Ein neues Datenleck, welches vor Kurzem bekannt geworden ist, betrifft dieses Mal Piloten von DJI Drohnen direkt. In einer öffentlich aufrufbaren Datenbank sind mehr als 90 Millionen Einträge über Drohnenflüge in verschiedenen Ländern aufgetaucht, die offenbar durch DJI AeroScope Remote ID Scanner gesammelt wurden.
Ohne Frage: Datensicherheit bleibt im Kontext von Drohnen weiterhin ein extrem wichtiges Thema. Wer beispielsweise den Local Data Modus seiner DJI Drohne verwendet, geht erst einmal davon aus, dass alle Daten über den Flug privat bleiben. Das ist natürlich auch in sofern korrekt, als dass die Drohne und die zugehörige App von sich aus keine Daten über das Internet mit irgendwelchen Dritten (auch nicht DJI) teilt.
Aber was wenn der Flug aus der Ferne aufgezeichnet wird und die entsprechenden Daten dann öffentlich im Internet landen? Wir reden hier beispielsweise auch über den Homepoint der Drohne, der in den aller meisten Fälle wohl der Startpunkt des UAVs sein dürfte.
Datenbank enthält Daten von über 80.000 Drohnen
Genau das ist jetzt offenbar passiert, wie die Website Cybernews auf Basis eigener Recherchen berichtet. Demnach haben die Datenjournalisten eine in ihrer Größe nicht zu vernachlässigen Datenbank ausgemacht, die zu dem Zeitpunkt des Fundes öffentlich abrufbar war.
In dem 54,5 GB großen Datensatz befinden sich demnach über 90 Millionen Log-Einträge, die von verschiedenen AeroScope Remote ID Scannern erstellt worden sind. Insgesamt wurden damit die Flugdaten von über 80.000 unterschiedlichen Drohnen veröffentlicht. Das geht daraus hervor, dass sich 80.000 UAV-IDs in dem Datensatz finden. Diese Seriennummer ist jeder DJI Drohne einzigartig zugewiesen und wird unter anderem zum Binden eines UAVs an einen DJI Account verwendet.
Wichtig ist dabei zu erwähnen, dass diese Daten nicht von DJI selbst gespeichert wurden, sondern durch einen oder mehrere Kunden, die einen AeroScope-Scanner verwendet haben.
Bei dem vermeintlichen Datenleck wurden interessanter Weise die gesammelten Daten von 66 verschiedenen DJI AeroScope Scannern zusammengeführt. Von diesen sollen sich 6 in Katar und 53 in den USA befunden haben. Die restlichen Geräten waren offenbar in Deutschland, Frankreich und der Türkei stationiert.
Diese Zusammenführung ist es auch, die verschiedene Stellen Rätsel aufgibt, wer diese Datenbank zusammengestellt hat und ob die Daten absichtlich öffentlich liegen gelassen worden sind. Aufgrund des Umfangs ist aber eher von einem Datenleck auszugehen. Gehostet wurden die Daten auf einem Server von AWS, dem aber von Außen ebenfalls kein Besitzer zugeordnet werden konnte. Amazon soll jedoch seinen Kunden entsprechend auf die öffentlich abrufbaren Daten aufmerksam gemacht haben.
Datenleck: Keine personenbezogenen Daten enthalten
In der Datenbank sind laut dem Bericht von Cybernews jedoch glücklicherweise keine direkt personenbezogenen Daten vorhanden. Die Scanner haben aber folgende Daten von jedem Flug gesammelt: Position der Drohne, Drohnenmodell, Seriennummer der Drohne (UAV-ID), Position des Drohnenpiloten und Position des Home Points.
Auch wenn sich aus den Daten selbst ohne weitere Metadaten keine direkten Rückschlüsse auf konkrete Personen ziehen lassen, sind mindestens die Position des Piloten und der Home Point kritisch.
Denn wer seine Drohne öfter einmal in seinem Garten steigen lässt (unter Beachtung aller Gesetze versteht sich), gibt so indirekt seine Adresse preis. Über Häufungen von Flügen an einem Ort ließen sich auf diesem Wege beispielsweise Profile erstellen.
Gegenüber DroneDJ äußerte sich ein DJI-Sprecher zu dem Vorfall. DJI ist die Datenbank und der Bericht entsprechend bekannt, das Unternehmen hat bisher aber auch noch keine Ahnung von wem und zu welchem Zweck die Daten zusammengetragen wurden. DJI will seine AerosScope-Kunden im Kontext dieses Datenlecks noch einmal darauf aufmerksam machen, dass effektive Verfahren angewandt werden sollten, um die von Remote ID Scannern gesammelten Daten zu schützen.
Nur ein kleiner Blick in die Zukunft?
Das Datenleck kommt dabei zu einer interessanten Zeit (auch wenn die Datenbank bereits im Sommer entdeckt wurde). Denn im Grunde enthält der Datensatz nichts anderes (oder teilweise sogar weniger Informationen) als das, was ab September 2023 in den USA über die neuen Remote ID-Regelungen ohnehin von fast jeder Drohne abgestrahlt werden muss.
Wer es also darauf anlegt, könnte in Zukunft mit der Platzierung verschiedener, für jeden erhältlicher Remote ID Empfänger an unterschiedlichen Orten eine ähnliche Datenbank mit noch mehr Attributen pro UAV aufbauen.
Drohnenpiloten müssen sich also wohl leider daran gewöhnen, dass diese Art von Informationen in Zukunft jederzeit eingesammelt werden (können), sobald sie ihre Drohne fliegen. Auch sollte der aktuelle Vorfall ein Wink mit dem Scheunentor sein, dass bereits heute an bestimmten Stellen der Luftraum konkret nach Drohnen abgesucht wird und eure Flüge bereits in der Vergangenheit Spuren hinterlassen haben können. Und zwar ohne das ihr davon etwas mitbekommen habt.
In der EU ist Remote ID ebenfalls im Kontext des U-Space auf dem Vormarsch. Hier sehen die Gesetzgeber aber glücklicherweise davon ab, beispielsweise die Position des Piloten einzufordern.