Das Geschäftsmodell privater Parkplatz-Überwachungsfirmen stößt selten auf Gegenliebe bei Autofahrern. Wenn solche Unternehmen dann auch noch bei der IT-Sicherheit patzen, wird es richtig unangenehm. Eine aktuelle Recherche des Nachrichtenportals Watson hat nun ein großes Datenleck aufgedeckt, von dem Kfz-Halter in der gesamten Schweiz betroffen sind: Die beiden Branchengrößen Funkwache und Unisecur ließen demnach umfangreiche Datenbanken mit hochsensiblen Informationen über einen langen Zeitraum ungeschützt im Internet offenstehen.

Das Ausmaß des Vorfalls ist laut dem Bericht beträchtlich, da das System zehntausende Datensätze umfasst. Allein in der Datenbank der in Zürich ansässigen Aktiengesellschaft Funkwache fanden sich Hunderttausende Einträge im zentralen Bußgeld-Register sowie zehntausende Verknüpfungen von Autokennzeichen zu konkreten Adressen.

Die betroffenen Firmen haben sich darauf spezialisiert, im Auftrag von Grundeigentümern und Immobilienverwaltungen private Parkflächen zu kontrollieren. Wer dort unberechtigt sein Fahrzeug abstellt, wird erfasst. Die Aufpasser fordern dann eine sogenannte Umtriebsentschädigung ein, die den Aufwand zur Klärung des Vorfalls abdecken soll. Zahlt der Parksünder nicht, droht eine Strafanzeige.

Sensible Logbücher im Internet

Genau diese sensiblen Vorgänge ließen sich über eine mangelhaft konfigurierte IT-Infrastruktur unverschlüsselt und ohne Passwortabfrage einsehen. Betroffen waren neben Namen, Wohnadressen, Telefonnummern und E-Mail-Adressen der Fahrzeughalter auch detailreiche Logbücher. Darin verzeichneten die Firmen die genauen Aufenthaltsorte und Kontrollzeiten, Fahrzeugdaten sowie den aktuellen Status von eingeleiteten Strafverfahren inklusive Anzeigen und Strafbefehlen.

Mit den Datensätzen kamen sogar Angaben zu gesperrten Fahrzeughaltern ans Licht. In der Schweiz können Bürger ihre Halterdaten eigentlich bei den kantonalen Straßenverkehrsämtern für einfache Abfragen sperren lassen. Überwachungsfirmen können diese Blockade für rechtliche Schritte kostenpflichtig umgehen. Sie hätten die mühsam erlangten Informationen aber umso strenger absichern müssen.

Die Ursache für das Datenleck liegt offenbar in einer Fehlkonfiguration der Webserver- und Datenbankstruktur. Die betroffenen Unternehmen, die beide auf den Firmengründer Meinhard Byell zurückgehen und das gleiche Geschäftsmodell haben, teilen sich auch die technische Infrastruktur und verwendeten beide das Datenbank-Tool Wakanda. Die jeweiligen Administrations-Interfaces der Systeme waren über vergleichsweise kurze, leicht zu erratende Internetadressen direkt erreichbar.

Ein IT-Experte bestätigte im Rahmen der Recherche, dass kein tiefgreifendes Hacker-Wissen und Instrumentarium nötig gewesen sei, um auf die internen Strukturen zuzugreifen. Ein Browser reiche völlig aus. Wie lange das digitale Scheunentor offenstand, ist noch nicht abschließend geklärt. Technische Server-Abfragen legen den Verdacht nahe, dass Teile der betroffenen IT-Infrastruktur bereits seit 2020 ungesichert aus dem Netz erreichbar gewesen sein könnten.

Relativierungsversuche und behördliche Ermittlungen

Die Reaktion der Verantwortlichen folgte dem klassischen Muster von Schadensbegrenzung und Relativierung. Nachdem erste Kontaktversuche der Redaktion im April wochenlang ignoriert wurden, meldete sich die Geschäftsführung von Unisecur schließlich zu Wort und bestritt die Schwere der Sicherheitslücke. Für das Erkennen der Schwachstelle seien vertiefte Programmierkenntnisse erforderlich gewesen, weshalb von einer gezielten Suche auszugehen sei.

Funkwache-Chef Meinhard Byell bestätigte kurz vor der Veröffentlichung immerhin die Existenz von Sicherheitslücken. Er erklärte aber zugleich, dass diese umgehend geschlossen worden seien. Ob in der Zwischenzeit unbefugte Dritte die Daten kopiert oder missbraucht haben und ob die Zugriffe auf den Servern überhaupt protokolliert wurden, bleibt unklar.

Der Fall dürfte juristische Konsequenzen nach sich ziehen. Dem Eidgenössischen Datenschutzbeauftragten Adrian Lobsiger lag bis zum öffentlichen Bekanntwerden des Sicherheitsdebakels keine Meldung über den Vorfall durch die zwei Firmen vor, obwohl eine solche Pflicht bei gravierenden Datenlecks besteht.

Die Behörde hat angekündigt, Ermittlungen aufzunehmen und mit den Verantwortlichen Kontakt herzustellen. Sie behält sich ausdrücklich weitere rechtliche Schritte vor. Den beiden Parkplatz-Überwachern drohen wegen der Verletzung der Sorgfaltspflichten beim Umgang mit sensiblen Personendaten empfindliche Sanktionen, die aber unterhalb des Bußgeldrahmens der Datenschutz-Grundverordnung (DSGVO) bleiben.

(mho)

Ein großer KI-Deal schweißt Apple und Google zusammen: Gemini soll die Basis für Apple Intelligence und eine neue Siri stellen, zugleich ist Google Apples „bevorzugter Cloud-Partner“. So viel Nähe gab es längst nicht immer: Steve Jobs wollte Android einst durch einen „thermonuklearen Krieg“ zerstören. Doch die großen „Smartphone Wars“ sind längst entschieden und iOS und Android die Einzigen, die noch stehen. Jüngst finden die beiden Konkurrenten immer mehr Gemeinsamkeiten, nicht zuletzt im Kampf gegen die Regulierung durch die EU-Kommission.

In Episode 122 blicken Malte Kirchner und Leo Becker auf die bewegte und weit zurückreichende Beziehung zwischen Apple und Google: von der anfänglichen Partnerschaft und wichtigen Google-Diensten auf dem ersten iPhone über den großen Zwist durch Android und die darauffolgende, verbitterte Feindschaft. Uns beschäftigt auch der große Deal, durch den Apple alljährlich Milliarden an Googles Suchwerbung mitverdient, die erneute Annäherung der beiden Konzerne in den vergangenen Jahren – und was all das für iPhone-Nutzer letztlich bedeutet.

Apple-Themen – immer ausführlich

Der Apple-Podcast von Mac & i erscheint mit dem Moderatoren-Duo Malte Kirchner und Leo Becker im Zweiwochenrhythmus und lässt sich per RSS-Feed (Audio) mit jeder Podcast-App der Wahl abonnieren – von Apple Podcasts über Overcast bis Pocket Casts.

Zum Anhören findet man ihn auch in Apples Podcast-Verzeichnis (Audio) und bei Spotify. Wir freuen uns über Feedback, Kritik und Fragen an podcast@mac-and-i.de.

(lbe)

Admins, die die Backuplösung Veeam Backup & Replication verwalten, sollten die Anwendung aus Sicherheitsgründen zeitnah auf den aktuellen Stand bringen. Andernfalls können Angreifer Linux- und Windowssysteme attackieren.

Zwei Gefahren

In einer Warnmeldung führen die Entwickler aus, dass eine Sicherheitslücke (CVE-2026-32996 „hoch“) Veeam Agent for Microsoft bedroht. Durch das erfolgreiche Ausnutzen können sich Angreifer auf einem nicht näher beschriebenen Weg lokal höhere Nutzerrechte verschaffen.

Die zweite Schwachstelle (CVE-2026-32997 „hoch“) betrifft Veeam Software Appliance auf Linux-Servern. Hier können Angreifer mit Schadcode verseuchte Dateien auf Servern ablegen. Dafür müssen sie aber als Backup-Administrator angemeldet sein. Ein Angriff ist als nicht ohne Weiteres möglich.

Davon sollen alle Versionen bis einschließlich Veeam Backup & Replication 13.0.1.2067 betroffen sein. Die Entwickler versichern, die Schwachstellen in der Ausgabe 13.0.2.29 geschlossen zu haben. In der Warnmeldung gibt es keine Hinweise, dass Angreifer die Lücken bereits ausnutzen.

(des)