So schlimm der Tatbestand auch ist, aber gestohlene Passwörter können geändert werden, ein geleakter Fingerabdruck jedoch nicht. Die neue Studie "Leaked Today, Exploited for Life: How Social Media Biometric Patterns Affect Your Future" von Trend Micro zeigt Gefahren durch gestohlene oder geleakte biometrische Daten auf. [...]
Dass viele Menschen zu sorglos mit ihren Daten im Internet umgehen, ist kein Geheimnis. Oftmals ist auch vorsichtigeren Bürgern und Bürgerinnen nicht bewusst, welche Daten böswillige Hacker alle gegen einen verwenden können. So werden jeden Tag eine große Menge biometrischer Daten auf digitalen Plattformen veröffentlicht. Dabei handelt es sich unter anderem um Gesichts-, Stimm-, Iris-, Handflächen- und Fingerabdruckmuster, die aber, wenn sie einmal in die falschen Hände gefallen sind, zur Täuschung von Authentifizierungssystemen genutzt werden können.
„Die Verwendung biometrischer Daten wird als sicherere und einfache Alternative zu Passwörtern befürwortet“, erklärt Udo Schneider, IoT Security Evangelist bei Trend Micro, die Beliebtheit der Authentifizierungsmethode und verweist auf deren größte Gefahr: „Im Gegensatz zu Passwörtern können physische Merkmale nicht einfach geändert werden. Eine Kompromittierung hat also langfristige Auswirkungen auf den Benutzer. Ein gekapertes Profil bringt ähnliche Folgen mit sich, wie wenn man sich heute vollständigen Zugang zu einem PC verschafft.“
Bilder und Audioinhalte, die auf sozialen Medien und Messaging-Plattformen, Nachrichtenseiten, aber auch Regierungsportalen täglich gepostet werden, werden so potenziell zum wertvollen Gut für Cyberkriminelle. Die Studie von Trend Micro thematisiert diese Gefahren und will einen Dialog anstoßen, wie derartige Risiken vermieden werden können.
Zahlreiche Angriffsmöglichkeiten
Es gibt zahlreiche Angriffsszenarien, die zeigen, wie Cyberkriminelle – in der Studie werden sie auch als Bedrohungsakteure bezeichnet – gestohlene oder geleakte biometrische Daten nutzen können. Die Hacker haben die Möglichkeit, betrügerische Transaktionen, gefälschte Konten oder Einkäufe online zu authentifizieren. Außerdem können zum Beispiel mithilfe von persönlichen Daten Deepfakes erstellt und sogar Umfragen oder Wahlen beeinflusst werden. Darüber hinaus stellen Connected Devices wie Virtual oder Augmented Reality (VR/AR)-Headsets eine Gefahr dar. Von Bedrohungsakteuren manipuliert, dienen sie als Tool, um Authentifizierungssysteme zu umgehen. Denn wer in der Lage ist, sich als eine reale Person auszugeben, kann sich problemlos Zugang zu Online-Banking-Konten, Geschäften mit Kryptowährung oder hochsensiblen Unternehmensdaten verschaffen.
Dadurch, dass biometrische Daten heute eine viel wichtigere Rolle spielen als noch vor einem Jahrzehnt eröffnet das Bedrohungsakteuren gemeinsam mit dem technologischen Fortschritt auch neue Möglichkeiten, diese auszunutzen. Die Studie nennt hier vier zentrale Punkte:
- Qualität der Daten: Eine höhere Auflösung von Smartphone-Kameras, die Unterstützung von 4K-Videos und hochauflösenden Bildern durch Medienplattformen, die Cloud, Data Mining und Künstliche Intelligenz oder Machine Learning (KI/ML)-Funktionen führen zu einem Risikoanstieg.
- Öffentliche Sicherheit: Überwachungskameras können Personen auf der Grundlage von Gesichtserkennungsalgorithmen verfolgen. Diese werden anhand der von den Nutzern in soziale Medien hochgeladenen Daten trainiert.
- Individuelle Sicherheit: Die Daten können auch für Identitätsdiebstahl oder die Erstellung von Deepfakes, insbesondere von Persönlichkeiten des öffentlichen Lebens, oder für die staatliche Überwachung genutzt werden.
- Angriffe auf Konten: Während der finanziell motivierte Missbrauch dieser Daten heute noch relativ selten ist, wird sein Ausmaß mit der Zeit zunehmen, da die Authentifizierungshürden weiter sinken.
Die lesenswerte Studie beinhaltet viele Beispiele. Die Studienautoren raten dazu, nicht hochaufgelöste Audio- und Fotodateien zu teilen und genau zu überlegen, welche Authentifizierung man wo einsetzt. Sie schließen mit folgender Erkenntnis: „Biometrische Daten sollten wie ein Passwort behandelt werden, das nie abläuft. Auch wenn Kriminelle diese Informationen derzeit nicht zuverlässig für groß angelegte Angriffe nutzen können, bedeutet dies nicht, dass dies immer so sein wird.“ Die Studie (englisch) kann hier heruntergeladen werden.
Be the first to comment