{"id":289406,"date":"2023-12-19T03:17:46","date_gmt":"2023-12-19T02:17:46","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=289406"},"modified":"2024-02-29T11:05:37","modified_gmt":"2024-02-29T10:05:37","slug":"easypark-opfer-eines-cyberangriffs-datenabfluss-hat-stattgefunden-dez-2023","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/12\/19\/easypark-opfer-eines-cyberangriffs-datenabfluss-hat-stattgefunden-dez-2023\/","title":{"rendered":"EasyPark Opfer eines Cyberangriffs, Datenabfluss hat stattgefunden (Dez. 2023)"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Der Anbieter EasyPark wurde zum 10. Dezember 2023 Opfer eines Cyberangriffs, wie er eingestehen musste. Nett, wie der Anbieter das formuliert – es kam zu einer Verletzung von nicht sensiblen Kundendaten. Gottseidank wurden nur so unwichtige Daten wie E-Mail-Adresse, Telefonnummer, Anschrift oder Teile von Kartendaten abgezogen. Was da alles h\u00e4tte passieren k\u00f6nnen, wenn \"doch wichtige Daten\" abgezogen worden w\u00e4ren. Hier ein \u00dcberblick \u00fcber den Sachverhalt.<\/p>\n

<\/p>\n

\"\"Blog-Leser Patrik hat mich per Mail dar\u00fcber informiert, dass es bei EasyPark einen Angriff gab, bei dem Daten abgezogen wurden. Ich gestehe, mich erf\u00fcllt eine gewisse Genugtuung, \u00fcber diesen Vorfall – \"lernen durch Schmerz\" hei\u00dft die Devise – erst wenn die Digitalisierungs-Fetischisten so richtig fett gegen die Wand gerauscht sind, findet vielleicht ein Umdenken statt.<\/p>\n

EasyPark, einige Hintergrundinformationen<\/h2>\n

Beim Namen EasyPark klingelte etwas \"da hast Du doch k\u00fcrzlich mal was zu geschrieben\" in meinem Hinterkopf. Die Suche im Blog warf dann auch den gew\u00fcnschten Artikel Der t\u00e4gliche App- und Cloud-Irrsinn<\/a> von Sommer 2023 aus.<\/p>\n

Wer ist Easy Park?<\/h3>\n

Zum Hintergrund: EasyPark ist ein privater Anbieter (eine Group mit Hauptsitz in Stockholm, Schweden), der sich unter dem Motto \"Dein zuverl\u00e4ssiger Begleiter f\u00fcr unterwegs\" das Verwalten von Parkraum und das Begleichen von Parkgeb\u00fchren auf die Fahnen geschrieben hat. Dazu arbeitet der Anbieter mit St\u00e4dten und Parkplatzbetreibern zusammen, damit Autos (laut eigener Aussage) \"sicher und einfach geparkt werden k\u00f6nnen\".<\/p>\n

Es braucht eine App von EasyPark, es braucht eine Registrierung bei EasyPark, und die Zahlungsvorg\u00e4nge laufen auch \u00fcber diese App. Nutzer k\u00f6nnen die App zur Suche nach Parkpl\u00e4tzen verwenden, und auf vielen Parkautomaten in St\u00e4dten findet sich inzwischen ein EasyPark-Aufkleben. Im d\u00fcmmsten Fall kann nur parken, wer sich die App von EasyPark auf einem Smartphone installiert, sich beim Anbieter mit Zahlungsinformationen registriert und dann den Parkplatz in der App bucht.<\/p>\n

<\/p>\n

Der Anbieter verspricht: \"Sobald du einen Parkvorgang mit EasyPark startest, senden wir eine Nachricht an das Kontrollsystem der Stadt. So sehen die Beh\u00f6rden, dass die Parkgeb\u00fchr f\u00fcr deinen Parkplatz per App bezahlt wurde. \"<\/p>\n

EasyPark, meine erste Begegnung<\/h3>\n

Ich hatte das Thema EasyPark im Sommer 2023 im Artikel Der t\u00e4gliche App- und Cloud-Irrsinn<\/a> mit aufgegriffen. Anlass war, dass die Familie an einem Br\u00fcckentag zum Hessentag in Pfungstadt wollte. Irgendwie hatte ich die Idee \"schaue mal schnell, wie es mit Parken auf dem Hessentag ist\". Hier ein Auszug meiner damaligen Recherchen und \u00dcberlegungen.<\/p>\n

Im Internet stie\u00df ich auf die winzige Information, dass auf dem Hessentag die EasyPark-App ben\u00f6tigt w\u00fcrde, um das Parken zu buchen \u2013 mit Standortdaten per Smartphone und GPS sowie Kennzeichen und Bezahlung per App. Nur Senioren ohne Smartphone h\u00e4tten eine eingeschr\u00e4nkte M\u00f6glichkeit, an den Kassen vor Ort ein Parkticket mit 5 Euro Aufschlag zu kaufen \u2026<\/p>\n

Das war der Punkt, wo mir das Ganze schon erheblich aufstie\u00df. Ich h\u00e4tte mir eine App installieren und diese registrieren m\u00fcssen – geht ja mal gar nicht. Eine kurze Webrecherche f\u00f6rderte Erschreckendes Zutage – manche Kommunen binden sich (unter dem Aspekt \"Der Fortschritt ist da …\") fest an EasyPark, die vor einiger Zeit Park Now \u00fcbernommen (siehe<\/a>) haben. Mir fiel nat\u00fcrlich gleich der Welt-Artikel<\/a> von Herbst 2022 vor die F\u00fc\u00dfe, wo es um Schwachstellen ging. Da konnte pl\u00f6tzlich jeder sehen, wer wo parkt (O-Ton der Gattin \"wen interessiert, wo ich parke?\").<\/p>\n

Hab dann noch eine kurze Recherche durchgef\u00fchrt, wie die Nutzerschaft das so sieht. Hunderttausende EasyPark-Kunden sind, laut Herstellerseite, begeistert. Auf Trustpilot<\/a> habe ich dann den Fehler gemacht, die 1 Sterne-Bewertungen zu lesen. Fundsplitter: Jemand gibt dein KFZ-Kennzeichen ein und parkt auf deine Kosten. Die App erm\u00f6glicht keine Tagesticket, also Strafzettel bekommen, weil Start- und Endzeit nicht \u00fcber ein bestimmtes Intervall hinaus buchbar waren.<\/p>\n

Jeder Fehler geht dort wohl zu Lasten des Kunden. Eine Buchung des Tickets per Web-Portal ist nicht vorgesehen \u2013 Du brauchst eine App. Kommunalpolitiker zwingen die Leute zu einer App eines Drittanbieters, und die Presse feiert es als Fortschritt. Und was mich noch mehr \u00e4rgerte: Es gibt wohl mehrere Anbieter und je nach Ort musst Du dann verschiedene Park-Apps auf dem Smartphone haben.<\/p>\n

\"Herr, wirf Hirn vom Himmel\", war in obigem Artikel mein pers\u00f6nliches Fazit. Und mit der Familie habe ich seinerzeit einen genialen Br\u00fcckentag im Odenwald verbracht, aber ohne EasyPark-App und Besuch des Hessentags in Pfungstadt. Und ja, ich habe mit Genugtuung gelesen<\/a>, dass Pfungstadt 10,2 Millionen Euro Miese in diesem Projekt eingefahren hat – mehr als erwartet, auch weil weniger Besucher als erwartet kamen.<\/p>\n

Cyberangriff auf EasyPark<\/h2>\n

In obigem Screenshot der EasyPark-Seite sieht man bereits ein Banner, dass es einen Cyberangriff auf den Anbieter gegeben habe. Im Sinne einer Schwurbelparade liest<\/a> der staunende B\u00fcrger \"alles nicht so schlimm\". Am 10. Dezember 2023 hat der Anbieter festgestellt, dass er Opfer eines Cyberangriffs geworden ist. Aber hey, Schwein gehabt, dem Anbieter liegen die Kunden und Kundinnen, die sich die App auf ihr Smartphone gezogen und dann registriert haben, nat\u00fcrlich am Herzen – das muss betont werden. Da habe ich pers\u00f6nlich keine Zweifel, geht es doch um deren Geld, was man einnehmen m\u00f6chte.<\/p>\n

\"Nur weniger wichtige Daten\" betroffen<\/h3>\n

Die Kunden und Kundinnen haben dar\u00fcber hinaus riesiges Gl\u00fcck gehabt, denn der Anbieter hat schnell gehandelt, um den Cyberangriff sofort zu stoppen, das ist doch top, oder? Und der Anbieter hat gesorgt, dass seine Dienste wie gewohnt weiterlaufen, Kohle und Parkraumbewirtschaftung geht vor.<\/p>\n

Aber es kommt noch besser, denn laut Verlautbarung von EasyPark f\u00fchrte der Angriff \"nur\" zu einer Verletzung von nicht sensiblen Kundendaten. Es waren nur \"einige\" Kundendaten betroffen, f\u00fcr die dann folgende Information relevant ist:<\/p>\n