Wer seine biometrischen Passbilder bei einem externen Dienstleister macht, muss damit rechnen, dass sie in der Amazon Cloud landen – und damit vor dem Zugriff von US-Behörden nicht sicher sind. Das haben IT-Sicherheitsforscher herausgefunden.
https://netzpolitik.org/2025/biometrie-passbilder-in-der-amazon-cloud/
@netzpolitik_feed Für mich sieht es aber danach aus, als hätte sich da jemand tatsächlich richtig Gedanken gemacht. Daten werden vom Client verschlüsselt, den Key bekommt man ausgedruckt in einem Barcode und geht damit zum Amt, die das Bild nach dem Download entschlüsseln. Damit hat der Cloud-Anbieter keinen Zugriff auf die Daten. https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/Technische-Richtlinien/TR-nach-Thema-sortiert/tr03170/tr-03170.html
@TimPhSchaefers @netzpolitik_feed da würde ich aber eher nach wesentlich schwächeren Kettengliedern schauen. Was läuft beim Fotografen? Ein Windows 11? Mit MS-Konto? Das automatisch regelmäßig Screenshots ablegt?
@TimPhSchaefers @bitsammelwanne @netzpolitik_feed wobei das "speichern-und-später knacken" bei den hier verwendeten kryptographischen Verfahren nicht so kritisch ist wie z.B. bein Verfahren für verschlüsselte eMail. Oder andersrum: werden die Verfahren für die Bilder gebrochen, dann haben wir ganz andere Probleme (dann ist so ziemlich alles bis in den VS-NfD-Bereich betroffen). Schlampige Implementierung ist natürlich ein anderes Problem.
@bitsammelwanne @netzpolitik_feed Jo, das steht auch so im Artikel und unserem ursprünglichen Blogpost.
Wobei Verschlüsselung immer nur Schutz auf Zeit ist (ein Szenario bei dem verschlüsselte Bilder nun abgezogen werden, um sie später zu entschlüsseln erscheint nicht unrealistisch).
Zudem natürlich auch die AWS Cloud einfach mal down sein könnte. Souverän ist das alles nicht ...