GEDmatch stellt der Polizei unerlaubt Gendaten zur Verfügung

Verogen-Webseite
GEDmatch-Betreiber Verogen will an der Zusammenarbeit mit der Polizei Geld verdienen. Die Daten stammen von den Nutzern. (Quelle: Verogen)

Das Vertrauen zur Gendatenbank GEDmatch und dem Mutterkonzern Verogen dürfte erst einmal dahin sein: Am 19. Juli konnten US-Strafverfolger Gendaten von über einer Million Profilen mit Kriminalitätsdatenbanken abgleichen, ohne dass die Nutzerinnen und Nutzer dem zugestimmt hatten. Der Grund waren plötzlich veränderte Voreinstellungen. Die Firma erklärte, Ursache sei ein Angriff gewesen.

Fremde Daten als Geschäftsmodell

Nutzer übertragen ihre Gendaten in die GEDmatch-Datenbank, um sich beispielsweise Verwandtschaftsverhältnisse anzeigen zu lassen. Der Betreiber Verogen verspricht dabei absolute Privatsphäre. Wer möchte, kann aber einwilligen, dass die Polizei auf Teile des Profils zugreifen darf, um Straftäter zu ermitteln. Eigentlich haben sich nur rund 280.000 der 1,45 Millionen Nutzer dazu bereit erklärt.

Die Behörden gleichen DNA-Proben von Verdächtigen mit der Datenbank ab, indem sie eigene Profile mit diesen DNA-Informationen erstellen. So können sie Verwandte ermitteln und eventuell auf die Täterin oder den Täter stoßen. Auf diese Weise wurde beispielsweise im Jahr 2018 der sogenannte Golden State Killer Joseph James DeAngelo gefasst. Er hatte zwischen 1974 und 1986 mindestens 13 Menschen ermordet, im Zuge der Ermittlungen gestand er 45 Vergewaltigungen.

Die Polizei bezahlt für den Zugang bei GEDmatch und Betreiber Verogen hofft auf eine dauerhafte Einnahmequelle. Denn für die Nutzerinnen und Nutzer ist die Plattform – bis auf optionale Premium-Accounts – kostenlos. Entsprechend große Mühe machte sich Verogen bislang, die Nutzer von der Sicherheit seiner Datenbank zu überzeugen.

Datendiebstahl unklar

Als Ursache für die Falschkonfiguration nennt Verogen in seiner Stellungnahme einen “ausgeklügelten Angriff auf einen Server mithilfe eines Nutzer-Accounts”. Das Unternehmen nahm den Server “kurze Zeit später” vom Netz.

Die Angreifer hätten alle Benutzerberechtigungen zurückgesetzt, sodass alle Profile drei Stunden lang für alle Nutzer in Teilen sichtbar waren. Auch die von der Polizei angelegten Profile wurden in dieser Zeit angezeigt. Etwa eine Million Nutzerprofile konnten außerdem von den Behörden zum Abgleich genutzt werden. Nutzerdaten sollen aber laut Verogen nicht heruntergeladen oder kompromittiert worden sein.

Bislang stehe nicht fest, um wen es sich bei den Angreifern handelt. Einen Tag nach dem Vorfall nahm der Dienst wieder die Arbeit auf. Daraufhin kam es zu einem zweiten Zwischenfall, bei dem alle Profile unbeabsichtigt für Ermittler gesperrt wurden. Forschungsprofile waren hingegen sichtbar. Verogen schaltete den Dienst bis auf Weiteres wieder offline.

Zweifel an Verogens Schilderung

An der Behauptung des Betreibers, es seien keine Daten abgefischt worden, kamen am Dienstag Zweifel auf: Verogen-Konkurrent MyHeritage warnte per Blog-Eintrag vor betrügerischen Mails an Nutzer von GEDmatch.

Diese enthielten Links zu einer sogenannten Phishing-Seite mit der Adresse myheritaqe.com. Auf den ersten Blick gleicht die Adresse der Webseite myheritage.com der Gendatenbank MyHeritage, allerdings tauschten die Betrüger das “g” im Original gegen ein schwer zu entdeckendes “q”. Auf diese Weise versuchten die Angreifer, die Nutzer auf die Seite zu locken und Nutzernamen und Passwörter zu erfragen.

Da die E-Mails nur an Nutzer von GEDmatch gingen, läge laut MyHeritage nahe, dass die Adressen aus dem Angriff auf die Datenbank stammen.

Gefährliche Gendaten

Mittlerweile gibt es zahlreiche Unternehmen, die Gentests und dazugehörige Datenbanken anbieten: Der Nutzer zahlt eine Gebühr und schickt Genproben zum jeweiligen Anbieter. Dieser analysiert die Geninformationen dann beispielsweise auf Verwandtschaftsverhältnisse, ethnische Herkunft, Krankheiten, Gesundheitsrisiken oder andere außergewöhnliche Charakteristika.

Dabei stehen aber die Betreiber und das Geschäftsmodell regelmäßig in der Kritik. So fand das TV-Magazin Super.Markt des rbb durch Tests heraus, dass die Ergebnisse häufig wenig aussagekräftig oder falsch sind: Viele Analysen bestanden teilweise aus plumpen Floskeln. In vielen Ergebnisberichten fanden sich zudem Widersprüche – und die Anbieter gaben zu derselben Genprobe völlig unterschiedliche Einschätzungen ab.

Das zweite Problem besteht darin, dass es sich bei Erbgut um extrem heikle Informationen handelt. So können beispielsweise auch Aussagen über Personen getroffen werden, die in die Analyse nicht eingewilligt haben oder noch gar nicht leben. Wird bei einem Nutzer beispielsweise eine Erbkrankheit festgestellt, lässt das auch Rückschlüsse auf unbeteiligte Verwandte oder gar ungeborene Nachkommen zu, ohne dass diese ihre Erlaubnis erteilt hätten. (hcz)