11KM: der tagesschau-Podcast: Biometrische Scans: Wie Daten in Afghanistan Leben gefährden (Wiederholung)

Hallo, ich bin's Victoria. 11 km macht gerade eine kleine Usterpause. Am 17. April geht's

hier mit neuen Folgen weiter. Bis dahin empfehle ich euch hier ein paar bisherige Episoden,

die sich besonders lohnen. Unsere Folge zu Afghanistan hat mich besonders überrascht,

denn es geht um eine Hinterlassenschaft der Amerikaner in dem Land, die bis heute brisant

ist. Darum hier nochmal in voller Länge unsere Folge vom 12. Januar. Biometrische Scans,

wie Daten in Afghanistan, lebengeferten. Fingerabdrücke, biometrische Fotos,

gescannter Augen, sogar Verwandtschaftsverhältnisse wurden notiert. US-amerikanische und auch deutsche

Soldaten haben in Afghanistan massenhaft Daten gesammelt, die Geräte dafür und die Daten.

Die gibt's jetzt bei eBay zu kaufen. Und nicht nur das, viele der Geräte, mit denen diese Daten

gescanned wurden, sind auch noch in Afghanistan zurückgelassen worden. Wenn man jetzt annimmt,

dass solche Geräte in Afghanistan vergessen wurden und dort wirklich lange lokale Listen

von biometrischen Daten erfasst sind, dann können die Taliban sehr leicht nachvollziehen,

ob bestimmte Personen für das US-Militär gearbeitet haben, eben weil die Datenbank auch ein Feld

genau dafür hergibt. Hier ist 11km der Tagesschau-Podcast in der ARD Audiothek. Eine Geschichte in

aller Tiefe. Und das ist heute die Geschichte des Hackers und IT-Experten Matthias Marx, den ihr

gerade gehört habt. Er hat all das aufgedeckt. Mein Name ist Victoria Michalsack und heute ist

Donnerstag, der 12. Januar 2023. Begleitet hat den Hackers Matthias Marx dabei, der investigative

Datenreporter Maximilian Zierer vom Bayerischen Rundfunk. Er war zusammen mit seiner Kollegin

Rebecca Cisielski dabei, als die Scanner gescannt wurden. Hallo Maximilian. Hallo. Maximilian,

erzähl mal, wie hast du denn überhaupt Kontakt aufgenommen zu diesem Hacker Matthias Marx,

wie kam das? Also meine Kollegin Rebecca Cisielski und ich, wir haben recherchiert für

ein ARD-Radiofeature zum Thema Biometrie und die ursprüngliche Idee war, uns anzusehen,

wie Biometrie schon heute eingesetzt wird in Deutschland und in Europa und haben dann

halt so ein bisschen gesucht, wer sich so mit diesem Thema beschäftigt. Wir sind dann auf

einen Online-Vortrag gestoßen, ein kurzes Video, in dem Matthias Marx so ein bisschen über Biometrie

gesprochen hat, wie Biometrie auch schon eingesetzt wird. Ganz kurz kannst du nochmal erklären,

was Biometrie ist? Ja klar. Biometrie ist sozusagen alles, was an dem man Menschen erkennen kann,

also körperliche Merkmale, also das ist eigentlich ziemlich breit, Fingerabdrücke

erkennen natürlich jeder oder auch die Geometrie des Gesichts, also Gesichtsbilder,

die man per Gesichtserkennung wiedererkennen kann oder sowas wie Augen, also das Muster

der Iris, also der Regenbogenhaut des Auges, das ist ja auch für jede Person individuell und kann

auch wieder erkannt werden. Und wie gesagt, hatten wir Matthias Marx, hatten wir einen Vortrag

gesehen, wo er über verschiedenste Einsätze von Biometrie gesprochen hatte und genau,

wir haben dann so mit ihm gesprochen über die verschiedenen Dingen, die er so tut und dann

hat er so ganz nebenbei so einen Nonchalant gesagt, ich habe dann noch so ein Gerät und wir waren so

okay, was für ein Gerät und so und dann hat er so ein bisschen erzählt, dass er dieses Gerät auf

eBay gekauft hat und dass dieses Gerät, also dass solche Geräte mal in Afghanistan eingesetzt

wurden. Wir hatten das auch schon mal gehört, also nach dem Abzug der westlichen Truppen in

Afghanistan, dass solche Geräte in Afghanistan geblieben sind, er hatte das auch gehört,

nur ist er eben so weit gegangen sich diese Geräte mal genauer anzusehen und hat gesehen,

dass es solche Geräte auf eBay zu kaufen gibt. Ich habe vermutlich auf Twitter gelesen,

dass dieses Gerät von den Taliban irgendwo eingesammelt wurde, dann habe ich irgendwann

versucht dieses Gerät zu finden und bin dann spät in der Nacht, finde ich, geworden. Dann habe ich

den Händler noch runtergehandelt um 150 Dollar oder so und auf Bestellen geklickt. Okay, also es

gibt Geräte, die biometrische Daten sammeln und dieser IT-Experte und Hacker hat die auf eBay

gekauft, einfach als Privatperson. So einfach, also ich könnte jetzt auch auf eBay gehen und so

was kaufen oder wie? So ist es tatsächlich, ja. Also erst Hacker im positiven Sinn,

erst jemand, der Sicherheitslücken aufdeckt und genau, der hat gesehen, dass es Shops gibt in den

USA, die verschiedenstes Militärgerät verkaufen, so ausgemusterte Dinge, teilweise auch wirklich

absurdes Zeug quasi überschüssiges oder altes ausgemustetes Militärmaterial verkaufen und die

Motivation von Matthias Marx war, wenn er schon so leicht solche Geräte auf eBay kaufen kann,

es sind ja auch solche Geräte in Afghanistan geblieben, wie leicht kämen die Taliban daran,

diese Geräte zu benutzen und einzusetzen und Daten darauf zu nutzen und Menschen zu verfolgen.

Und davon hat er euch erzählt und dann habt ihr euch mit ihm getroffen? Genau, er hatte so eine

kleine Gruppe von Mitstreitern, die alle im Chaos Computer Club sind, organisiert, Leute, die sich

schon mit Biometrie beschäftigt haben und hat die so ein bisschen zusammen getrommelt und hat

einen Termin mit denen vereinbart und mit uns. Hi. Hi. Und wo seid ihr da in Berlin? Wie läuft

das alles so ab? Also das ist in Berlin Mitte, gar nicht weit von der Friedrichstraße entfernt,

so ein typisches Berliner, hohes Hinterhaus, in dem Erdgeschoss der Chaos Computer Club in

Berlin Räume hat, so ein bisschen, wenn man da reingeht, erinnert es ein bisschen an so einen

Jugendzentrum, sag ich jetzt mal, also es ist ein großer Raum, an der Wand hängen irgendwie

verschiedenste zusammengebastelte Dinge, elektronische Sachen. Also alle Klischees erfüllt eigentlich.

Ja, tatsächlich so ein bisschen, aber ich fand das persönlich sehr einladend und gemütlich dort

und genau, da waren diese vier Hacker, die sich dort getroffen hatten. Matthias hatte zwei schwere

Rollkoffer dabei, in denen diese Geräte lagen. Und die Idee war, dass man sich gemeinsam ansieht,

was diese Geräte so können, ob man sie einfach anschalten kann. Wie sieht so was denn aus? Was

sind das für Geräte? Wie groß sind die? Also die Geräte sind relativ schwer, sind schwarz und

äußerlich hat es mich so ein bisschen erinnert an die Geräte, die man auf dem unterschreiben muss,

wenn man ein Paket annimmt, also diese Paketboten dabei haben, also außen mit so einer Tastatur

dran und so ein Display. Und es ist moderne Technik, aber es ist jetzt nicht die allermodernste

Technik, sag ich jetzt mal. Die Geräte sind auch so von circa 2010 ungefähr. Und ja, also in schwarz,

recht eckig, relativ schwer und haben an den Seiten so verschiedenste Sensoren dran. An der

einen Seite ist so ein Sensor, wo man den Fingerabdruck auflegen kann und quasi den Fingerabdruck

speichern kann oder aufnehmen kann. Auf der anderen Seite gegenüber sind, also kann man das Ding so

aufklappen und dann kann man da reinschauen und die beiden Iris-Bilder speichern. Ich demonstriere

das mal, dann sieht das so aus. Also man guckt so in dieses Gerät rein und dann kann man wohl die

Iris-Scan. Ja, und dann haben sie mal versucht, diese Geräte anzuschalten. Also es war, ja,

man muss sagen, es war so ein bisschen lustiger Moment. So, und jetzt kommt das geilte Passwort.

Ja. Ja, es funktioniert.

Dieser typische Windows XP-Staatsound kam und wir alle so standen um dieses Gerät drin und waren erst mal so sprachlos.

Was passiert jetzt? Dann haben wir alle gelacht. Aber natürlich realisiert man dann,

was es bedeutet. Und dann ist es nicht mehr so lustig, sondern ziemlich ernst.

Also es gibt praktisch keine Hürde, diese Geräte zu nutzen und damit kann jeder,

jede, die dieses Gerät in der Hand hat, durch die Gegend laufen und versuchen, Menschen zu

identifizieren. Also die Geräte kann man erstes mal ganz leicht anschalten, ohne großartigen

Passwortschutz und zweitens sofort verwenden. Das dritte, was sie herausfinden wollten,

war dann sind da überhaupt noch Daten drauf gespeichert. Und an diesem Tag in Berlin war es so,

dass sie dann ja da so ein bisschen rumgesucht haben und irgendwann hat einer von denen gesagt,

schaut mal, ich glaube, ich habe da was gefunden. Und dann standen wir so, weil sich noch gut standen

wir alle so aus und rum und haben da so ein Bild gesehen, so ein Foto. Und es war aber ganz

offensichtlich eine londe, hellhäutige Person, die saß vor so einem Zelt oder in so einem Zelt auf

dem Stuhl und hat in die Kamera geschaut. Und wie sich dann rausgestellt hat, war das ein US-Soldat.

Und davon gab es zwei. 93 geboren. In Arkansas. Citizenship Unknown. Active Duty or Guard. Also

scheint es zum Personal zu gehören. Das heißt, von irgendwelchen US-Militärangehörigen haben

wir jetzt biometrische Daten und zwar teilweise relativ viele, also Abdrücke von allen Fingern,

ihre Scans, Fotos vom Gesicht und dazu Informationen über mögliche Aufenthaltsorte.

Wow. Natürlich, wenn man einen Schritt weiter denkt, bedeutet das, dass auch die Taliban,

die diese Geräte ja höchstwahrscheinlich in den Händen halten, einfach anschalten und benutzen

können. Wir sind danach über viele Monate mit Matthias Marx in Kontakt geblieben und eines Tages

im Sommer 22, das muss so im August oder Anfang September gewesen sein, meldete er sich bei uns

und sagte uns, dass er uns was zeigen möchte. Etwas, das er uns auch nur angedeutet hatte am

Telefon und meine Kollegin Rebecca Ciselski ist dann nach Hamburg gefahren und hat sich dort mit ihm

getroffen. Und ja, da hat er uns einen Fund präsentiert. Okay, du warst da nicht dabei,

aber du warst zugeschaltet? Genau, ich war zugeschaltet. Wir hatten also telefoniert und

Rebecca war vor Ort und hat sich von ihm das zeigen lassen. Ich konnte es nicht lassen und

habe noch mehr Geräte bestellt. Also der Puls ging auf jeden Fall nach oben und auch jetzt,

wenn wir wieder darüber reden, geht der Puls nach oben und die Hände werden so ein bisschen

schwitzig, weil ich habe Daten gesehen, die so sensibel sind wie, ich glaube, noch keine anderen

Daten, die ich irgendwo mal in der Hand hatte. Das ist einfach ein anderes Kaliber. Wir haben

jetzt tatsächlich zeigen können, dass diese Geräte auch in Afghanistan im Einsatz waren. Also

wir haben Geo-Koordinaten, die auf einen Punkt im Nirgendwo, sag ich mal, zwischen Kandahar und

Kabul zeigen. Also das mal ein bisschen größer machen, bitte. Wahnsinn. Matthias Marks hat auf

diesem letzten Gerät eine Watchlist gefunden. Nennt sich das? Daten über 2600 Personen.

Eine Watchlist. Was sind das denn für Daten? Also diese Daten sind letztlich 2 geteilt. Einerseits

Menschen, die gesucht werden, wenn man die sozusagen an einem Kontrollpunkt findet. Wenn das

ein Match ergibt mit diesen Personen, dann sollen die festgenommen werden und er hat da auch Daten

gefunden über gesuchte Terroristen zum Beispiel. Andererseits Daten, die mit dem Gerät selbst

aufgenommen wurden. Hier tauchen Dinger auf wie Checkpoint Enrollment. Das heißt aber eine Person

vermutlich einfach an einem Checkpoint. Von Menschen, bei denen eindeutig dabei stand,

dass sie zum Beispiel früher für die Polizei oder für das afghanische Militär gearbeitet haben.

Das war letztlich der Beweis dafür, dass diese Geräte in den Händen der Taliban sehr gefährlich

sein können, weil sie damit Menschen eindeutig als früher Polizisten, als früher Soldatinnen

oder Soldaten des afghanischen Militärs oder auch als so was wie Ortskräfte identifizieren können.

Es ist einfach krass zu sehen, dass da wirklich solche Daten drauf sind, so dass das nicht einfach

nur Vermutung waren, so dass sich da Leute nicht einfach nur das schlechtmöglichste ausgemalt haben,

sondern das schlechtmöglichste ist eingetreten. Das ist schwer für uns, für alle Außenstehenden

genau nachvollziehen, wer jetzt ganz konkret wie stark bedroht ist. Also die Organisation

Cuban Rights Watch zum Beispiel kennt viele Berichte davon, dass Menschen in Afghanistan

genau dafür verfolgt werden, dass sie früher für die Polizei gearbeitet haben, dass sie früher

fürs afghanische Militär gearbeitet haben oder eben als Ortskräfte. Und ja, auf diesem Gerät,

das Matthias Marx gekauft hatte, waren genau solche Informationen hinterlegt.

Okay, also jetzt eben nicht nur körperliche Merkmale, sondern auch allmögliche

anderen Infos und Notizen über die Person. Genau, also die Möglichkeit besteht,

da sehr, sehr detaillierte Informationen über die Menschen einzutragen, bis hin zu Verwandtschaftsverhältnissen.

Wer ist dein Bruder? Wer ist deine Schwester? Wer ist dein Vater? Wer ist dein Kind? Irgendwelche

Zugangsberechtigung für Militärbasen, natürlich die Nationalität. Also einer der Hacker hat

es geschrieben als mobiles Einwohnermeldeamt. Das trifft es irgendwie so ganz gut. Und dazu

muss man sagen, das ist ja nur ein Gerät. Also Matthias Marx hat ja ein Gerät, ich glaube,

er hat fünf gekauft. Auf einem hat er so eine Datenbank gefunden. In Afghanistan sind ja über

tausend, möglicherweise viele Tausend Geräte zurückgeblieben. Und man kann sich vorstellen,

dass da vermutlich auf jeden dieser Geräte möglicherweise solche Daten gespeichert sind

und potenziell sehr viele Menschen in Gefahr sein könnten.

Warum wird das überhaupt gemacht? Warum sammelt man diese Daten? Warum wurde so viel gescannt mit

diesen Geräten in Afghanistan? Also die Amerikaner haben da den Begriff Identity Dominance geprägt.

Also es ging sozusagen darum, die Feinde aus der Anonymität zu holen. Das Ganze ging so los,

dass man also relativ bald nach dem Anfang des Afghanistan Kriegs eine Serie von Terroranschlägen

gab und diese IEDs, also diese Improvised Explosive Devices, also selbst gebaute Bomben

letztlich eingesetzt wurden, um westliche Soldaten zu töten. Und auf einigen dieser selbstgebauten

Bomben hat man Fingerabdrücke gefunden und so ging es los, diese Fingerabdrücke systematisch in

einen Datenmarkt zu speichern. Und dann hat sich das immer weiter gesteigert. Also wir haben da so

ein Biometriehandbuch des US-Militärs auch gesehen, steht ganz eindeutig drin. Je mehr Afghanen wir

enrolln, also speichern, je mehr Daten wir sammeln, desto besser für uns. Und letztlich war das eine

Art moderner Kriegsführung, ein möglichst voll Überblick über die Bevölkerung Afghanistan zu

bekommen. Und die Bundeswehr war ja auch in Afghanistan. Wurde denn von deutschen Militär

auch mit diesen Scannern gescannt? Ja, es wurde mit diesen Scannern durch das deutsche Militär

gescannt. Es gibt dazu auch ein, das nennt sich Memorandum of Understanding, also eine Vereinbarung

zwischen dem deutschen Verteidigungsministerium und dem US-Verteidigungsministerium und darin

wird auch sehr genau beschrieben, wie sozusagen die deutsche Bundeswehr, auf welcher Grundlage oder

ja, wie die deutsche Bundeswehr diese Daten sammelt und an wen sie die weitergibt, nämlich an die

USA. Also die Daten, die die deutschen Soldaten und Soldaten in Afghanistan gesammelt haben, wurden

an das US-Militär übergeben. Wie viele dieser Geräte jetzt eindeutig von der Bundeswehr eingesetzt

worden sind, ist unklar. Es gibt Informationen darüber, dass es vielleicht nur eine kleine

zweistellige Zahl ist, aber letztlich macht das Bundesverteidigungsministerium dazu auch keine

Angaben. Was sagen denn die Verantwortlichen dazu? Also wir haben das amerikanische Verteidigungsministerium,

das deutsche Verteidigungsministerium und die NATO mit den Erkenntnissen konfrontiert. Wir haben

sie denen vorgelegt. Hi, this is Maximilian Zira from German Public Broadcaster Bayerische Rundfunk.

I just wanted to follow up with an email I sent about two weeks ago. Die Antworten waren,

muss man sagen, ziemlich dünn. Also wie gesagt, das US-Verteidigungsministerium hat uns gesagt,

es sind 1200 dieser Geräte ans afghanische Militär übergeben worden und nicht wesentlich mehr.

Das Bundesverteidigungsministerium, kurz zusammengefasst, hat uns gesagt, es liegen keine

Informationen zu diesem Sachverhalt vor. Mhm, okay. Also sehr viele Menschen in Afghanistan wurden

mit diesen speziellen Geräten gescannt, mit dem Ziel Terrorismus zu bekämpfen, aber es wurden

eben auch Ortskräfte, Helfer, Helferinnen und Passanten damit erfasst. Genau, also wir hatten

über eine deutsche NGO und auch über andere Kanäle Kontakt aufgebaut zu Menschen in Afghanistan

und haben eine Person ganz detailliert verfolgt. Der war früher für die Gesellschaft, für

internationales Zusammenarbeit tätig und hat in deren Auftrag Polizisten und Polizistinnen ausgebildet

in Afghanistan und er war nach dem Abzug der westlichen Truppen weiterhin in Afghanistan und

wir haben ja immer wieder mit ihm Kontakt gehabt. Er hat schlechtes Internet und deswegen haben wir

uns ganz viele Sprachnachrichten hin und her geschickt. Ja, er hatte große Angst, dass ihm

genau das passiert. Er wusste, dass seine Daten aufgenommen worden sind, als er angefangen hat

für die Deutschen zu arbeiten letztlich. Also seine Daten wurden jetzt nicht mit so einem Gerät

gespeichert, sondern die wurden in einer Polizeistation aufgenommen. Aber er wusste einfach nicht,

wo sind diese Daten gelandet, sind die vielleicht auf irgendwelchen Geräten. Mittlerweile muss

dazu sagen, das Thema Biometrie war nicht seine Hauptangst, seine Hauptangstbar gefunden zu

werden, aber das Thema Biometrie hat da sozusagen noch mal eins draufgesetzt und wir haben ihn,

wie gesagt, über mehrere Monate begleitet und er hat dann auch einen Antrag bei der

deutschen Bundesregierung gestellt, dass er eben anerkannt wird. Und ja, wir hatten eigentlich

schon nicht mehr damit gerechnet, von ihm noch mal was zu hören, weil wir wirklich längere

Funkstille hatten. Wir haben seinen Namen dem Deutschen Außenministerium genannt und auch

den seiner Frau. Und irgendwann meldete er sich dann bei uns. Kurz nach unserer Anfrage hat er die

Zusage bekommen, hat uns eine Sprachnachricht geschickt. I received a confirmation from a federal

government of Germany for an approval of admission to Germany and I am so glad and happy because

of this event. Und war natürlich sehr glücklich, dass er diese Zusage bekommen hat. Er ist dann

über verschlungene Wege nach Pakistan gekommen, hat sich dann aus Islamabad gemeldet und ist

jetzt seit Mitte November ungefähr in Deutschland. Okay, also er ist rechtzeitig aus Afghanistan

rausgekommen, bevor jemand seine Daten gefunden hat. Wie ist es denn jetzt mit diesen ganzen

anderen Daten, die der IT-Experte Matthias Marx gefunden hat? Was macht er denn jetzt damit?

Also Matthias Marx hat gesagt, er will diese Daten löschen und vernichten. Er hat auch, muss man

sagen, uns keine komplette Kopie dieser Daten gegeben. Also er ist da sehr, sehr vorsichtig,

was mit diesen Daten passiert. Wir haben sie gesehen, wir haben sie verifizieren können.

Also konnten bestätigen, dass es echte Daten sind, aber er war sehr vorsichtig damit, diese

Daten irgendwo hinzu verteilen. Also die Daten liegen bei ihm und sein Vorsatz ist, diese Daten

zu löschen. Was denkst du denn jetzt nach der Recherche? Was bleibt für dich da übrig davon?

Ich glaube, es war keine böse Absicht dahinter, diese Daten aufzunehmen und man wollte nicht,

dass die letztlich in die falschen Hände geraten. Aber man hat die großen Risiken,

die bei solchen großen Datensammlungen immer dabei sind, ignoriert, nicht ernst genug genommen

und dass jetzt das eingetreten ist, was man eigentlich vorher schon hätte wissen können,

nämlich dass diese Daten irgendwann mal sich verselbstständigen und in falscher Hände geraten.

Dass genau das eingetroffen ist, ist natürlich sehr erschütternd und wenn man in die Zukunft blickt,

kann man nur hoffen, dass eine Lehre daraus gezogen wird, dass man in Zukunft sorgsamer mit

solchen Daten umgeht, dass man solche Daten regelmäßig löscht, dass man sozusagen dem Mantra

der Datensparsamkeit folgt und solche Geräte besser sichert und dass genau das eben nicht

passiert, dass ein letztlich diktatorisches Regime so ein unfassbares Tool in die Hand bekommt,

um Menschen zu verfolgen. Oder man es einfach auf e-mail kaufen kann. Das finde ich ja auch irgendwie

absurd, hätte ich nicht gedacht. Ja, das ist natürlich nochmal eine eigene Geschichte für

sich. Also die Tatsache, dass diese Sachen auf eBay gelandet sind, ist natürlich skandalös. Das

eigentliche Problem, bei dem es ja um Leben und Tod geht, ist das, dass diese Daten in Afghanistan

zurückgelassen worden sind. Maximilian, danke, dass du uns von deiner Recherche erzählt hast.

Vielen Dank. Tschüss, bis dann. Ciao. Das war unsere Folge für heute hier bei 11km

der Tagesschau-Podcast. Zudem Scannern und den biometrischen Daten haben Maximilian Zierer und

Rebecca Ciesielski von BR Data, AI und Automation Lab und BR-Recherche in aller Tiefe recherchiert.

Das ARD-Radiofeature gibt es in der ARD-Audiothek. Findet ihr unter verräterische Daten Doku über

die Gefahren der Biometrie. Und da sind auch wir zu finden, 11km der Tagesschau-Podcast. Autorin

dieser Folge war Jasmin Brock. Mitgearbeitet haben Sandro Schröder, Katarina Hübel und Hannes Kunz,

Produktion Dennis Schröder und Hanna Brünjes, Redaktionsleitung Fumiko Lipp und Lena Gürtler.

Mein Name ist Victoria Michalsack. FKM, der Tagesschau-Podcast, ist eine Produktion von BR24

und NDR Info. Und morgen hören wir uns wieder. Tschüss!

Machine-generated transcript that may contain inaccuracies.