Private Parkplatzüberwacher geben Personendaten über das Internet preis

(Source: Sigtrix / Fotolia.com)

(Source: Sigtrix / Fotolia.com)

Die Schweizer Parkplatzüberwacher Funkwache und Unisecur haben ihre Datenbanken nicht ausreichend geschützt. So konnten Dritte sensible Personendaten zu zehntausenden Autofahrerinnen und Autofahrern im Internet einsehen, wie "Watson" berichtet. Die beiden Unternehmen hätten auf Anfragen des Nachrichtenportals zunächst nicht reagiert und danach die Sicherheitsrelevanz des Vorfalls heruntergespielt.

Das Geschäftsmodell

Funkwache und Unisecur bieten laut "Watson" Dienstleistungen zur Überwachung privater Parkplätze an. Wenn jemand unerlaubt parkiere, würden die Firmen im Auftrag der Grundstücksbesitzer Umtriebsentschädigungen einfordern oder gegebenenfalls eine Strafanzeige erstatten. Die persönlichen Daten der Falschparkierer würden in einer Datenbank abgelegt. Dazu gehören gemäss dem Nachrichtenportal auch gesperrte Fahrzeughalterdaten, die man kostenpflichtig beim Strassenverkehrsamt anfordern muss.

Die beiden Firmen hätten jedoch mehr gemeinsam als nur das Geschäftsmodell. Laut "Watson" wurden beide von Meinhard Byell gegründet, der auch Geschäftsführer von Funkwache ist, während eine Person mit demselben Nachnamen Unisecur führt. Zudem würden die Unternehmen bei der Informatik kooperieren und das gleiche Datenbank-Tool verwenden.

Das Datenleck

Dieses Datenbank-Tool wurde jedoch laut "Watson" seit 2020 nicht mehr aktualisiert und speicherte die Daten ohne Passwortschutz im Internet. Zwar habe man eine bestimmte Portnummer kennen müssen, um die Webseite aufzurufen, doch diese habe sich mit einem automatisierten Suchprogramm einfach herausfinden lassen. Mittlerweile seien die Datenbanken nicht mehr zugänglich, doch die Lücke habe mindestens einen Monat lang existiert, vielleicht auch schon seit 2020.

Die Datenbanken enthielten gemäss "Watson" hunderttausende Einträge zu Personen, die unerlaubterweise bei Kunden der beiden Firmen parkiert hatten. Zu den gespeicherten Daten gehörten Namen, Wohnadressen, Telefonnummern, E-Mail-Adressen und Angaben zu Fahrzeugen. Dazu kämen genaue Aufenthaltsorte und -zeiten bei Verstössen gegen die Parkverbote sowie Informationen zum Status von Strafverfahren. Betroffen seien Personen aus allen 26 Kantonen, wobei besonders viele aus dem Kanton Zürich stammen würden.

Die Auswirkungen

Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) bestätigte gegenüber "Watson", dass gewisse der genannten Daten als besonders schützenswerte Personendaten gelten. Dabei spiele es keine Rolle, ob tatsächlich Dritte auf die Datenbank zugegriffen hätten – die Situation sei problematisch, solange "eine unbefugte Kenntnisnahme" nicht ausgeschlossen werden könne, was hier der Fall sei.

Die beiden Unternehmen würden die Gefahr indes relativieren. "Um diese Lücken zu erkennen, sind vertiefte IT- und Programmierkenntnisse notwendig", zitiert "Watson" die Unisecur-Chefin Claudia Byell. "Für uns ist klar, dass gezielt 'gesucht' wurde. Ein einfacher normaler User konnte diese Lücken nicht eruieren." Ein vom Nachrichtenportal beigezogener Sicherheitsexperte hält dies jedoch für eine Schutzbehauptung und bezeichnet den Vorfall als "groben IT-Sicherheitsfehler".

Übrigens: Bei Drupal wurde kürzlich eine Sicherheitslücke entdeckt, durch die Angreifer auf die Datenbank des Content-Management-Systems zugreifen können. Lesen Sie hier mehr dazu.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.