KarleHorn, Wikimedia Commons
Auf diesen Fall wurde ich durch einen Kommentar im Lawblog aufmerksam. Dort wurde am 12.06.2014 ein Link zu einem FTP-Server gepostet. Der Name des Servers (laut SSL-Zertifikat) entsprach dem einer hessischen Gemeinde, die eine PoliScan-Speed-Messanlage an ihrem Ortseingang (Messung in beide Fahrtrichtungen) betreibt. Allerdings war der Zugriff auf diesen Server, auf dem sich zahlreiche PoliScan-Speed-Messdaten aus dem Zeitraum April bis Juni 2014 befanden, weder durch die Angabe eines Benutzernamens oder Passworts geschützt und somit für jedermann, der die Adresse kannte, frei zugänglich, sodass auch die Messdaten heruntergeladen werden konnten. Kurze Zeit danach war der Server über das Internet nicht mehr erreichbar.
Dennoch konnte dank verschiedener Suchmaschinen, die den Server schnell “entdeckten”, später nachvollzogen werden, was sich darauf befand. Ähnlich wie Google Cache, das den Inhalt von öffentlichen Internetseiten auf eigenen Servern (zwischen-)speichert und den Benutzern der Suchmaschine den Zugriff auf die “Spiegelung” erlaubt – eine Zeit lang auch dann, wenn die Seite selbst nicht mehr existiert – gibt es spezielle FTP-Suchmaschinen (in diesem Fall: Filemare.com), die die Verzeichnis- und Dateistruktur auf öffentlichen FTP-Servern auslesen und speichern. Somit waren die Verzeichnisse und Dateinamen, die sich auf dem Gemeindeserver befanden, auch noch einige Wochen nach der Abschaltung ersichtlich. Ein Zugriff auf die Dateien selbst und ihren Inhalt ermöglichte Filemare.com (anders als Google) allerdings nicht.
Daraus ergab sich, dass sich auf dem Server mindestens 2 GB Daten in über 400 Dateien befanden; die meisten davon waren TUFF-Dateien (das Dateiformat von PoliScan-Speed-Messdaten), die auch die Messfotos enthalten. Außerdem enthielt der Server zahlreiche Messdatensätze im XML-Format, Inbetriebnahme- sowie Messprotokolle, welche Google nach der Abschaltung des Servers teilweise noch sichtbar machen konnte. Weiterhin befand sich dort die Anordnung der Straßenverkehrsbehörde, die Beschilderung (50 km/h) in Richtung der Nachbargemeinde zu versetzen, um “die Sicherheit im Bereich der dortigen Bushaltestelle” zu erhöhen sowie “die Möglichkeit der Überwachung der angeordneten Geschwindigkeitsbeschränkung” (!) zu verbessern. Die Anleitung des laut Lawblog-Kommentar “gebräuchlichen FTP-Servers für Anfänger” wurde ebenfalls dort abgelegt.
An besagtem Ortseingang wurde im genannten Zeitraum auch das Fahrzeug eines Betroffenen gemessen, dessen Verteidiger sich zur Begutachtung der Messung an die GFU wandte. Dass es sich um den gleichen Standort handelte, fiel nach der Begutachtung dem GFU-Sachverständigen auf, so dass er den Verteidiger informieren konnte, welcher nun Bedenken gegen die Verwertung der Datensätze vorbrachte. Die zuständige Behörde nahm später zu dem Vorfall Stellung: Die Falldaten, die das Messgerät erzeugt, würden über eine sichere Verbindung (VPN) per Mobilfunk auf den Server der Gemeindeverwaltung übertragen. Dort würden die Daten durch eine Messbeamtin auf Integrität und Authentizität überprüft, archiviert und dann zur Auswertung an eine Privatfirma (an wen auch sonst?) versandt.
Nach Auskunft der Ordnungsbehörde erklärte der Bürgermeister und zugleich EDV-Beauftragter der Gemeinde, dass aufgrund eines Administratorfehlers die öffentliche Leseberechtigung für den Server aktiviert war, nicht aber die Schreib- oder Änderungsberechtigung. Der Server sei jedoch am selben Tag (12.06.2014) vom Netz genommen worden. Eine Manipulation der Messdaten sei außerdem aufgrund der digitalen Signierung sowie Verschlüsselung der Falldaten durch das PoliScan Speed-System unmöglich gewesen.
Die neuen Blitzer kann man gar nicht mehr erkennen, von daher ist es eine gute Sache das die Bilder im Netzt hochgeladen wurden, im Sinne von Autofahrer natürlich.
Hier ging es aber nicht um Fotos von Messgeräten, sondern von Fahrzeugen und Autofahrern. 🙂