Stell Dir vor, jede Busse, die Deine Firma je verteilt hat, liegt öffentlich im Netz. Mit Namen, Wohnadresse, Telefonnummer und Kontrollschild der Betroffenen. Nicht hinter einem geknackten Passwort — sondern hinter gar keinem. Genau das ist zwei Schweizer Parkplatz-Bewirtschaftern passiert: der Zürcher Funkwache und der Unisecur, die sich dieselbe technische Infrastruktur teilen.
Das Nachrichtenportal Watson hat das Leck aufgedeckt, Heise berichtet am 28. Mai 2026. Und die Details lesen sich wie ein Lehrstück darüber, was passiert, wenn personenbezogene Daten auf Infrastruktur liegen, um die sich niemand wirklich kümmert.
Was offen im Netz lag
- Bussenregister. Hunderttausende Einträge im zentralen Register — wer wann wo gebüsst wurde, inklusive Verfahrensstand.
- Halterdaten. Zehntausende Verknüpfungen von Kontrollschildern zu konkreten Adressen, dazu Namen, Telefonnummern und E-Mail-Adressen.
- Bewegungsprofile. Detaillierte Logbücher mit genauen Aufenthaltsorten, Kontrollzeiten und Fahrzeugdaten.
- Sperrlisten. Daten zu gesperrten Fahrzeughaltern.
Das ist kein Bagatell-Datensatz. Kontrollschild plus Adresse plus Aufenthaltsorte ergibt ein Bewegungsprofil — Material, mit dem sich Personen ausspähen, erpressen oder belästigen lassen.
Wie die Daten ins Freie kamen
Hier wird es unangenehm banal. Die Admin-Oberflächen des eingesetzten Datenbank-Tools Wakanda waren über vergleichsweise kurze, leicht zu erratende Internetadressen direkt erreichbar — ohne Passwortschutz. Der von Watson beigezogene IT-Experte bringt es auf den Punkt: Es sei «kein tiefgreifendes Hacker-Wissen und Instrumentarium nötig gewesen», ein Browser reiche völlig aus.
Kein Zero-Day, kein raffinierter Angriff, keine staatlichen Akteure. Eine Fehlkonfiguration. Und zwar keine frische: Technische Server-Abfragen legen den Verdacht nahe, dass Teile der Infrastruktur bereits seit 2020 ungesichert waren. Sechs Jahre, in denen jeder mit einem Browser hätte mitlesen können.
Die zweite Panne: das Schweigen
Das revidierte Datenschutzgesetz ist hier eindeutig: Verletzungen der Datensicherheit mit hohem Risiko für die Betroffenen sind dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten zu melden. Beim EDÖB unter Adrian Lobsiger ist bis zur öffentlichen Bekanntmachung aber keine Meldung eingegangen. Die Untersuchungen laufen.
Die Firmenreaktionen machen es nicht besser: Unisecur bestritt zunächst die Schwere des Vorfalls, Firmengründer Meinhard Byell bestätigte die Sicherheitslücken, erklärte aber, sie seien sofort geschlossen worden. Sofort geschlossen — nach mutmasslich sechs Jahren offener Tür.
Was das für Dein Unternehmen heisst
- Fehlkonfiguration ist die häufigste Datenleck-Ursache. Nicht der geniale Angreifer, sondern die vergessene Admin-Oberfläche, der offene Cloud-Bucket, die Testinstanz mit Echtdaten. Solche Lecks findet man nur, wenn jemand systematisch danach sucht — von aussen, mit dem Blick des Angreifers.
- Exponierte Dienste gehören inventarisiert. Wenn Du nicht lückenlos sagen kannst, welche Deiner Systeme aus dem Internet erreichbar sind und womit sie geschützt sind, weisst Du es schlicht nicht. Erratbare URLs sind kein Schutz, sie sind eine Einladung mit Anlaufzeit.
- Die revDSG-Meldepflicht ist kein Papiertiger. Wer ein Leck entdeckt und schweigt, macht aus einer technischen Panne einen Rechtsfall — und aus einem Imageschaden einen Vertrauensbruch mit Ansage.
- Hosten ist nicht betreiben. Ein Server, der irgendwo läuft, ist noch lange keine betriebene Infrastruktur. Betrieb heisst: Härtung, Zugriffsschutz, Patches, Überwachung — laufend, nicht einmalig bei der Einrichtung.
Genau dieser Unterschied ist unser Tagesgeschäft: Wir betreiben Infrastruktur für Unternehmen, die personenbezogene Daten verarbeiten — mit Netzwerksegmentierung, Zugriffskontrolle und laufender Überwachung statt Hoffnung, dass schon niemand vorbeischaut.
Was bleibt im Kopf
Hunderttausende Datensätze, sechs Jahre offen, ein Browser als einziges Werkzeug. Das Leck bei Funkwache und Unisecur war kein Hack, sondern ein Betriebsversagen — und das Schweigen gegenüber dem EDÖB der zweite Fehler nach dem ersten. Wer Halterdaten, Kundendaten oder Patientendaten verarbeitet, hat keine Wahl: Entweder jemand betreibt die Infrastruktur wirklich, oder das nächste Leck ist nur eine erratbare URL entfernt.
Quelle: heise online, Meldung vom 28. Mai 2026 — heise.de.