Datenleck in der Schweiz: Offene Datenbanken bei Parkplatz-Überwachungsfirmen

Das Geschäftsmodell privater Parkplatz-Überwachungsfirmen stößt selten auf Gegenliebe bei Autofahrern. Wenn solche Unternehmen dann auch noch bei der IT-Sicherheit patzen, wird es richtig unangenehm. Eine aktuelle Recherche des Nachrichtenportals Watson hat nun ein großes Datenleck aufgedeckt, von dem Kfz-Halter in der gesamten Schweiz betroffen sind: Die beiden Branchengrößen Funkwache und Unisecur ließen demnach umfangreiche Datenbanken mit hochsensiblen Informationen über einen langen Zeitraum ungeschützt im Internet offenstehen.

Das Ausmaß des Vorfalls ist laut dem Bericht beträchtlich, da das System zehntausende Datensätze umfasst. Allein in der Datenbank der in Zürich ansässigen Aktiengesellschaft Funkwache fanden sich Hunderttausende Einträge im zentralen Bußgeld-Register sowie zehntausende Verknüpfungen von Autokennzeichen zu konkreten Adressen.

Die betroffenen Firmen haben sich darauf spezialisiert, im Auftrag von Grundeigentümern und Immobilienverwaltungen private Parkflächen zu kontrollieren. Wer dort unberechtigt sein Fahrzeug abstellt, wird erfasst. Die Aufpasser fordern dann eine sogenannte Umtriebsentschädigung ein, die den Aufwand zur Klärung des Vorfalls abdecken soll. Zahlt der Parksünder nicht, droht eine Strafanzeige.

Sensible Logbücher im Internet

Genau diese sensiblen Vorgänge ließen sich über eine mangelhaft konfigurierte IT-Infrastruktur unverschlüsselt und ohne Passwortabfrage einsehen. Betroffen waren neben Namen, Wohnadressen, Telefonnummern und E-Mail-Adressen der Fahrzeughalter auch detailreiche Logbücher. Darin verzeichneten die Firmen die genauen Aufenthaltsorte und Kontrollzeiten, Fahrzeugdaten sowie den aktuellen Status von eingeleiteten Strafverfahren inklusive Anzeigen und Strafbefehlen.

Mit den Datensätzen kamen sogar Angaben zu gesperrten Fahrzeughaltern ans Licht. In der Schweiz können Bürger ihre Halterdaten eigentlich bei den kantonalen Straßenverkehrsämtern für einfache Abfragen sperren lassen. Überwachungsfirmen können diese Blockade für rechtliche Schritte kostenpflichtig umgehen. Sie hätten die mühsam erlangten Informationen aber umso strenger absichern müssen.

Die Ursache für das Datenleck liegt offenbar in einer Fehlkonfiguration der Webserver- und Datenbankstruktur. Die betroffenen Unternehmen, die beide auf den Firmengründer Meinhard Byell zurückgehen und das gleiche Geschäftsmodell haben, teilen sich auch die technische Infrastruktur und verwendeten beide das Datenbank-Tool Wakanda. Die jeweiligen Administrations-Interfaces der Systeme waren über vergleichsweise kurze, leicht zu erratende Internetadressen direkt erreichbar.

Ein IT-Experte bestätigte im Rahmen der Recherche, dass kein tiefgreifendes Hacker-Wissen und Instrumentarium nötig gewesen sei, um auf die internen Strukturen zuzugreifen. Ein Browser reiche völlig aus. Wie lange das digitale Scheunentor offenstand, ist noch nicht abschließend geklärt. Technische Server-Abfragen legen den Verdacht nahe, dass Teile der betroffenen IT-Infrastruktur bereits seit 2020 ungesichert aus dem Netz erreichbar gewesen sein könnten.

Relativierungsversuche und behördliche Ermittlungen

Die Reaktion der Verantwortlichen folgte dem klassischen Muster von Schadensbegrenzung und Relativierung. Nachdem erste Kontaktversuche der Redaktion im April wochenlang ignoriert wurden, meldete sich die Geschäftsführung von Unisecur schließlich zu Wort und bestritt die Schwere der Sicherheitslücke. Für das Erkennen der Schwachstelle seien vertiefte Programmierkenntnisse erforderlich gewesen, weshalb von einer gezielten Suche auszugehen sei.

Funkwache-Chef Meinhard Byell bestätigte kurz vor der Veröffentlichung immerhin die Existenz von Sicherheitslücken. Er erklärte aber zugleich, dass diese umgehend geschlossen worden seien. Ob in der Zwischenzeit unbefugte Dritte die Daten kopiert oder missbraucht haben und ob die Zugriffe auf den Servern überhaupt protokolliert wurden, bleibt unklar.

Der Fall dürfte juristische Konsequenzen nach sich ziehen. Dem Eidgenössischen Datenschutzbeauftragten Adrian Lobsiger lag bis zum öffentlichen Bekanntwerden des Sicherheitsdebakels keine Meldung über den Vorfall durch die zwei Firmen vor, obwohl eine solche Pflicht bei gravierenden Datenlecks besteht.

Die Behörde hat angekündigt, Ermittlungen aufzunehmen und mit den Verantwortlichen Kontakt herzustellen. Sie behält sich ausdrücklich weitere rechtliche Schritte vor. Den beiden Parkplatz-Überwachern drohen wegen der Verletzung der Sorgfaltspflichten beim Umgang mit sensiblen Personendaten empfindliche Sanktionen, die aber unterhalb des Bußgeldrahmens der Datenschutz-Grundverordnung (DSGVO) bleiben.

(mho)