In Usbekistan war ueber einen laengeren Zeitraum die nationale Datenbank eines Systems zur automatischen Kennzeichenerkennung (ANPR/ALPR) ohne jede Zugangsbeschraenkung im Internet erreichbar. Die Plattform enthaelt Millionen hochaufloesender 4K-Fotos und -Videos von Fahrzeugen sowie die exakten GPS-Koordinaten der eingesetzten Verkehrskameras – ein Szenario, das exemplarisch zeigt, wie verwundbar schlecht gesicherte “Smart City”-Infrastrukturen sind.
Ungefilterter Zugriff auf Verkehrsueberwachung: Wie das Datenleck entdeckt wurde
Auf die offen zugaengliche Datenbank stiess der Sicherheitsforscher Anurag Sen, der seine Entdeckung an das Technologieportal TechCrunch meldete. Nach deren Recherchen existierte die zugrundeliegende Datenbank mindestens seit September 2024, waehrend das zentrale Verkehrsleitsystem bereits Mitte 2024 produktiv gegangen war.
Besonders kritisch: Fuer den Zugriff war keinerlei Authentifizierung erforderlich. Der Web-Dashbord der Leitstelle war direkt aus dem Internet erreichbar; jeder Nutzer konnte Aufnahmen einsehen, Metadaten abrufen und Kamerastandorte sichten – ein klassischer Fall einer fehlkonfigurierten, exponierten Management-Oberflaeche.
In Usbekistan sind nach vorliegenden Informationen rund einhundert Gruppen von Verkehrskameras im Einsatz. Diese befinden sich in Metropolen wie Taschkent, Dschizzak, Karshi und Namangan sowie an wichtigen Fernstrassen, darunter auch Abschnitte nahe frueher umstrittener Grenzbereiche zu Tadschikistan. Die Kameras erfassen kontinuierlich Kennzeichen, Fahrer und Mitfahrer und dokumentieren taeglich tausende Verkehrsverstoesse – von Rotlichtverstoessen ueber Fahren ohne Sicherheitsgurt bis zum Betrieb nicht registrierter Fahrzeuge.
Offene Standortdaten, 4K-Aufnahmen und Metadaten: Umfang der exponierten Informationen
Die exponierte Datenbank umfasste nach Angaben des Forschers unter anderem praezise Geokoordinaten aller Kameras. Hinzu kamen umfangreiche Bild- und Videodaten, jeweils angereichert mit Metadaten wie Zeitstempel, Standort, erkannter Kennzeichentext und klassifiziertem Verstoss.
Eine derart dichte Kombination aus Geodaten, biometrisch relevanten Bildinformationen und lueckenlosen Zeitreihen ermoeglicht im Ergebnis eine nahezu vollstaendige Rekonstruktion von Bewegungsprofilen bestimmter Personen und Fahrzeuge. Fuer Angreifer koennen solche Daten dazu dienen, Routinen von Amtstraegern, Unternehmern, Journalisten oder auslaendischen Besucherinnen und Besuchern zu analysieren, Begleitmassnahmen zu planen oder gezielt kamerafreie Routen fuer kriminelle Aktivitaeten zu identifizieren.
Betreiberin des Systems ist der fuer oeffentliche Sicherheit zustaendige Fachbereich des Innenministeriums Usbekistans. Anfragen von TechCrunch blieben nach den Berichten unbeantwortet; das nationale Computer-Notfallteam UZCERT bestaetigte lediglich automatisiert den Eingang der Meldung. Die Plattform wird als “intelligentes Verkehrsleitsystem” beschrieben und von der chinesischen Firma Maxvision entwickelt, die aehnliche Sicherheits- und Videoueberwachungssysteme in verschiedenen Laendern des Nahen Ostens, Afrikas, Lateinamerikas und Zentralasiens bereitstellt.
Globale Dimension: Schwachstellen in Systemen zur Kennzeichenerkennung
Der Fall Usbekistan ist kein Einzelfall, sondern Teil eines globalen Musters. Internationale Medien wie Wired und 404 Media berichteten bereits 2024 ueber vergleichbare Faelle in den USA, bei denen Hunderte von Kennzeichenkameras und Gateways grosser Anbieter ohne Schutz im Netz zugaenglich waren und teilweise Live-Einblicke in den Strassenverkehr ermoeglichten.
ANPR-/ALPR-Systeme werden weltweit im Rahmen von Smart-City-Projekten ausgerollt, um Verkehr zu steuern, Ordnungswidrigkeiten zu automatisieren und Sicherheitsbehoerden zu unterstuetzen. Sicherheitsanalysen von Institutionen wie ENISA, BSI oder NIST weisen jedoch seit Jahren darauf hin, dass Cybersecurity-Anforderungen haeufig hinter Funktionalitaet und Tempo der Implementierung zurueckbleiben, insbesondere bei vernetzten Video- und Sensornetzen.
Typische Konfigurationsfehler als Ausloeser von Datenlecks
Praxisfaelle aus unterschiedlichen Laendern zeigen, dass viele Vorfaelle nicht auf hochkomplexe Angriffe zurueckgehen, sondern auf grundlegende Fehlkonfigurationen. Dazu gehoeren insbesondere:
– direkt ins Internet exponierte Web-Oberflaechen ohne Login oder mit Standardpasswoertern;
– oeffentlich erreichbare Datenbanken und Cloud-Speicher durch falsche Berechtigungen;
– fehlende Netzsegmentierung zwischen Kameras, Management-Systemen und dem Internetzugang;
– unzureichendes Logging und Monitoring, sodass Fehlkonfigurationen und Fremdzugriffe unentdeckt bleiben.
Im Fall der usbekischen Plattform deutet die Beschreibung darauf hin, dass genau dieses Muster vorlag: Ein voll funktionsfaehiger Operator-Dashbord war ohne vorgelagerte Zugriffskontrolle aus dem Web zugreifbar.
Schutz kritischer Video- und Verkehrsinfrastrukturen: Technische und organisatorische Prioritaeten
Um aehnliche Vorfaelle zu verhindern, muessen Staaten und Betreiber smarter Verkehrssysteme Security by Design und Privacy by Design konsequent verankern. Auf organisatorischer Ebene bedeutet dies unter anderem verpflichtende Sicherheitsstandards fuer Systeme zur Video- und Verkehrsueberwachung, regelmaessige Audits und Penetrationstests sowie strukturierte Datenschutz-Folgenabschaetzungen mit klar definierten Aufbewahrungsfristen.
Aus technischer Sicht sind vor allem folgende Massnahmen essenziell:
– konsequente Platzierung von Management-Konsolen und Datenbanken in internen Netzsegmenten, nur erreichbar ueber VPN und Mehr-Faktor-Authentifizierung;
– Umsetzung des Least-Privilege-Prinzips fuer Operatoren und Servicekonten;
– Ende-zu-Ende-Verschluesselung von Transportwegen und Speichern, Verwendung aktueller, zertifizierter Kryptostandards;
– zeitnahe Updates von Kamera-Firmware und Server-Software zur Schliessung bekannter Schwachstellen;
– permanenter Abgleich exponierter Dienste mit Asset-Management und automatisierte Alerts bei ungeplanten oeffentlichen Endpunkten.
Der Vorfall in Usbekistan fuehrt vor Augen, dass jede neue “intelligente” Verkehrskamera nicht nur ein Werkzeug fuer effizientere Verkehrssteuerung ist, sondern zugleich eine potenzielle Angriffsoberflaeche fuer Cyberkriminalitaet. Je dichter und zentralisierter solche Systeme werden, desto groesser ist das Schadenspotenzial bei Fehlkonfiguration oder Kompromittierung. Betreiber, Technologieanbieter und Gesetzgeber sind gefordert, Sicherheitsarchitekturen fruehzeitig mitzudenken, Risiken laufend zu ueberpruefen und Best Practices aus dem Bereich Cybersecurity in allen Phasen – von der Planung bis zum Betrieb – verbindlich umzusetzen.
