortskräfte und Angehörige afghanischer Streitkräfte. Die theoretische Gefahr, vor der viele lange warnten, war also ganz real.

Daraufhin haben wir verschiedene Verantwortliche informiert: die Verteidigungsministerien der USA und Deutschland als bekannte Nutzer der Geräte sowie den Hersteller. In unserer Meldung wiesen wir nicht nur auf den fehlenden Schutz der sensiblen Daten hin. Wir erwähnten auch, dass gebrauchte Geräte im Internet gehandelt werden und fügten Links zu weiteren Angeboten an. Daraufhin passierte lange nichts. Zweieinhalb Monate nach unserer Meldung konnten wir ein weiteres Biometrie-Gerät kaufen. Erst nachdem wir unsere Recherche auf der Jahresendveranstaltung 2022 des CCCs vorgestellt hatten, wurden die Angebote gelöscht (ccc.de, 55 min, br.de, 10 min). Dies ändert natürlich nichts daran, dass die Taliban ihre Geräte noch haben. Ob die biometrisch erfassten Personen, die sich noch in Afghanistan aufhalten, über möglichen Gefahren aufgeklärt wurden oder ihnen Hilfe angeboten wurde, bleibt unklar.

Der Vorfall ist ein eindrucksvolles Beispiel dafür, dass die zentrale Speicherung vieler biometrischer Daten immer gefährlich ist. Vor dem Einsatz solcher Risikotechnologien müssen wir uns auch die schlimmstmögliche Nutzung vor Augen führen. Dabei dürfen wir nicht vernachlässigen, dass sich die politische Situation in einem Land schnell und unvorhergesehen ändern kann. Systeme, die wir heute etablieren, müssen so gestaltet sein, dass sie auch morgen niemanden gefährden. In Bezug auf biometrische Daten heißt das, dass wir davon absehen sollten, solche Daten in großen Mengen zentral zu sammeln.

Dieser Beitrag wurde von Matthias Marx verfasst, der bei den Security Research Labs in Berlin tätig ist. In seiner Freizeit engagiert er sich beim Chaos Computer Club. Vielen Dank für diesen ausführlichen Einblick!

GI-MELDUNGEN

INFORMATIK 2023: Workshops einreichen! Noch bis zum 20. Januar können Workshops zur INFORMATIK 2023 eingereicht werden. Die diesjährige Jahrestagung steht unter dem Motto „Designing Futures“ und findet als hybrides Festival in Berlin statt.  weiterlesen

Erfolgsgeschichte Bundesweite Informatikwettbewerbe. Was als „BWINF = Bundeswettbewerb Informatik“ vor Jahrzehnten begonnen hat, hat sich mittlerweile zu einem umfassenden Angebot für Kinder und Jugendliche jeden Alters entwickelt – und Jahr für Jahr fahren unsere Wettbewerbe neue Rekorde ein. Im vergangenen Jahr haben mehr als eine halbe Million Interessierte teilgenommen.  weiterlesen

Mentoring-Programm für GI-Mitglieder: Interessierte gesucht! Unsere Mentoring-Programm läuft nun seit geraumer Zeit, zahlreiche Mentorings sind abgeschlossen. Wir bieten deshalb Interessierten wieder die Möglichkeit, hier mitzumachen, sowohl als Mentorin, bzw. Mentor als auch als Mentee.  weiterlesen

In welcher (beruflichen) Position sind Sie? Als Sie in die GI eingetreten sind, haben wir Sie nach Ihrer beruflichen Position gefragt, um Sie auch passgenau über Angebote informieren zu können. Allerdings sind dies Daten, die häufig nicht aktualisiert werden, sodass unsere Mitglieder-Datenbasis nicht mehr zuverlässig ist. Wir bitten Sie deshalb herzlich, neben Ihrer Adresse auch Ihre sonstigen Daten aktuell zu halten. Dies geht ganz einfach über den folgenden Link.  weiterlesen

 

 

Kennen Sie eigentlich den GI-Pressespiegel? Dort sammeln wir die Berichterstattung über unsere Fachgesellschaft in Zeitungs-, Radio- und Fernsehbeiträgen. Unter anderem hat der Sprecher des Fachausschusses Informatik in der Schule, Peer Stechert, im Gespräch mit „Bildungsklick“ die Notwendigkeit eines verpflichtenden Informatikunterrichts erläutert (bildungsklick.de). Schauen Sie rein, es gibt da immer wieder Neues oder auch ältere Fundstücke.

FUNDSTÜCK

Informatik in der Schule: länderübergreifendes Gesamtkonzept gefordert. In einem Gastbeitrag für den Tagesspiegel skizziert der ehemalige Vorsitzende des Ausschusses „Forschung und Lehre“ der EU-Kommission (und GI-Vizepräsident) Rainer Busch ein länderübergreifendes Gesamtkonzept für die Ausgestaltung eines Informatikunterrichts. Ohne verpflichtenden Informatikunterricht und digitalen Unterricht habe Deutschland keine digitale Zukunftsperspektive, ist sein Standpunkt.  weiterlesen

Welches Fundstück hat Sie zuletzt inspiriert? Senden Sie uns Ihre Ideen!

 

Dies war Ausgabe 326 des GI-Radars vom 13.01.2023. Zusammengestellt wurde diese Ausgabe von Dominik Herrmann, der gut damit leben kann, dass das GI-Radar ganz ohne Likes auskommt. GI-Geschäftsführerin Cornelia Winter hat die Mitteilungen und Meldungen zusammengetragen. Das nächste GI-Radar erscheint am 27. Januar 2023.

Im GI-Radar berichten wir alle zwei Wochen über ausgewählte Informatik-Themen. Wir sind sehr an Ihrer Meinung interessiert. Für Anregungen und Kritik haben wir ein offenes Ohr, entweder per E-Mail (redaktion@gi-radar.de) oder über das Feedback-Formular bei SurveyMonkey. Links und Texte können Sie uns auch über Twitter (@informatikradar) zukommen lassen.