Das Geschäftsmodell privater Parkplatz-Überwachungsfirmen stößt selten auf Gegenliebe bei Autofahrern. Wenn solche Unternehmen dann auch noch bei der IT-Sicherheit patzen, wird es richtig unangenehm. Eine aktuelle Recherche des Nachrichtenportals Watson hat nun ein großes Datenleck aufgedeckt, von dem Kfz-Halter in der gesamten Schweiz betroffen sind: Die beiden Branchengrößen Funkwache und Unisecur ließen demnach umfangreiche Datenbanken mit hochsensiblen Informationen über einen langen Zeitraum ungeschützt im Internet offenstehen.

Das Ausmaß des Vorfalls ist laut dem Bericht beträchtlich, da das System zehntausende Datensätze umfasst. Allein in der Datenbank der in Zürich ansässigen Aktiengesellschaft Funkwache fanden sich Hunderttausende Einträge im zentralen Bußgeld-Register sowie zehntausende Verknüpfungen von Autokennzeichen zu konkreten Adressen.

Die betroffenen Firmen haben sich darauf spezialisiert, im Auftrag von Grundeigentümern und Immobilienverwaltungen private Parkflächen zu kontrollieren. Wer dort unberechtigt sein Fahrzeug abstellt, wird erfasst. Die Aufpasser fordern dann eine sogenannte Umtriebsentschädigung ein, die den Aufwand zur Klärung des Vorfalls abdecken soll. Zahlt der Parksünder nicht, droht eine Strafanzeige.

Sensible Logbücher im Internet

Genau diese sensiblen Vorgänge ließen sich über eine mangelhaft konfigurierte IT-Infrastruktur unverschlüsselt und ohne Passwortabfrage einsehen. Betroffen waren neben Namen, Wohnadressen, Telefonnummern und E-Mail-Adressen der Fahrzeughalter auch detailreiche Logbücher. Darin verzeichneten die Firmen die genauen Aufenthaltsorte und Kontrollzeiten, Fahrzeugdaten sowie den aktuellen Status von eingeleiteten Strafverfahren inklusive Anzeigen und Strafbefehlen.

Mit den Datensätzen kamen sogar Angaben zu gesperrten Fahrzeughaltern ans Licht. In der Schweiz können Bürger ihre Halterdaten eigentlich bei den kantonalen Straßenverkehrsämtern für einfache Abfragen sperren lassen. Überwachungsfirmen können diese Blockade für rechtliche Schritte kostenpflichtig umgehen. Sie hätten die mühsam erlangten Informationen aber umso strenger absichern müssen.

Die Ursache für das Datenleck liegt offenbar in einer Fehlkonfiguration der Webserver- und Datenbankstruktur. Die betroffenen Unternehmen, die beide auf den Firmengründer Meinhard Byell zurückgehen und das gleiche Geschäftsmodell haben, teilen sich auch die technische Infrastruktur und verwendeten beide das Datenbank-Tool Wakanda. Die jeweiligen Administrations-Interfaces der Systeme waren über vergleichsweise kurze, leicht zu erratende Internetadressen direkt erreichbar.

Ein IT-Experte bestätigte im Rahmen der Recherche, dass kein tiefgreifendes Hacker-Wissen und Instrumentarium nötig gewesen sei, um auf die internen Strukturen zuzugreifen. Ein Browser reiche völlig aus. Wie lange das digitale Scheunentor offenstand, ist noch nicht abschließend geklärt. Technische Server-Abfragen legen den Verdacht nahe, dass Teile der betroffenen IT-Infrastruktur bereits seit 2020 ungesichert aus dem Netz erreichbar gewesen sein könnten.

Relativierungsversuche und behördliche Ermittlungen

Die Reaktion der Verantwortlichen folgte dem klassischen Muster von Schadensbegrenzung und Relativierung. Nachdem erste Kontaktversuche der Redaktion im April wochenlang ignoriert wurden, meldete sich die Geschäftsführung von Unisecur schließlich zu Wort und bestritt die Schwere der Sicherheitslücke. Für das Erkennen der Schwachstelle seien vertiefte Programmierkenntnisse erforderlich gewesen, weshalb von einer gezielten Suche auszugehen sei.

Funkwache-Chef Meinhard Byell bestätigte kurz vor der Veröffentlichung immerhin die Existenz von Sicherheitslücken. Er erklärte aber zugleich, dass diese umgehend geschlossen worden seien. Ob in der Zwischenzeit unbefugte Dritte die Daten kopiert oder missbraucht haben und ob die Zugriffe auf den Servern überhaupt protokolliert wurden, bleibt unklar.

Der Fall dürfte juristische Konsequenzen nach sich ziehen. Dem Eidgenössischen Datenschutzbeauftragten Adrian Lobsiger lag bis zum öffentlichen Bekanntwerden des Sicherheitsdebakels keine Meldung über den Vorfall durch die zwei Firmen vor, obwohl eine solche Pflicht bei gravierenden Datenlecks besteht.

Die Behörde hat angekündigt, Ermittlungen aufzunehmen und mit den Verantwortlichen Kontakt herzustellen. Sie behält sich ausdrücklich weitere rechtliche Schritte vor. Den beiden Parkplatz-Überwachern drohen wegen der Verletzung der Sorgfaltspflichten beim Umgang mit sensiblen Personendaten empfindliche Sanktionen, die aber unterhalb des Bußgeldrahmens der Datenschutz-Grundverordnung (DSGVO) bleiben.

(mho)

Admins, die die Backuplösung Veeam Backup & Replication verwalten, sollten die Anwendung aus Sicherheitsgründen zeitnah auf den aktuellen Stand bringen. Andernfalls können Angreifer Linux- und Windowssysteme attackieren.

Zwei Gefahren

In einer Warnmeldung führen die Entwickler aus, dass eine Sicherheitslücke (CVE-2026-32996 „hoch“) Veeam Agent for Microsoft bedroht. Durch das erfolgreiche Ausnutzen können sich Angreifer auf einem nicht näher beschriebenen Weg lokal höhere Nutzerrechte verschaffen.

Die zweite Schwachstelle (CVE-2026-32997 „hoch“) betrifft Veeam Software Appliance auf Linux-Servern. Hier können Angreifer mit Schadcode verseuchte Dateien auf Servern ablegen. Dafür müssen sie aber als Backup-Administrator angemeldet sein. Ein Angriff ist als nicht ohne Weiteres möglich.

Davon sollen alle Versionen bis einschließlich Veeam Backup & Replication 13.0.1.2067 betroffen sein. Die Entwickler versichern, die Schwachstellen in der Ausgabe 13.0.2.29 geschlossen zu haben. In der Warnmeldung gibt es keine Hinweise, dass Angreifer die Lücken bereits ausnutzen.

(des)

Xiaomi hat die neue Smartphone-Serie Xiaomi 17T vorgestellt. Sie besteht aus dem Xiaomi 17T und dem Xiaomi 17T Pro, die beide mit Leica-Kameras, großen Akkus und AMOLED-Displays mit TÜV-zertifiziertem Augenschutz ausgestattet sind. Neu ist, dass Xiaomi die Modelle erstmals in zwei unterschiedlichen Größen anbietet.

Sowohl das Xiaomi 17T als auch das 17T Pro besitzen ein Triple-Kamerasystem mit Leica-Optik. Die Hauptkamera löst jeweils mit 50 Megapixeln auf, beim Pro-Modell kommt allerdings ein größerer 1/1,31-Zoll-Sensor zum Einsatz, während das Standardmodell einen 1/1,55-Zoll-Sensor nutzt.

In beiden Geräten steckt erstmals eine Leica-Telekamera mit fünffachem optischem Zoom. Sie löst ebenfalls mit 50 Megapixeln auf, hat optische Bildstabilisierung und unterstützt Makroaufnahmen aus 30 Zentimetern Entfernung. Xiaomi bewirbt außerdem einen bis zu 120-fachen KI-Zoom, der ist allerdings rein digital.

Das Xiaomi 17T Pro unterstützt Videoaufnahmen bis 8K mit 30 Bildern pro Sekunde sowie 4K mit bis zu 120 fps. Zudem bietet Xiaomi erstmals in der eigenen Smartphone-Serie einen „Cinematic“-Modus mit 4K-Video bei 60 fps und natürlichem Bokeh-Effekt. Beide Modelle unterstützen HDR10+- und Log-Aufnahmen.

Neu ist die Funktion „Leica Live Moment“. Dabei zeichnet die Kamera zusätzlich Bewegung unmittelbar vor der Aufnahme auf, ähnlich wie Apples Live Photos. Die Funktion arbeitet laut Xiaomi mit allen Brennweiten der Rückkamera und auch im Porträtmodus. Beim Pro-Modell kommt zusätzlich „Live Cinematography“ mit Ultra-HD-Aufnahmen und stufenlosen Zoom-Effekten hinzu.

Akkus mit bis zu 7000 mAh

Besonders hebt Xiaomi die Akkus hervor. Das Xiaomi 17T Pro besitzt einen 7000-mAh-Akku auf Basis einer Silizium-Kohlenstoff-Technik. Laut Hersteller handelt es sich um den bislang größten Akku in einem international erhältlichen Xiaomi-Smartphone. Geladen wird mit bis zu 100 Watt kabelgebunden oder 50 Watt drahtlos.

Das kompaktere Xiaomi 17T integriert einen 6500-mAh-Akku und unterstützt kabelgebundenes Laden mit bis zu 67 Watt. Beide Geräte unterstützen laut Xiaomi zudem PPS-kompatible Netzteile von Drittanbietern.

Unterschiede bei Display und Größe

Das Xiaomi 17T Pro besitzt ein 6,83 Zoll großes AMOLED-Display mit 2772 × 1280 Pixeln, bis zu 144 Hertz Bildwiederholrate und einer Spitzenhelligkeit von 3500 Nits. Das Standardmodell nutzt ein kleineres 6,59-Zoll-Panel mit 2756 × 1268 Pixeln und maximal 120 Hertz. Beide Displays unterstützen HDR10+ und Dolby Vision und tragen vier TÜV-Rheinland-Zertifizierungen zum Augenschutz. Xiaomi nennt das System „Vision Care“, das unter anderem Blaulicht, Flimmern und Bewegungsunschärfe reduzieren soll. Auch bei den Abmessungen unterscheiden sich die Geräte deutlich: Das 17T Pro misst 162,2 × 77,5 × 8,25 Millimeter bei 219 Gramm Gewicht. Das 17T fällt mit 157,6 × 75,2 × 8,17 Millimetern und 200 Gramm spürbar kompakter aus.

MediaTek-Prozessoren und HyperOS

Im Xiaomi 17T Pro arbeitet der neue MediaTek Dimensity 9500 im 3-nm-Verfahren, während das Xiaomi 17T den Dimensity 8500-Ultra mit 4-nm-Fertigung nutzt. Beide Smartphones verfügen über LPDDR5X-RAM und UFS-4.1-Speicher. Für andere Topmodelle bietet der Hersteller bereits eine Testphase für Android 17 an. Zudem integrieren beide Geräte KI-Funktionen unter dem Namen HyperAI sowie Google Gemini und „Circle to Search“. Xiaomi 15T Pro bereits Android-Beta-Versionen bereitstehen. Sowohl das 17T als auch das 17T Pro bekommen sechs Jahre lang Sicherheitspatches, das Pro allerdings fünf große Android-Updates, das günstigere Modell nur vier.

Preise und Verfügbarkeit

Das Xiaomi 17T Pro erscheint in den Farben Deep Blue, Deep Violet und Schwarz. Das Xiaomi 17T wird in Violet, Opal White, Blue und Schwarz angeboten. Die Preise für das Xiaomi 17T Pro liegen zwischen 899,90 und 1099,90 Euro, das 17T gibt es für 749,90 oder 799,90 Euro zu kaufen.

(sht)