China: Datenbank mit Nummernschildern und Gesichtern monatelang im Netz

In China war eine Datenbank, die rund 800 Millionen Gesichter und Nummernschilder enthielt, offenbar über mehrere Monate hinweg frei im Internet zugänglich. Die Daten sollen aus Überwachungskameras des Herstellers Xinai Electronics stammen.

Überwachungsfirma sicherte Datenbestand nicht

Das Unternehmen bietet elektronische Zugangskontrollen für Personen und Fahrzeuge an. In ganz China kommen die Kameras von Xinai Electronics etwa in Schulen, auf Baustellen, in Unternehmen oder in Parkhäusern zum Einsatz. Neben der Prüfung von Zutrittsberechtigungen bietet das Unternehmen auch die automatische Abrechnung in Parkhäusern sowie die permanente Überwachung der Anwesenheit von Mitarbeitenden am Arbeitsplatz an.

Auf der eigenen Website gibt Xinai selbstbewusst an, die dabei gesammelten Daten würden sicher auf eigenen Servern gespeichert. Das jedoch hat sich nun als unwahr herausgestellt. So lagen die Daten dem IT-Sicherheitsforscher Anurag Sen zufolge ungeschützt auf Servern des chinesischen Unternehmens Alibaba. Der rapide wachsende Datensatz enthielt etwa hochauflösende Fotos von Nummernschildern und Gesichtern. Hinzu kamen damit verbundene Informationen etwa zu Namen, Alter und Einwohner-ID der abgebildeten Personen. Sen konnte zeigen, dass all diese Daten ohne Passwort- oder sonstigen Schutz frei aus dem Internet abgerufen werden konnten. Hierzu war lediglich ein Wissen um die Internetadresse nötig.

Lösegeldforderung im Zusammenhang mit den Daten

Neben dem IT-Sicherheitsforscher hat mindestens eine weitere Person den Datensatz, der bis in den August hinein offen zugänglich war, entdeckt. So wurde das Unternehmen mit einer Lösegeldforderung konfrontiert. Eine unbekannte Person forderte im Rahmen dieser eine Geldzahlung und behauptete, die gespeicherten Daten gestohlen zu haben. Freigeben würde sie sie erst bei Erhalt der Zahlung. Das Unternehmen ist offenbar nicht auf die Erpressung eingegangen; in der angegebenen Blockchainadresse waren keine Geldeingänge zu verzeichnen.

Ob die hinter der Erpressung stehende Person etwas mit dem Verschwinden der Datenbank aus dem Netz zu tun hat, ist unklar, da Xinai Electronics sich bisher nicht öffentlich geäußert hat. Auch denkbar ist, dass das Unternehmen selbst die Datenbank nach Bekanntwerden des fehlenden Schutzes selbst vom Netz genommen hat.

Datenschutz in China

Seit November 2021 gilt in China ein Datenschutzgesetz, das privaten Unternehmen auferlegt, vor der Verarbeitung von personenbezogenen Daten ein Einverständnis der betroffenen Personen einzuholen. Das Datenschutzrecht in der Diktatur greift bisher jedoch kaum: Staatliche Stellen, die in hohem Ausmaß Daten sammeln und auswerten, sind von der Regulierung ausgenommen und private Unternehmen halten sich, wie das jetzige Beispiel zeigt, nicht unbedingt an die Auflagen. Die Ausnahme staatlicher Stellen ist dabei nicht nur problematisch, da das autoritäre Regime die Daten als Grundlage der Disziplinierung seiner Bürger nutzt; der mangelnde Schutz der Daten führte in der Vergangenheit auch dazu, dass sie gestohlen wurden und so von Drittparteien für weitere Zwecke eingesetzt werden können. Jüngst wurden etwa der Polizei von Shanghai rund eine Milliarde Datensätze entwendet.