Smart Parking wird nicht nur hier in Deutschland immer beliebter. Die damit einhergehenden Risiken für den Datenschutz aber sind kaum bekannt
Smart Parking wird auch hier in Deutschland immer öfter genutzt. Wenn jemand inmitten einer Großstadt nach einem Parkplatz sucht, denkt er aber sicher nicht zuerst an seine Privatsphäre oder gar an Datenschutz. Aber genau diese beiden sehr wichtigen Grundpfeiler unserer Gesellschaft könnten in großer Gefahr sein.
Denn Fahrzeuge anhand ihres Nummernschildes und zu Smart Parking gehörenden Parkmöglichkeiten zu verfolgen, um ihren aktuellen Standort herauszufinden, ist einfach und billig. Der belgische Hacker und Sicherheitsforscher Inti De Ceukelaire hat das nun herausgefunden und ausführlichst dokumentiert.
Inti De Ceukelaire: Fahrzeuge anhand ihres Nummernschildes zu verfolgen ist viel zu einfach
Man muss nicht bei der Polizei arbeiten oder irgendwelchen anderen Ermittlungsbehörden angehören, um beliebig viele Fahrzeuge anhand ihres Nummernschildes zu verfolgen. Zudem kann man die Fahrzeuge auf den Punkt genau orten.
Einfallstor für diese Sicherheitslücke ist das sogenannte „Smart Parking“ und die damit einhergehende automatische Nummernschilderkennung (automatic number plate recognition; ANPR). Inti De Ceukelaire stellt fest: „Jeder kann ein Auto anhand Ihres Kennzeichens verfolgen„.
Wer jetzt meint, auf der sicheren Seite zu sein, weil man keine „Parking App“ installiert hat oder vielmehr nutzt, liegt leider falsch. Denn sobald ein Parkplatz an das Smart Parking-System angeschlossen ist, übermittelt der Betreiber die Nummernschilder entsprechend. Die Anzahl dieser „smarten Parkplätze“ steigt auch hier in Deutschland und in ganz Europa ständig an.
Gehört anonymes Parken bald der Vergangenheit an?
Inti De Ceukelaire möchte uns mit seinem heute erschienenen „Whitepaper“ auf ein riesiges Datenschutzproblem in der EU aufmerksam machen. Aber gleichzeitig möchte er uns auch warnen: „Diese Datenschutzkatastrophe ist in ganz Europa verbreitet. Ich konnte Zielpersonen in der Nähe der spanischen Grenze aufspüren, 1.100 km von ihrem Wohnort entfernt. Der Sicherheitsforscher konnte bereits Tausende von betroffenen Standorten ausfindig machen. Er stellt sich daher die Frage, ob anonymes Parken bald der Vergangenheit angehört, ganz zurecht.
Das Problem beschränkt sich aber nicht nur auf Smart Parking in Parkhäusern oder großen Parkplätzen. Denn in der Studie wird von Inti De Ceukelaire zudem eine Ortungsmethode beschrieben, welche auch in Gebieten mit begrenzten und gebührenfreien Parkmöglichkeiten auf der Straße funktioniert.
De Ceukelaire hat ein Tool entwickelt, das in regelmäßigen Abständen eine Verbindung zu Tausenden von digitalen Parkuhren herstellt, um für das Kennzeichen der Zielperson einen einsekündigen Parkvorgang in Bereichen zu starten, in denen das Parken generell kostenlos ist. Gelingt es dem System nicht, einen freien Parkvorgang zu aktivieren, weil die freie Parkzeit für das Nummernschild in diesem Bezirk bereits abgelaufen ist, erhält der Betreiber des Tools eine Benachrichtigung mit dem Gebiet, in dem das Fahrzeug entdeckt wurde.
De Ceukelaire hat zwar nicht vor, sein Stalkerware-Tool in nächster Zeit der Öffentlichkeit zugänglich zu machen. Er warnt aber ausdrücklich davor, dass andere die Idee leicht nachahmen können.
Smart Parking: Wer ist am meisten gefährdet?
Diese Form der Verfolgung anhand von Nummernschildern könnte für eine Vielzahl an böswilligen Akteuren interessant sein. Das System erfasst den genauen Zeitpunkt, an dem sich ein Fahrzeug oder sein Besitzer wahrscheinlich über einen längeren Zeitraum am selben Ort aufhält.
Dies bietet Angreifern sowohl die Möglichkeit, zum Fahrzeug vorzudringen, als auch auf die Rückkehr des Fahrers zu warten. Missbrauchsopfer und sogar Kriegsopfer bzw. Flüchtlinge sind daher besonders gefährdet. Aber ebenso Gelegenheitsdelikte können einen großen Risikofaktor darstellen. Denn die Fahrer und ihre Fahrzeuge könnten außerdem aufgrund ihres Verhaltens, ihrer Wertgegenstände oder auch nur ihres Aussehens wegen verfolgt werden.
Inti De Ceukelaire fordert daher, dass auf europäischer Ebene sofort Maßnahmen ergriffen werden müssen.
Auch ANPR-gestützten Mautstraßen sind ein Datenschutz-Risiko
Smart Parking ist aber, so stellt der Sicherheitsforscher fest, bei Weitem nicht unser einziges Problem hier in Europa. Inti De Ceukelaire erklärt auch die ANPR-gestützten Mautstraßen zu einem immer größer werdenden Risiko für den Datenschutz.
Nicht nur das Parken ist betroffen: ANPR-gestützte Mautstraßen werden zur Norm. Der Preis, den Sie zahlen: Ihre Privatsphäre. Oder sind Sie bereit, einen Umweg von 100 km in Kauf zu nehmen?
Inti De Ceukelaire
Der Sicherheitsforscher erklärt dazu: „Während unseres Experiments konnten wir einen belgischen Staatsbürger mehr als 1.000 Kilometer von seinem Wohnort entfernt, nahe der spanischen Grenze aufspüren. Parkplatzbetreiber wie APCOA, Q-Park und Indigo sind in mehreren Ländern vertreten, was die grenzüberschreitende Verfolgung erleichtert. Praktische Vorteile sollten nie auf Kosten unserer Privatsphäre gehen„.
Inti De Ceukelaire: Der Gesetzgebungsprozess muss beschleunigt werden
De Ceukelaire hat in Zusammenarbeit mit Datenschutzanwälten die Website notmyplate.com ins Leben gerufen. Diese Webseite soll es den Fahrzeughaltern künftig ermöglichen, die Parkplatzbetreiber aufzufordern, ihr Nummernschild nicht zu verarbeiten.
Wir können zwar nicht garantieren, dass die Parkplatzbetreiber dieser Aufforderung nachkommen, aber wir sind zuversichtlich, dass dies ein deutliches Signal an die Betreiber von Parkplätzen sein wird, dass die Gesellschaft Lösungen braucht, bei denen der Datenschutz im Vordergrund steht.
Inti De Ceukelaire
Handlungsbedarf besteht also auf jedem Fall. Denn noch scheinen sich die meisten Behörden und Betreiber von Parkhäusern dieser immer größer werdenden Datenschutz-Falle nicht bewusst zu sein.
Denn derart überwachte Parkvorgänge können sehr interessante Informationen über den Fahrer preisgeben. Die Parkdauer, den Ort, die Uhrzeit und das Datum.
Inti De Ceukelaire gibt zu bedenken: „Während unserer Untersuchung haben wir Personen in der Nähe von Bürogebäuden, Einkaufszentren, Konzerthallen, Sporteinrichtungen, Casinos und Krankenhäusern ausfindig gemacht. Bei einer ausreichenden Anzahl von Datenpunkten könnte das System die Identität des Fahrers allein durch die genauere Betrachtung seiner Aktivitäten ziemlich leicht aufdecken„.