Daten von DJIs Drohnen-Überwachung AeroScope offen im Netz
Flugdaten und Seriennummern von rund 80.000 verschiedenen Drohnen sollen sich in einer ungeschützten Datenbank befunden haben – DJI will es nicht gewesen sein.
Das System AeroScope (links) mit Beispielinstallation (rechts).
(Bild: Bilder: DJI, Montage: heise online)
- Nico Ernst
Das chinesische Unternehmen DJI stellt nicht nur die weltweit meistverkauften Drohnen her, sondern auch ein System, um deren Flugbewegungen zu überwachen und gegebenenfalls zu unterbinden: AeroScope. Dabei handelt es sich um eine Kombination aus Hard- und Software, die unter anderem von Behörden eingesetzt wird, um Flugverbotszonen zu etablieren. DJI zufolge wird es seit 2017 unter anderem auch an Flughäfen eingesetzt. Nicht nur die eigenen Drohnen sollen mit AeroScope erfasst werden können.
Dabei fallen etliche Daten an. Das Ziel der Überwacher ist nämlich stets, nicht nur die Drohne in der Luft zu erkennen, sondern auch herauszufinden, wem sie möglicherweise gehört und sie zur Landung zu zwingen. So ging beispielsweise auch die Polizei beim Schutz des Filmfestivals in Cannes 2022 vor, wie einem französischen Bericht zu entnehmen ist.
Problematisch ist dabei wie stets bei Überwachungsdaten, wo sich gespeichert werden – am besten nicht ungeschützt in der Cloud. Wie Cybernews.com berichtet, ist aber genau das nun passiert: Die Daten von rund 80.000 verschiedenen Drohnen fanden sich in einer Instanz von Amazons AWS. Der Meldung zufolge waren sie nicht geschützt, es soll sich, so wörtlich, um eine "offene Datenbank" gehandelt haben. In 54,5 Gigabyte waren die Positionsdaten der Drohnen, des Piloten – was meist gleich mit dem Startpunkt – und auch die Seriennummern der Fluggeräte gespeichert. Unmittelbare Personendaten, etwa durch das in den USA vorgeschriebene System Remote ID für die Registrierung und Positionsmeldung per Funk im Flug, waren in den Daten nicht gespeichert.
Daten aus den USA, Katar und Europa
Die Zusammensetzung des Datensatzes scheint auf einen Ursprung in den USA hinzuweisen. Die Informationen stammen von 66 verschiedenen AeroScope-Installationen, von den 53 sich in den USA befanden, sechs in Katar, und einige weitere in Deutschland, Frankreich und der Türkei. Zum Besitzer oder Ersteller der Datenbank konnte Cybernews keine Hinweise finden. Dem Bericht zufolge teilte DJI auf Anfrage mit, die Informationen gehörten nicht dem Unternehmen. Und Amazon AWS sagte, es werde seinen Kunden in Kenntnis setzen.
Bemerkenswert ist in diesem Zusammenhang auch, dass Cybernews eigenen Angaben zufolge die Datenbank am 11. Juli 2022 entdeckte und am 3. August 2022 ein ausführlicher Blogbeitrag von DJI erschien, der auf die Gefahren der Überwachung durch AeroScope hinweist – und zwar in Verbindung mit dem Einsatz von Drohnen durch beide Seiten im russischen Angriffskrieg gegen die Ukraine. Darin weist das Unternehmen jede Verantwortung von sich und betont, es gebe keine Daten zum Einsatz der Drohnen weiter. Zudem seien die Drohnen wie auch AeroScope nicht für militärischen Einsatz entworfen. Man habe an eine solche Verwendung beim Design des Systems auch nicht gedacht.
Mit dem Leak von AeroScope-Daten zeigt sich nun aber, wie wertvoll solche Informationen in den falschen Händen sein können. Allein schon durch die Startpositionen von Drohnen lässt sich leicht abschätzen, an welchen Objekten oder Orten die Piloten Interesse haben.
Im dritten Absatz wurde ein Satz eingefügt der klarstellt, dass es sich laut Cybernews um eine offen zugängliche Datenbank gehandelt haben soll.
(nie)