NSU 2.0: Venenscanner gegen illegale Datenbankabfragen
Die hessische Polizei hat ein Sicherheitsproblem: Ohne Genehmigung fragten dort Mitarbeiter Personendaten ab. Nun sollen neue Sicherungsverfahren unerlaubte Zugriffe auf die Personendatenbanken verhindern. Im Rahmen eines Pilotprojekts in einer Polizeistation in Rüsselsheim werden biometrische Sicherungsverfahren wie Venenscanner getestet.
In der Teststelle seien momentan fünf Handvenenscanner im Einsatz, inklusive Software zur Erkennung, Speicherung und Authentifizierung. Bis Ende des Jahres sollen sie laut Mitteilung auch im “Echtbetrieb” getestet werden. Der Anmeldevorgang an den Polizeirechnern soll so in “Sekundenbruchteilen” vonstatten gehen.
Ein Problem bei der Nutzung der Datenbanken war bislang, dass die Hardware in einigen Dienststellen veraltet ist. Das führte offenbar dazu, dass die Rechner teils mehrere Minuten brauchten, bis eine Anmeldung durchgeführt war. Deswegen nutzten laut Polizei meist mehrere Mitarbeiter denselben Account, ohne sich auszuloggen.
Unsichere Methode
“Die Überprüfung der Identität mittels biometrischer Methode mit dem Handvenenscanner gilt bereits als sehr sicher”, sagte Landespolizeipräsident Roland Ullmann. Venenscanner für Hände kontrollieren den Verlauf der Blutgefäße mithilfe von Kameras und Infrarotlicht. Die Lage der Adern ist außer von der Genetik auch vom Zufall abhängig und bei jedem Menschen einzigartig, auch bei eineiigen Zwillingen.
Dennoch lässt sich die Technik austricksen – wie bislang alle biometrischen Sicherheitsverfahren. Die Berliner Sicherheitsforscher Jan Krissler und Julian Albrecht hatten Ende 2018 auf dem 35. Chaos Communication Congress (35C3) demonstriert, wie sich Venenscanner mithilfe einer leicht modifizierten (Infrarotfilter ausgebaut), aber handelsüblichen Spiegelreflexkamera und einem Wachshandmodell überwinden lassen.
Hand- und Fingervenenscanner werden bisher hauptsächlich in Asien und Osteuropa für die Zutrittskontrollen zu Krankenhäusern, Kraftwerken, Banken und militärischen Anlagen und an Geldautomaten eingesetzt.
Weitere Maßnahmen
Laut Mitteilung der Polizei wurden seit Dezember 2018 in Hessen außerdem strengere Kontrollmechanismen eingeführt, um unberechtigte Zugriffe auf die Datenbanken zu verhindern. Es werden nun anlassunabhängige Stichprobenkontrollen durchgeführt und die Mitarbeiter müssen für jeden Abruf einen Abfragegrund nennen. Jede 50. Abfrage in dem Bundesland wird tiefergehend überprüft. Außerdem sei die “Sensibilität der Beschäftigten” erhöht worden.
Bislang waren die Datenabfragen über Dienstcomputer in Hessen nur stichprobenhaft in jedem 200. Fall kontrolliert worden.
Handlungsbedarf in ganz Deutschland
Die biometrischen Zugangskontrollen und strengeren Kontrollen sind Teil eines Maßnahmenkatalogs, den Ullmann bereits Mitte Juli präsentiert hatte. Er reagierte damit auf die mit “NSU 2.0” unterschriebenen Drohschreiben und unberechtigten Personenabfragen über die Polizeirechner.
Auch bei der Polizei in Potsdam gab es zwei Vorfälle, bei denen Mitarbeiter illegal Daten aus dienstlichen Datenbanken abgefragt hatten. Das Vorgehen fiel auf, als bekannt wurde, dass die Mitarbeiter Mitglieder im mutmaßlich rechtsextremen Verein “Uniter” waren und daraufhin die Polizei deren Abfrageverhalten kontrollierte. (hcz)