Taliban als Paradebeispiel – das Risiko einer Biometrie-Datenbank

News

Die Taliban haben in Afghanistan nicht nur massenweise Waffen, Fahrzeuge und sonstige Kriegsgeräte ergattert, sondern auch Millionen sensibler Datensätze inklusive unzähliger Fingerabdrücke und biometrischer Gesichtsabbildungen. Amerikanische und afghanische Datenbanken machten es möglich – der Terror profitiert. Was fernab unserer Wohlfühlzone passiert, trifft (irgendwann) auch uns: Im guten Glauben angefertigte Datenbanken sind niemals sicher, erst recht nicht bei einem Machtwechsel. Ein Kommentar.

Daten für den Terror

Durch den übereilten, unkoordinierten und chaotischen Abzug aus Afghanistan hat sich der Westen blamiert. Ehrlich gesagt war ich richtig erstaunt, dass die deutsche Bundeswehr überhaupt noch funktionierende Flieger hat. Nun allerdings, wo längst die nächste Sau durch die Medien getrieben wird, sind Afghanistan-News für viele schon von gestern. Derweilen wird in diesem Land weit weg von uns und unserer Bequemlichkeit unter den Taliban alles andere als Ruhe einkehren.

Die islamistische Mittelalter-Bande hat im Nu einen ganzen Staat eingenommen – und mit ihm biometrische Datenbanken. Fingerabdrücke, Gesichtserkennung, Iris-Scans: Das ist doch eigentlich so ein USA-Ding. Oder der feuchte Traum unserer (Noch-)Regierung. Aber Afghanistan? Klar, die Amis und Militärangehörige vieler anderer Staaten befanden sich dort. Wenn eine Biometrie-Datenbank hochgeht, hätte ich dennoch eher an die USA oder an Dilettanten in der EU gedacht. Nun, zumindest konnten die westlichen Staaten genug Einfluss auf Afghanistan nehmen, um ihren Datensammel-Wahnsinn dort breit zu machen.

Erbeutet wurden zum einen biometrische Geräte des US-Militärs namens HIIDE (Handheld Interagency Identity Detection Equipment). Die dahinterstehenden Daten seien jedoch auf sicheren Servern gespeichert. Die viel größere Bedrohung gehe daher von Datenbanken der afghanischen Regierung aus. Ein Großteil der Taliban mag aus einfältigen Fanatikern bestehen – es gibt aber bestimmt auch intelligente Ideologen in dieser Truppe. Wenn die biometrische Datenbanken in die Finger bekommen, sind afghanische Staatsbürger in- und außerhalb des Landes gefährdet.

Das Rundum-Datenpaket „für den guten Zweck“

Frauenrechte werden mit Füßen getreten, es herrscht Armut, wenig Bildungschancen: Afghanistan ist schon länger eines der Schlusslichter innerhalb der Staaten-Beliebtheitsskala. Für diverse Datenbanken scheint aber genug Geld vorhanden gewesen zu sein – auch dank internationaler Bestrebungen: Da gibt es z.B. APPS (Afghan Personnel and Pay System) und AABIS (Afghan Automatic Biometric Identification System). Eingeführt für den guten Zweck, in den falschen Händen eine Bedrohung.

APPS gegen Betrug

Die 2016 entstandene Datenbank diente der Eindämmung des Gehaltsbetrugs durch gefälschte Identitäten und sogenannte Geistersoldaten, die gar nicht existieren. Darin enthalten sind zig Millionen Datensätze über die Mitglieder der afghanischen Armee und der afghanischen Polizei. Die Daten werden ab dem ersten Tag ihrer Meldung für den Job gespeichert – wohl für immer, auch, wenn derjenige schon ausgeschieden ist. Von einer Löschungs- oder Datenaufbewahrungspolitik wisse ein System-Insider nichts.

Jedes Profil in APPS umfasst mindestens 40 Datenfelder. Die meisten davon lassen sich in einer Präsentation des „Combined Security Training Command-Afghanistan“ der NATO über den Rekrutierungsprozess der afghanischen Polizei nachlesen. Gespeichert werden nicht nur Name und Geburtsdatum, sondern auch eine eindeutige ID-Nummer, die jedes Profil mit einem biometrischen Profil des afghanischen Innenministeriums verbindet. Außerdem stehen darin Informationen über die militärische Spezialisierung, den beruflichen Werdegang, die Namen der Väter, Onkel, Großväter und der Bürgen für die Rekrutierung (das sind die beiden Stammesältesten jedes Rekruten). Besonders merkwürdig sind die Fragen nach dem Lieblingsobst und -gemüse. Da die Taliban keine militanten Veganer sind, dürfte sie diese Information wohl kaum milde stimmen.

Ein anonymer Beteiligter zieht folgendes Fazit:

„Nennen Sie mir ein Feld, von dem Sie glauben, dass wir es nicht erfassen, und ich werde Ihnen sagen, dass Sie sich irren … Ich glaube, wir haben keine Namen von Müttern. Manche Leute geben in unserer Kultur nicht gerne den Namen ihrer Mutter an.“

Kampf gegen Terrorismus mit AABIS

AABIS ist die biometrische Zentraleinrichtung Afghanistans, ins Leben gerufen durch das afghanische Innenministerium. Nachempfunden ist die Datenbank jedoch dem „Automatic Biometric Identification System“ des US-amerikanischen Verteidigungsministeriums, welches bei der Identifizierung von Zielen für Drohnenangriffe unterstützte. Ganz schön makaber.

Wie viele Datensätze sich in dieser Datenbank befinden, weiß keiner. Der in den USA ansässige Programmmanager für AABIS beziffert die Zahl auf seinem LinkedIn-Profil auf 8,1 Millionen. An AABIS kam man jedenfalls kaum vorbei: Bei Bewerbungen für Regierungsposten und -funktionen, bei der Beantragung von Reisepässen, Personalausweisen, Führerscheinen und bei der Registrierung für die Aufnahmeprüfung an Hochschulen, bei all diesen Vorgängen war eine biometrische Überprüfung notwendig. Warum? Schutz vor Kriminalität bzw. Terrorismus. Diese Erklärung kommt uns doch bekannt vor – immerhin werden viele Überwachungsaktivitäten und Datensammlungen hierzulande damit gerechtfertigt.

Datensammeln, weil … keine Ahnung?

Aber das reicht noch nicht. Eine weitere biometrische Datenbank war mit dem afghanischen elektronischen Personalausweis „e-tazkira“ verbunden. Darin gespeichert: Millionen von Daten, allein 6,2 Millionen Anträge waren zum Zeitpunkt des Regierungssturzes in Bearbeitung.

Bei den Parlamentswahlen wurden seitens der Unabhängigen Wahlkommission Fingerabdruckscanner verwendet, um Wahlbetrug zu vermeiden. Dabei spielte die Technik nicht immer mit. 2020 plante das Ministerium für Handel und Industrie, biometrische Daten von Personen zu erfassen, die ein neues Unternehmen anmelden.

Selbst nach dem Abzug der Streitkräfte werden noch Datenbanken verwendet – wenn auch auf dilettantischem Niveau, also in ungesicherten Google-Formularen und Excel-Tabellen. Wenn Sie mich fragen, unterscheidet sich das kaum von der häufig naiven Datenerfassung bei deutschen Behörden – mit Ausnahme der Tatsache, dass man hierzulande bei Datenabfluss (aktuell) nicht um sein Leben fürchten muss.

Ein Taliban-Traum wird wahr

Aus der sandalentragenden und mit Uralt-Gewehren um sich schießenden Terrorgruppe werden mithilfe der Datenbanken und des zurückgelassenen Kriegsgeräts moderne Soldaten mit weiterhin rückständiger und unmenschlicher Ideologie. Wohin das führt, kann man sich denken. Die Taliban machen Jagd auf ihre Gegner, suchen „Kollaborateure“ und lassen diese verschwinden. Da können sich die Islamisten noch so gemäßigt geben – Islamismus light gibt es nicht. Das ist einfach nur Lug und Trug, um eine Appeasement-Politik des Westens herbeizuführen, bis man ausreichend gefestigte Strukturen geschaffen hat. Und es funktioniert: Deutschland lässt sich an der Nase herumführen, bis es zahlt.

Derweilen morden die Taliban im Geheimen. Nur Einzelfälle werden bekannt. So hat die UN-Hochkommissarin für Menschenrechte am 24. August 2021 auf einem Sondertreffen der G7 mitgeteilt, dass ihrem Büro glaubwürdige Berichte über Hinrichtungen von Zivilisten und afghanischen Sicherheitskräften vorliegen. Nach der Eroberung der Provinz Ghazni Anfang Juli 2021 haben die Taliban laut Amnesty International neun Angehörige der schiitischen Minderheit der Hazara bestialisch gefoltert und massakriert. Wer glaubt, dies seien „Ausrutscher“, der glaubt auch an den Weihnachtsmann – oder an ehrliche Politik.

Taliban-Kämpfer gingen von Tür zu Tür, um nach Ortskräften und „Verrätern“ zu suchen. Mit den biometrischen Datenbanken fällt ihnen die Suche bzw. der Abgleich künftig leichter. Und das für immer, wenn man bedenkt, dass sich biometrische Daten nicht ändern. Bereits 2016 verwendeten Taliban laut Zeugen bei einem Überfall im Kundus auf einen Bus mit anschließender Geiselnahme und 12-fachem Mord Fingerabdruckscanner, um die Identität der Personen zu überprüfen. Woher sie die Daten bezogen? Unklar. Vielleicht gab es irgendwo eine undichte Stelle. Vielleicht haben die Taliban jemanden erpresst. Vielleicht war man aber auch einfach zu inkompetent, um die Datenbanken richtig abzusichern.

Geradezu unheimlich erscheint da die Aussage eines US-amerikanischen Militärbeamten 2010 auf einer Biometrie-Konferenz in Kabul:

„[Die Biometrie werde] unseren afghanischen Partnern helfen, zu verstehen, wer ihre Bürger sind … Afghanistan bei der Kontrolle seiner Grenzen unterstützen und … der Regierung die Herrschaft über die Identität des Volkes geben.“

Bei solchen Überwachungsfantasien kriege ich Schnappatmung. Biometrie und damit Daten geben Machthabern die Herrschaft über die Identität des Volkes – was ist mit denen, die aus deren Sicht nicht dazugehören?

Das kann uns auch passieren …

… und ist es auch bereits. Ob Volkszählung und Bevölkerungsregister ausnutzende Nazis zum Auffinden deutscher und niederländischer Juden bzw. Menschen sogenannter jüdischer Abstammung oder die lange Zeit geführten Rosa Listen (ich erinnere an die Erfassung Homosexueller durch die Polizei 2005) – wir sind vor Datenbankmissbrauch nicht gefeit.

Ob mit guter oder böser Absicht angelegt, sie bieten Missbrauchspotential und was einmal da ist, ist nun mal da. Irgendeiner wird es irgendwann nutzen. Sie haben nichts zu verbergen? Mit dieser Aussage rechnet folgender Kommentar ab:

„Ich habe ja nichts zu verbergen“ …

Jetzt? Kann sein.

Aber du weißt nie wann wer an welche deiner Daten kommt und dann wirst du ggf. auf die harte Tour lernen müssen: Du hast was zu verbergen, weißt aber heute noch nicht was, vor wem und wann!

Und je größer der Datenhaufen, desto größer die Chance, dass jemand mit den nötigen Mitteln und dem entsprechenden Interesse sich Zugang verschafft.“

Das Problem ist: Den Zugang ermöglichen wir selbst – indem wir Social Media mit Daten füttern oder an der Wahlurne, wenn wir Parteien wählen, die noch nicht genug vom Datensammeln haben. Zentrale Bürgernummer, Gesichtserkennung, Fingerabdruckpflicht auf dem Personalausweis, Staatstrojaner. Ganz ehrlich, wir haben sie nicht mehr alle.


Dieser Beitrag ist ein Kommentar und spiegelt daher die persönliche Meinung der Autorin / des Autors wieder. Diese muss nicht mit der Meinung des Herausgebers oder seiner Mitarbeitenden übereinstimmen.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

10 Kommentare zu diesem Beitrag

  1. Ein sehr guter Kommentar zu den Datenschutzproblematiken. Zu den politischen Themen die Sie hier ganz klar und sachlich schildern stimme ich Ihnen zu einhundert Prozent zu!

  2. Wir wissen von Afghanistan nichts. Da muessten wir die Faelle genau kennen. Welche Rolle spielten dabei biometrische Daten? Da sieht ein Taliban den Polizisten, der ihn zuvor im Gefaengnis gepeinigt hat. Verboten, aber noch nachvollziehbar. Zum Beispiel.

  3. Unabhängig von der Afghanistan-Problematik, bei der es wohl keine zwei Meinungen gibt, es sei denn man sympathisiert mit den Anachronisten dort unten, möchte ich gerne mal einen ganz allgemeinen Kommentar abgeben:
    Datenschutz ist richtig und wichtig – keine Frage. Aber wir alle dürfen dabei nicht wie „Beseelte“ durch die Gegend laufen und alles verteufeln. Es geht darum den Missbrauch zu verhindern, ja richtig. Aber kann man das tatsächlich verhindern? Nein! Diebstähle der klassischen Art werden immer noch begangen, obwohl wir uns mit HighTech und anderen Maßnahmen davor schützen, denn die „Gegenseite“ rüstet auch auf. Dieses wird man nie ausschliessen können. So wird es mit Datendiebstählen und – missbräuchen auch immer sein. Natürlich geht es um den Schutz unserer aller Daten, die wir zuhauf – zum Teil leichtsinnig – munter preisgeben. Wir dürfen allerdings nicht immer nur gegen alles sein. Lasst uns gemeinsam einen Weg finden, um den Datenschutz in ein Licht zu stellen, der seiner Wichtigkeit entspricht! Solange wir uns aber auf Formulierungen im zweiten Halbsatz irgendwelcher Schriftstücke stürzen, um darin den Untergang des Abendlandes zu vermuten, werden wir doch eher belächelt und nicht ernst genommen! Lasst uns gemeinsam mit den IT-Spezialisten und den Datenverarbeitern an einem Strang ziehen! Natürlich dürfen und sollen wir kritische Fragen stellen, aber am Ende sind wir uns doch alle einig: Die moderne Datenverarbeitung bringt viel Segen. Den Fluch, der die Kehrseite der Medaille darstellt, bekommen wir dann auch noch in den Griff. Datenschutz darf nicht zum Ziel haben, die Datensverarbeitung zu verhindern! Datenschutz bedeutet, einen sensibleren Umgang mit den Daten zu erreichen..bei Datennutzern und -gebern. Das liegt ausschließlich an uns.

    • Der von ihnen gewählte Ansatz ist nicht grundsätzlich falsch. Aber dann eben doch völlig realitätsfremd. Datenschutz funktioniert nicht ohne IT-security Maßnahmen und Verschlüsselung. Beides existiert in Europa in unzureichendem Umfang. Ich möchte nur daran erinnern, dass das deutsche IT-Sichheitsgesetz seit 2016 in Kraft getreten ist. Dann schauen sie sich Mal heute bei öffentlichen Verwaltungen und der freien Wirtschaft um: es ist nicht viel passiert, auf jedem Fall viel zu wenig. Und dem Mißbrauch persönlicher Daten sind weiterhin die Netze weit offen. Solange das so ist, sollten wir die Meinung der Autorin sehr ernst nehmen und keine weiteren Datenbank Experimente wagen. Denn die bestehenden sind schon schlimm genug.

    • Ich verstehe Ihre Bedenken, der Datenschutz könnte zum Klotz im Bein werden und alles im Vorhinein verhindern. Das ist ein Argument, das häufig gebracht wird – leider allzu oft pauschal und vorgeschoben.
      Ein hundertprozentiges Verhindern von Datenmissbrauch ist natürlich nicht möglich. Das hindert aber niemanden daran, es bestmöglich zu versuchen.
      Auch wenn Diebstähle heute noch begangen werden, gibt es doch entsprechende Straftatbestände im StGB und Verurteilungen durch die Gerichte. Man stelle sich vor, der Richter spreche den Täter stets frei, weil die Straftat trotz Gesetzgebung nicht zu verhindern sei. Undenkbar. Stattdessen wird derselbe Richter in seiner Laufbahn noch unzählige weitere Eigentumsdelikte auf dem Tisch haben, oftmals daran halb verzweifeln, aber er wird immer und immer wieder ein Urteil sprechen. Zum einen, weil dies seine Aufgabe ist. Zum anderen, weil er Gutes bewirken will.

      Wir Datenschützer werden ständig belächelt. Wir würden (wie Sie auch andeuten) den Untergang des Abendlandes prophezeien, heißt es da zum Beispiel. Wie Sie in meinem Artikel nachlesen können, wurden Bevölkerungsregister schon öfter missbraucht, während des Dritten Reichs mit katastrophalen Folgen. Der Datenschutz ist ein rechtsstaatliches Mittel, um derartiges und weitere schreckliche Dinge zu verhindern. Wenn Warnungen jedes Mal nur zu Augenrollen führen, weil man es aktuell bequem und sicher hat, braucht man sich nicht wundern, wenn die aus Leichtsinn verbreiteten Daten einem irgendwann um die Ohren fliegen.

      Die größte Datensicherheit bringt im Übrigen nichts, wenn die Daten erst einmal da sind. Auch ein berechtigter Zugriff kann zu Missbrauch führen. IT-Sicherheit ersetzt Datenschutz daher nicht bzw. vermag Datenschutzbedenken nur begrenzt zu mindern. Das Prinzip der Datenminimierung ist anzuwenden, egal wie sicher die Schutzmaßnahmen auch sind.

  4. Ich warte nur auf den Moment, an dem die Daten von DeutschlandCard oder Payback missbräuchlich verwendet werden. Auch das ist nur eine Frage der Zeit. Aber dann wird wieder der mangelnde Datenschutz verteufelt. Die Frage, warum bin ich bei jedem Einkauf wild darauf, speichern lassen, wann, wo, was ich gekauft und womit ich bezahlt habe, wird dann nicht gestellt werden.

  5. Datenschutz hat auch nicht das Ziel Datenverarbeitung zu verhindern, dazu gibt es nämlich das über allem stehende Gebot der Datensparsamkeit! Daten dürfen de jure also gar nicht erst erhoben werden sofern kein erlaubter Zweck vorliegt. Diese Zwecke die übrig bleiben müssen soweit wie möglich auf ein Minimum beschränkt sein. Raffgier (Geld verdienen, Werbung, etc.) und andere Gründe dieser Art gehören m.M.n. grundsätzlich gestrichen.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.