US-Grenzschutz: Datenleck bei Einreisefotos und Nummernschildern

Bei einem Cyberangriff auf ein Auftragsunternehmen der US-Grenzschutzbehörde CBP sind Fotos und Nummernschilder von Reisenden unzulässig kopiert worden. Von dem Datenleck seien weniger als 100.000 Personen betroffen, berichtete die Washington Post unter Berufung auf Behördenmitarbeiter. Es handele sich um Material, das innerhalb von sechs Wochen an einem landgebundenen Grenzübergang von Ein- und Ausreisenden aufgenommen wurde. Die britische Zeitung The Register hatte bereits am 23. Mai 2019 von einem Datenleck bei dem US-Dienstleister Perceptics berichtet. Perceptics bietet nach eigenen Angaben eine automatische Nummernschilderkennung an.

Laut The Register sollen Hunderte Gigabyte an kopierten Daten kostenlos im Darknet zum Download bereitgestanden haben, darunter Foto- und Videodateien, die vermutlich aufgenommene Nummernschilder zeigten. Nach Angaben der CBP hätte der Dienstleister die Daten der Reisenden nicht auf seine eigenen Server übertragen dürfen. Das stelle einen Verstoß gegen die Sicherheits- und Datenschutzbestimmungen der Behörde dar.

Verräterischer Dokumentname

Nach Angaben der CBP enthalten die Dateien keine anderen personenbezogenen Daten. Aufnahmen von Reisepässen oder anderen Reisedokumenten seien nicht kopiert worden. Laut Washington Post bestritt die Behörde jedoch, dass die Daten im Darknet zu finden seien. Allerdings will die CBP erst am 31. Mai 2019 von dem Datenleck erfahren haben. Zudem wollte die Behörde nicht den Namen des Dienstleisters nennen. Doch das Word-Dokument mit dem Statement der Behörde habe den Namen des Unternehmens im Titel enthalten: "CBP Perceptics Public Statement".

Hinter dem Hackerangriff solle kein fremder Staat stecken, hieß es weiter. Im Jahr 2015 sollen chinesische Staatshacker in die Server der US-Personalbehörde eingedrungen und an Daten von 22 Millionen Personen gelangt sein.

Kritik an Plänen zu Gesichtserkennung

Auch wenn dieser Vorfall deutlich kleinere Ausmaße hat, zeigten sich US-Politiker besorgt über den Datenschutz ihrer Bürger. "Wenn die Regierung sensible Informationen über US-Bürger sammelt, ist sie dafür verantwortlich, diese zu schützen. Das gilt auch, wenn sie Verträge mit einem privaten Unternehmen abschließt", sagte der demokratische Senator Ron Wyden der Washington Post. Er forderte die Regierung auf, jeden der betroffenen Bürger über den Vorfall zu informieren. Zudem müsse sie genau erklären, wie diese Art von Vorfällen in Zukunft verhindert werden solle.

Kritisch äußerte sich auch die US-Bürgerrechtsorganisation ACLU. "Der beste Weg, um Verstöße gegen sensible personenbezogene Daten zu vermeiden, besteht darin, sie erst gar nicht zu sammeln und zu speichern", sagte ACLU-Rechtsexpertin Neema Singh Guliani dem Blatt. Sie verwies auf die Bestrebungen der CBP, die automatisierte Gesichtserkennung und Datensammlung von Reisenden stark zu erweitern und dabei auch deren Konten in sozialen Netzwerken zu erfassen. Der Vorfall unterstreiche die Notwendigkeit, solche Pläne zu stoppen und die Speicherpraxis der CBP vom Kongress untersuchen zu lassen.

Die CBP plant internen Dokumenten zufolge, (PDF) bis zum Jahr 2021 auf 20 der wichtigsten US-Flughäfen im Grenzbereich eine Gesichtserkennung einzusetzen. Das Ziel ist, letztendlich alle Einreisenden, US-Amerikaner wie auch Ausländer, per Gesichtserkennung zu erfassen.