Gleich zwei Schweizer Sicherheitsfirmen sind von einem massiven Datenleck betroffen. Die von ihnen gespeicherten persönlichen Daten zu zehntausenden Autofahrerinnen und Autofahrern waren für Dritte zugänglich.
Die im Internet exponierten Datensätze enthielten unter anderem Angaben zu Strafverfahren in Zusammenhang mit den privaten Parkplatz-Überwachern.
Als watson die Verantwortlichen kontaktierte und aufforderte, die «Hintertüren» bei ihren Servern zu schliessen, gab es zunächst keine Reaktion. Dann wurden «Lücken» bestätigt, man versuchte aber, das Datenleck zu relativieren.
Nun klärt der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) in Bern den Fall ab.
Was sind das für Überwachungsfirmen?
Die Recherche betrifft folgende Akteure:
Die Funkwache AG, mit Geschäftssitz in Zürich. Die Unisecur GmbH, mit Geschäftssitz in Kollbrunn (Gemeinde Zell ZH).
Die beiden Zürcher Firmen stehen seit Jahren im Fokus der Medien und des Konsumentenschutzes. Die frühere Berichterstattung reichte von aggressiven Geschäftspraktiken über juristische Grauzonen bis zu Gerichtsfällen.
Nun kommt ein massives Datenleck hinzu.
Das Ausmass ist unklar und allfällige Spätfolgen, etwa durch Identitätsdiebstahl, sind nicht absehbar.
Ein Datenleck (englisch Data Leak) ist die unbeabsichtigte oder unbefugte Offenlegung vertraulicher Informationen gegenüber unbefugten Dritten. Sensible Daten wie Passwörter, Kreditkartennummern oder persönliche Informationen gelangen dabei nach aussen, oft verursacht durch Cyberangriffe, Sicherheitslücken oder menschliches Versagen.
Ob die digitalen Daten von unbefugten Dritten tatsächlich eingesehen, gestohlen oder für kriminelle Zwecke missbraucht wurden, spielt für die Definition des Lecks keine Rolle. Entscheidend ist nur, dass die Daten ungeschützt und für jedermann zugänglich im Internet bereitstanden.
Das Datenleck besteht nicht mehr, weil watson die Verantwortlichen letzten Monat warnte und zum sofortigen Schliessen der «Hintertür» aufforderte.
Zuvor war watson von einer anonym bleibenden Quelle kontaktiert und auf das aus ihrer Sicht «grob fahrlässige» Verhalten der Zuständigen hingewiesen worden.
Die Recherche zeigt: Bei Funkwache und Unisecur war ein eigentlich nur für Administratoren gedachtes Datenbank-Tool über eine normale Internet-Adresse (URL) erreichbar. Streng genommen handelt es sich um zwei Datenlecks, die jedoch direkt miteinander zusammenhängen.
Die vorliegenden Informationen lassen darauf schliessen, dass Funkwache und Unisecur das Datenleck zu verantworten haben. Dies wird durch schriftliche Stellungnahmen der beiden Geschäftsleitungen bestätigt. Hinweise auf einen Hackerangriff oder auf Cyberkriminelle gibt es nicht.
Kritische Fragen zu dem Vorfall und allfälligen Folgen wollten die Verantwortlichen bislang nicht beantworten.
Das Geschäftsmodell
Die 1973 gegründete Funkwache zählt zu den Pionieren der privaten Parkplatzüberwachung in der Schweiz. Die Firma hat sich darauf spezialisiert, im Auftrag von Hausbesitzern «Umtriebsentschädigungen» zu kassieren, wenn Personen unberechtigt auf deren privatem Grund parkieren.
Da das Strassenverkehrsgesetz auf reinen Privatplätzen nicht wie auf öffentlichen Strassen greift, verteilt die Polizei dort nicht von sich aus Ordnungsbussen. Der Grundstücksbesitzer oder eine von ihm beauftragte private Überwachungsfirma muss aktiv werden. Dabei stehen folgende rechtliche Möglichkeiten zur Verfügung:
Umtriebsentschädigung verlangen: Falschparkierern darf für den verursachten Aufwand eine Rechnung gestellt werden. Das Bundesgericht hat entschieden, dass solche Entschädigungen verhältnismässig sein müssen.
Wenn ein Fahrzeug ausserhalb des Geltungsbereichs eines richterlichen Parkverbots steht, sei «die private Busse» unzulässig, hält die Stiftung für Konsumentenschutz SKS in ihrem Ratgeber zum Thema fest (siehe Quellen).
Privatanzeige erstatten (Strafantrag): Falls die Umtriebsentschädigung nicht bezahlt wird oder der Eigentümer Falschparkierer direkt belangen will, kann er bei der Polizei eine Anzeige einreichen. Die Staatsanwaltschaft oder das zuständige Richteramt erlässt dann einen Strafbefehl. Die eigentliche Busse beträgt dabei meist eine Summe, die einer üblichen Ordnungsbusse (ca. 40 bis 100 Franken) entspricht. Für die Falschparkierer kommen je nach Fall jedoch empfindliche Verfahrenskosten hinzu.
Auto abschleppen lassen: Ein fremdes Fahrzeug abschleppen zu lassen, ist für Private nur als letztes Mittel erlaubt und muss zwingend verhältnismässig sein (z.B. wenn das Auto eine Einfahrt blockiert oder der Eigentümer seinen Parkplatz zwingend selbst benötigt).
Meinhard Byell, ein hierzulande ansässiger deutscher Unternehmer, ist der Funkwache-Gründer und langjähriger Geschäftsführer. Sein Unternehmen war zunächst vorwiegend im Grossraum Zürich tätig, bietet inzwischen aber landesweit Dienstleistungen an. Byell hat mit zwei Personen, die den gleichen Nachnamen tragen, auch die Unisecur GmbH lanciert, wie ein Eintrag im Schweizer Firmenindex zeigt.
Diese erst 2017 gegründete Gesellschaft ist so etwas wie eine Schwesterfirma und in der Deutschschweiz und Romandie aktiv. Sie bietet ebenfalls Parkplatzkontrollen an, gemäss eigenen Angaben mit moderner Technik, sprich Videoüberwachung, und auch mit uniformiertem Personal.
Man sei zu einem führenden Anbieter der Branche geworden, heisst es auf der Unisecur-Website. Und an Grundeigentümer, Immobilien-Verwaltungen sowie andere potenzielle Kundinnen und Kunden gerichtet, erklärt Unisecur:
Warum betrifft das Datenleck beide Firmen?
Bis heute bestehen zwischen Funkwache und Unisecur nicht nur persönliche Beziehungen auf Führungsebene. Offenbar wurde auch bei der Informatik kooperiert.
Fragen zu verwandtschaftlichen und geschäftlichen Verbindungen zwischen den Unternehmen wollten die Verantwortlichen auf Anfrage von watson nicht beantworten.
Sicher ist: Funkwache und Unisecur setzten auf das gleiche Software-Tool, um die Parksünder-Datenbanken online zu verwalten und neue Fälle zu bearbeiten. Das nur für Datenbank-Administratoren gedachte Programm war allerdings ohne Passwortschutz oder eine andere Authentifizierung konfiguriert, sodass Dritte darauf zugreifen konnten.
Dass die Lecks bei Funkwache und Unisecur zusammenhängen, zeigen die von watson zu Dokumentationszwecken erstellten Screenshots: Das eingesetzte Datenbank-Tool basiert auf der Open-Source-Entwicklungsplattform Wakanda.
Diese Plattform ermöglichte die Entwicklung von Javascript-basierten Geschäftsanwendungen, gilt aber als veraltet. Die Verantwortlichen stellten schon vor Jahren jeglichen Support und die technische Weiterentwicklung ein.
Wie gravierend ist es?
Alle 26 Schweizer Kantone waren in den Datensätzen vertreten, was die Autonummern und die damit verbundenen Halterinnen und Halter betrifft. Schwerpunkt: Zürich.
In den beiden Datenbanken gab es auch auffällige inhaltliche Übereinstimmungen: So enthielten Tabellen mit der Bezeichnung «Bussen» zahlreiche identische Einträge bzw. Datensätze, die bis ins Jahr 2001 zurückreichten. Die jüngsten Einträge datierten vom Zeitpunkt der Recherche (April 2026).
Die über das Internet zugänglichen Tabellen beinhalteten schützenswerte Daten gemäss Datenschutzgesetz und zum Teil auch besonders schützenswerte Daten:
- Namen, Wohnadressen, Telefonnummern von Betroffenen.
- Genaue Aufenthaltsorte/Aufenthaltszeiten bei Verstössen gegen private Parkverbote.
- E-Mail-Adressen.
- Detailangaben zu Fahrzeugen und dem Verhalten der Lenker.
- Angaben zum Status von Strafverfahren (Strafanzeigen/Strafbefehle).
Die Inhalte einer Tabelle mit der Bezeichnung «Adressen_zu_Autonummern» lassen darauf schliessen, dass Funkwache und Unisecur während mehr als zehn Jahren Fahrzeughalterdaten speicherten, die von den kantonalen Strassenverkehrsämtern bezogen wurden. Dies betrifft auch von den Haltern gesperrte Daten, wie eine Stichprobe ergab.
Problematische Angaben
Nachdem eine anonyme Quelle watson im April auf das Datenleck hingewiesen hatte, blieben erste Kontaktversuche der Redaktion erfolglos. Die Firmen-Verantwortlichen waren telefonisch nicht zu sprechen. Auf Medienanfragen per E-Mail folgte Ende des Monats eine erste Reaktion.
Die Unisecur-Chefin widersprach der Darstellung, dass es sich bei der ungesicherten «Hintertür» um eine schwere Sicherheitslücke handelt. Sie versuchte zu relativieren:
Nach Einschätzung eines von watson beigezogenen Sicherheitsexperten ist das eine Schutzbehauptung. Die Annahme, dass eine Webseite sicher sei, nur weil man die URL «kennen» muss, gilt gemeinhin als klassischer und grober IT-Sicherheitsfehler («Security through Obscurity» genannt).
Zudem: Bei schlecht konfigurierten Standard-Werkzeugen braucht es kein Hacking im engeren Sinn, sondern nur das Wissen, dass solche «Backends» vorhanden sind. Neugierige finden öfter solche offenen «Hintertüren», wobei dies auch durch automatisierte Abfragen erfolgen kann.
Beim Aufrufen von öffentlichen Websites läuft der Datenverkehr zwischen dem entsprechenden Server und dem Gerät des Users über Standard-Eingänge, sogenannte Ports, ab. Allgemein bekannt sind Port 80 für unverschlüsselte Datenübertragungen (HTTP) und Port 443 für verschlüsselte (HTTPS).
Bei ebenfalls über das Internet erreichbaren Datenbank-Tools, die aber nur von berechtigten Personen (Administratoren) bedient werden sollen, sind es andere Ports. Bei solchen sogenannten Backend-Tools muss man die Port-Nummer explizit an die URL (Webadresse) anhängen. Dies verhindert auch, dass zufällige Besucher, die nur die Hauptseite aufrufen, über ein Datenleck stolpern.
Wenn Backend-Tools ohne Passwortschutz oder anderweitige Sicherheitsvorkehrungen über das Internet erreichbar sind, können sie von «Bots» erfasst werden. Das sind automatisierte Programme, die nonstop das Internet durchkämmen und entsprechende Ports scannen. Oft reicht dann für Neugierige eine einfache Online-Suche über spezialisierte Suchmaschinen für IT-Infrastruktur (wie «Shodan»), um offene Hintertüren anzuzeigen. Und das weltweit. (dsc)
Im vorliegenden Fall waren die Datenbank-Backends von Funkwache und Unisecur über relativ kurze URLs aufrufbar, die watson nicht im Detail bekannt gibt. Der von watson beigezogene Experte hat sie verifiziert. Der renommierte IT-Fachmann gibt zu bedenken: «Der unübliche Port reduziert das Risiko zwar ein bisschen. Aber komplett unüblich ist er auch nicht, sodass typische Scanner ihn finden können.»
Datenschützer nimmt Stellung
Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) in Bern bestätigte auf Anfrage von watson, dass personenbezogene Angaben zu Strafverfolgung als besonders schützenswerte Personendaten gelten.
Aus datenschutzrechtlicher Perspektive sei für die Risikobewertung nicht massgeblich, ob eine Lücke tatsächlich ausgenutzt wurde oder schwer auffindbar war – sondern ob «eine unbefugte Kenntnisnahme» nicht ausgeschlossen werden kann. «Das kann sie hier nicht», so der EDÖB.
Wie lang waren die Informationen ungeschützt zugänglich?
Das ist nicht klar.
Gemäss Darstellung der Unisecur-Geschäftsführerin Claudia Byell traten die Probleme erst im März 2026 auf. Damals habe man «ein neues Tool hochgeladen». Und «dieses Tool hatte Lücken», wie es die Geschäftsfrau formuliert.
In ihrer schriftlichen Stellungnahme vom 30. April erklärte sie gegenüber watson, dass «die Lücken zwischenzeitlich geschlossen» worden seien.
Demnach war während mindestens einem Monat über das Internet der ungeschützte Zugriff möglich.
Oder stand die Hintertür viel länger offen?
Zu diesem Schluss kommt die IT-affine Quelle, die watson auf das Datenleck aufmerksam machte.
Server liefert Hinweis
Tatsächlich zeigte eine Server-Abfrage, dass das problematische Tool seit Dezember 2020 über die entsprechende Webadresse erreichbar war. Damit lasse sich aber nicht belegen, dass die Seite ununterbrochen frei zugänglich war.
Die automatisierte Server-Rückmeldung «HTTP/1.1 200 OK» bestätigte, dass die entsprechende Webadresse (zumindest zum Zeitpunkt der Abfrage Ende April) aktiv und erreichbar war. Es gab keine Fehlermeldung, keinen Passwortschutz, keine Umleitung. Die Hintertür stand offen.
Der Zeitstempel «Last-Modified» deutet darauf hin, dass der Kern der Datenbank-Software seit über fünf Jahren nicht mehr durch die Zuständigen angefasst worden war.
Nutzten Funkwache und Unisecur eine seit 2020 nicht mehr aktualisierte Software (Wakanda 1.1.4) für die Verwaltung und Bearbeitung sensibler Daten?
Die Verantwortlichen äussern sich nicht dazu.
Funkwache-Chef reagiert
Als watson die Verantwortlichen eine Woche vor dem geplanten Publikationstermin erneut kontaktierte und über die bevorstehende Berichterstattung informierte, reagierte schliesslich auch die Geschäftsleitung der Funkwache.
Per E-Mail schrieb Meinhard Byell am 21. Mai:
Allerdings ist unklar, ob nicht autorisierte Zugriffe auf das ungeschützte Backend-Tool und damit verbundene Datenabflüsse überhaupt vom IT-System erfasst wurden.
Funkwache und Unisecur schweigen dazu, ob sie anhand von detaillierten Server-Zugriffsprotokollen (Logs) nachvollziehen können, wer über den Zeitraum des Datenlecks auf die entsprechenden Internet-Adressen zugegriffen hat.
Auf eine Nachfrage wurde nicht reagiert.
Wie viele Personen sind betroffen?
Die Verantwortlichen der Überwachungsfirmen wollen dazu gegenüber watson keine Angaben machen.
Die im vergangenen Monat öffentlich einsehbare Unisecur-Datenbank umfasste unter anderem:
- 104'084 Einträge («Items») in einer Tabelle namens «Adressen_zu_Autonummern».
- 150'013 Einträge («Items») in einer Tabelle namens «Busse», in der Detailinformationen zu Verstössen gegen Parkverbote eingetragen wurden.
Die Funkwache-Datenbank umfasste unter anderem:
- 91'010 Einträge («Items») in einer Tabelle namens «Adressen_zu_Autonummern».
- 414'739 Einträge («Items») in einer Tabelle namens «Busse», in der Detailinformationen zu Verstössen gegen Parkverbote eingetragen wurden.
Wie oben erwähnt, zeigte sich bei der Recherche, dass die Datenbanken viele identische Einträge enthielten.
Was ist mit gesperrten Fahrzeug-Halterdaten?
Gemäss den watson vorliegenden Informationen betrifft das Datenleck auch gesperrte Halterdaten.
Bekanntlich können Fahrzeughalter, die Wert auf Datenschutz und Privatsphäre legen, beim zuständigen Strassenverkehrsamt eine Auskunftssperre beantragen. Dies soll Dritten das Online-Abfragen der Adressdaten verunmöglichen.
Dann müssen die Überwachungsfirmen zusätzlichen administrativen Aufwand betreiben, um an die Adressen der Parksünder zu kommen und eine Rechnung zuzustellen.
Parkplatz-Überwachungsfirmen können ein rechtliches Interesse geltend machen. Da sie im Auftrag des Landeigentümers handeln (in der Regel liegt ein richterliches Parkverbot vor), dürfen sie Halterdaten beim Strassenverkehrsamt kostenpflichtig anfordern, auch wenn eine Sperre vorliegt.
Peter Hotz, Co-Leiter Kommunikation & Entwicklung beim Strassenverkehrsamt des Kantons Zürich, erklärt, was Überwachungsfirmen dem Staat bezahlen müssen:
E-Mail-Adressen gehörten nicht zu den Fahrzeug-Halterdaten, die von Überwachungsfirmen abgerufen werden können, bestätigt der Sprecher gegenüber watson.
Die Beurteilung und Ahndung von Datenschutz-Verstössen falle nicht in die Zuständigkeit des Strassenverkehrsamts.
Welche Konsequenzen hat der Fall?
Das wird sich erst noch zeigen.
Abschliessend ist festzuhalten:
- Über die Internet-Domains von Funkwache und Unisecur waren Daten von Autofahrern und Fahrzeughaltern aus allen Kantonen der Schweiz einsehbar.
- Screenshots belegen, dass die verwendeten Online-Datenbanken auf veralteter Software basieren. Warum das entsprechende Tool ohne Passwortschutz zugänglich war, ist unbekannt. Die Verantwortlichen schweigen dazu.
- Die Tabellen enthielten persönliche Informationen von Betroffenen (Namen, Wohnadressen, Autonummern, E-Mail-Adressen, angebliche Verstösse gegen private Parkverbote).
- Es wurden auch besonders schützenswerte Personendaten (Status von Strafanzeigen) im Internet exponiert.
Der Gesetzgeber stuft das Risiko durch die Offenlegung von besonders schützenswerten Personendaten als hoch ein, da Betroffenen erhebliche Nachteile drohen. In solchen Fällen müssen fehlbare Firmen den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) informieren.
Mehr als drei Wochen nachdem watson die beiden Firmen auf das Datenleck aufmerksam gemacht hatte, erklärte die oberste Schweizer Datenschutzbehörde in Bern:
Auch bei der Datenschutzbeauftragten des Kantons Zürich (DSB), Dominika Blonski, waren keine Meldungen zu den beiden Zürcher Firmen Funkwache und Unisecur eingegangen, wie die Behörde auf Anfrage mitteilte.
Quellen
- konsumentenschutz.ch: Online-Ratgeber: Muss ich eine Umtriebsentschädigung fürs Parkieren bezahlen?
- 20minuten.ch: «Willkommen in der Parkplatzfalle des Kantons Zug» (2023)
- tages-anzeiger.ch: Mit welchen Tricks Falschparkierer zur Kasse gebeten werden (2022)
- zentralplus.ch: Diesen Baarer Parkplatz zu benutzen ist extrem teuer (2021)
- aargauerzeitung.ch: 80 Franken fürs Parkieren ohne Besucherkarte – ist das überhaupt erlaubt? (2021)
- 20minuten.ch: Kaum parkiert, schon gebüsst (2021)
