Das bekannte deutsche Tech-Portal Golem.de erhebt schwere Vorwürfe an die Adresse des Zürcher Prime Towers. Die für die Parkdeck-Steuerung zuständige Software, die übers Internet bedient werde, weise gravierende Sicherheitsmängel auf.
Eigentümerin des 355-Millionen-Franken-Baus, der heute an die 550 Millionen wert sein soll, ist der Schweizer Immobilien-Konzern Swiss Prime Site. Auf Anfrage von watson relativiert die Unternehmens-Sprecherin die im Golem.de-Artikel erhobenen Vorwürfe. Dazu gleich mehr. Aber zunächst die Vorgeschichte:
Der Prime Tower sei nicht nur eines der teuersten Bauprojekte der Schweiz und zu einem Wahrzeichen der Stadt geworden, schreibt Golem.de. Es handle sich um ein sogenanntes «Smart Building», also ein weitgehend vernetztes und intelligentes Gebäude.
Genau das werde nun aber zur Gefahr, denn anders als in einem Entwurf der Stadt zum Thema Smart City vorgesehen, werde dem Punkt «Datenschutz und Sicherheit» nicht genug Wert beigemessen.
Konkret sei es jedem möglich, über das Internet eine Applikation aufzurufen, die als Parkdeck-Administration des Prime Towers diene. So lasse sich ermitteln, wann und wie lange ein Parkplatz belegt sei. Dies sei rückblickend über mehrere Monate möglich.
Golem.de testete nach eigenen Angaben die App und machte Stichproben. Das News-Portal untersuchte die Daten über mehrere Monate und kommt zum Schluss, dass man durch die Applikation sehr genaue Prognosen machen könne – bis auf zehn Minuten genau.
Das beunruhigende Fazit: «Durch die Erfassung und öffentliche Abrufbarkeit der Daten werden die Parkenden gläsern. Guter Datenschutz ist das gewiss nicht.»
Zudem könnten die Schranken der Parkanlage ferngesteuert werden, was für Einbrecher einer Einladung gleichkomme.
Noch gravierender als die Mängel im Bereich Datenschutz seien jene im Bereich Sicherheit, konstatiert der Autor des Golem.de-Beitrags, ein deutscher IT-Experte. Denn über das Internet lasse sich die gesamte Parkdeck-Steuerung vornehmen, inklusive Schranken, Beleuchtung und Reservationssystem. Zudem könnte beispielsweise auch die Parkticket-Ausgabe aus der Ferne blockiert werden.
Für einige Funktionen sei ein Passwort erforderlich, heisst es. Den Zugang dazu könnten sich (kriminelle) Hacker durch eine sogenannte Brute-Force-Attacke verschaffen. Möglich wären auch Server-Überlastungsangriffe, sogenannte DDoS-Attacken. «Im schlimmsten Fall wäre dann das gesamte Parkhaus funktionsunfähig.»
Laut Bericht bei Golem.de haben sich die Betreiber des Parkhauses «trotz mehrfacher Hinweise (...) nicht zu dem Fund geäussert». Und auch der «Tages-Anzeiger» berichtete am Freitag, dass sich «die Verantwortlichen nicht dazu äussern wollten».
Dies mutet ziemlich merkwürdig an. Denn die Eigentümerin des Prime Towers, der Schweizer Immobilien-Konzern Swiss Prime Site, erklärte am Freitag gegenüber watson, man wisse von nichts.
Die Unternehmens-Sprecherin Claudia Kienberger sagte, es seien keine entsprechenden Anfragen zu dem Thema bei ihr eingegangen, weder früher von Golem.de noch heute vom «Tages-Anzeiger».
In einer schriftlichen Stellungnahme wird betont, dass für die Mieter auf dem Areal Prime Tower sowie für die gesamte Infrastruktur zu keiner Zeit eine Sicherheitslücke bestanden habe. Weiter heisst es:
Diese Aussage widerspricht dem Bericht von Golem.de in einem zentralen Punkt. Durch einen Hackerangriff hätte das Parkhaus nicht lahmgelegt werden können, versichert das Unternehmen.
Weiter betonen die Verantwortlichen, dass es sich um eine öffentlich zugängliche Tiefgarage handle. Wer die parkierten Autos ausspionieren wolle, könnte auch einfach durch die Räume laufen.
Der Verfasser des Artikels bei Golem.de, der deutsche IT-Spezialist Tim Philipp Schäfers, war bis am frühen Freitagabend nicht für eine Stellungnahme zu erreichen. Diese wird so schnell wie möglich nachgeliefert.
Update: Schäfers bestätigt via E-Mail, dass tatsächlich ein Lesemodus per Default aktiviert gewesen sei. Es habe allerdings auch die Möglichkeit bestanden, über HTTP-Authentifizierung (mittels Benutzernamen und Passwort) in einen administrativen Modus zu wechseln. «Die schnelle Offlinenahme der Webapplikation zeigt mir persönlich, dass die Betreiberin recht sicher wussten, dass eine solche Applikation nicht öffentlich zugänglich sein sollte.»
Bei Golem.de wird in einem Leserkommentar kritisiert, dass es sich um Panikmache handle. Die Sicherheit des Prime Towers sei durch einen vor Ort präsenten Sicherheitsdienst gewährleistet, zudem werde das Areal durch Videokameras überwacht. Erfolgreiche Brute-Force-Attacken auf Parkhaussysteme seien unwahrscheinlich.
Laut Angaben auf der Firmen-Website gibt es allein im Prime Tower rund 2000 Arbeitsplätze, hinzu kommen drei Nebengebäude. Die auf dem Areal befindliche Tiefgarage zählt rund 250 Parkplätze.