Datendiebstahl & Leaks

Datenbank mit 800 Millionen Gesichtern im Netz

Eine Datenbank mit 800 Millionen Datensätzen — Fotos von Gesichtern und Nummernschildern — stand monatelang ungeschützt im Internet. Die Daten stammten von Überwachungskameras des chinesischen Herstellers Xinai Electronics und waren weder durch Passwörter noch durch sonstige Zugriffsbeschränkungen gesichert. Jeder, der die Adresse kannte, konnte die Daten über den Browser abrufen.

Xinai Electronics: Zutrittskontrolle ohne Datenschutz

Xinai Electronics betreibt ein weitreichendes Netz von Kameras in ganz China. Die Systeme bieten Zugangskontrollen für Personen und Fahrzeuge — an Arbeitsplätzen, Parkhäusern, Schulen und Baustellen. Laut Techcrunch nutzt das Unternehmen die Daten auch zur Anwesenheitsüberwachung von Mitarbeitern für Gehaltsabrechnungszwecke. Cloud-basierte Kennzeichenscanner ermöglichen Parkhausbetreibern die automatisierte Gebührenerhebung ohne Personal vor Ort.

Auf der eigenen Webseite behauptete Xinai, die Daten seien „sicher auf Unternehmensservern” abgelegt. Die Realität sah anders aus.

Ungeschützte Datenbank auf Alibaba-Server

Der IT-Sicherheitsforscher Anurag Sen entdeckte die ungeschützte Datenbank auf einem von Alibaba gehosteten Server in China. Die Datenbank wuchs täglich und enthielt zum Zeitpunkt der Entdeckung mehrere hundert Millionen Datensätze mit vollständigen URLs zu Bilddateien auf Xinai-Domains. Weder die Datenbank noch die Bilddateien waren passwortgeschützt.

Konkret enthielt die Datenbank:

Hochauflösende Gesichtsfotos — Bauarbeiter beim Betreten von Baustellen, Bürobesucher beim Einchecken
Personenbezogene Daten — Name, Alter, Geschlecht, Einwohner-ID-Nummern
Fahrzeugkennzeichen — erfasst durch Kameras in Parkhäusern, Einfahrten und Büroeingängen

Erpresser waren schneller als der Hersteller

Sen war nicht der Einzige, der die Datenbank fand. In einer undatierten Lösegeldforderung behauptete ein Erpresser, den Inhalt gestohlen zu haben, und forderte einige hundert Dollar in Kryptowährung für die Wiederherstellung. Die angegebene Blockchain-Adresse erhielt laut Techcrunch keine Zahlungen. Ob tatsächlich Daten entwendet oder gelöscht wurden, blieb unklar.

Mitte August 2022 verschwand die Datenbank aus dem Netz — ob durch Xinai selbst oder den Hoster, ist nicht bekannt.

Chinas Datenschutzgesetz: Theorie und Praxis

Seit dem 1. November 2021 gilt in China das Personal Information Protection Law (PIPL) — das erste umfassende Datenschutzgesetz des Landes. Es sieht vor, dass Unternehmen vor der Erhebung personenbezogener Daten die Einwilligung der Betroffenen einholen müssen. Staatliche Stellen sind davon allerdings ausgenommen.

Der Xinai-Vorfall reiht sich in eine Serie massiver Datenlecks in China ein. Im Juli 2022 wurde bekannt, dass die Shanghaier Polizei rund eine Milliarde Datensätze verloren hatte — einer der größten bekannten Datenabflüsse weltweit. Die Durchsetzung des Datenschutzgesetzes bleibt offensichtlich weit hinter dem Anspruch zurück.

Einordnung: Was dieser Fall für europäische Unternehmen bedeutet

Der Fall Xinai illustriert ein Problem, das nicht auf China beschränkt ist: Biometrische Daten in Cloud-Systemen ohne angemessene Zugriffskontrollen. Auch in Europa setzen Unternehmen zunehmend auf Gesichtserkennung für Zutrittskontrollen, Zeiterfassung und Besuchermanagement. Die DSGVO stellt biometrische Daten unter besonderen Schutz (Art. 9) — aber technischer Schutz muss der rechtlichen Einordnung folgen.

Drei Lehren aus dem Xinai-Vorfall:

Cloud-Datenbanken mit biometrischen Daten brauchen Zugriffsbeschränkungen, Verschlüsselung und Monitoring — nicht nur ein Versprechen auf der Unternehmenswebseite
Drittanbieter-Risiko: Wer Zutrittskontrollen an externe Dienstleister auslagert, muss deren Datenhaltung prüfen — nicht nur deren Funktionalität
Datenminimierung: 800 Millionen Datensätze in einer einzigen, wachsenden Datenbank ohne Aufbewahrungsfrist ist ein Designfehler, kein Feature

J. Benjamin Espagné

800 Millionen Gesichter im Netz — und niemand hat hingeschaut

Biometrische Daten sind die sensibelsten Daten, die es gibt — und werden oft am schlechtesten geschützt.

Der Xinai-Fall zeigt ein Muster, das wir auch in Europa sehen: Unternehmen sammeln biometrische Daten für Zutrittskontrollen und Zeiterfassung, aber die Sicherheitsarchitektur hält nicht Schritt. Cloud-Datenbanken ohne Zugriffsschutz, keine Verschlüsselung at rest, kein Monitoring auf unautorisierten Zugriff.

Für Unternehmen, die unter die DSGVO fallen, sind biometrische Daten besondere Kategorien personenbezogener Daten (Art. 9 DSGVO). Die Verarbeitung ist nur unter strengen Voraussetzungen zulässig — und der technische Schutz muss dem Schutzbedarf entsprechen. Wer Gesichtserkennung einsetzt, muss sicherstellen, dass die Daten verschlüsselt gespeichert, zugriffsgeschützt und überwacht werden.

Bei NEOSEC unterstützen wir Unternehmen dabei, ihre Dateninfrastruktur auf Schwachstellen zu prüfen — insbesondere dort, wo sensible Daten in Cloud-Diensten oder bei Drittanbietern liegen. Unser Attack Surface Management identifiziert exponierte Datenbanken und Dienste, bevor Angreifer oder Sicherheitsforscher sie finden.

Wissen Sie, ob Ihre Zutrittskontrollen und biometrischen Systeme sicher konfiguriert sind? Lassen Sie es uns prüfen.

TechCrunch — China: Face-recognition database with 800M records found online (August 2022)
Heise — Chinas erstes Datenschutzgesetz (November 2021)
Heise — Milliarde Datensätze bei Shanghaier Polizei gestohlen (Juli 2022)

Sicherheitslücken schließen. Risiken senken. Jetzt handeln!

Unsere Experten zeigen Ihnen live, wie wir Angriffe erkennen, stoppen und Ihr Unternehmen schützen.

Blog

Aktuelle Sicherheitsereignisse

AI Security

Der augmentierte Analyst: Wie KI die Geschwindigkeit im SOC verändert

J. Benjamin Espagné 10. April 20268. April 2026

Security Operations Center stehen unter Druck. Die Alert-Volumen steigen, die Angriffstechniken werden komplexer, und qualifizierte Analysten sind Mangelware. KI wird oft als…

lesen Der augmentierte Analyst: Wie KI die Geschwindigkeit im SOC verändert
AI Security

40.000 CVEs pro Jahr: Warum KI-gestütztes Schwachstellenmanagement kein Luxus mehr ist

J. Benjamin Espagné 9. April 20268. April 2026

Im Jahr 2024 wurden über 40.000 neue CVEs veröffentlicht — ein Anstieg von 38 Prozent gegenüber dem Vorjahr. Die CISA führte davon…

lesen 40.000 CVEs pro Jahr: Warum KI-gestütztes Schwachstellenmanagement kein Luxus mehr ist
NIS-2 & Compliance

BSI veröffentlicht C5:2026 — neuer Maßstab für Cloud-Sicherheit

J. Benjamin Espagné 9. April 20269. April 2026

Das BSI hat den C5:2026 veröffentlicht — die zweite substanzielle Revision des Cloud Computing Compliance Criteria Catalogue. Mit 258 Seiten, 17 Kriterienbereichen…

lesen BSI veröffentlicht C5:2026 — neuer Maßstab für Cloud-Sicherheit
In eigener Sache

10 Jahre NEOSEC: Nicht mehr neu — aber kontinuierlich Neo

J. Benjamin Espagné 8. April 20268. April 2026

NEOSEC wird zehn Jahre alt. Ein Jahrzehnt in der Cybersicherheit — das sind ungefähr sieben Generationen in Menschenjahren. Technologien, die bei unserer…

lesen 10 Jahre NEOSEC: Nicht mehr neu — aber kontinuierlich Neo
Wissen & Praxis

XIEM® vs. Splunk: Warum der Mittelstand kein Enterprise-SIEM braucht

J. Benjamin Espagné 8. April 20268. April 2026

Splunk ist der Platzhirsch im SIEM-Markt. Seit über 20 Jahren das Standardwerkzeug in Enterprise-SOCs, mittlerweile Teil des Cisco-Portfolios, mit einem Ökosystem aus…

lesen XIEM® vs. Splunk: Warum der Mittelstand kein Enterprise-SIEM braucht
Schwachstellen & Exploits

Detection Coverage: Wissen Sie, was Ihr SIEM tatsächlich erkennt?

J. Benjamin Espagné 8. April 20268. April 2026

Die meisten Unternehmen mit SIEM-System gehen davon aus, dass sie Angriffe erkennen. Die wenigsten können sagen, welche. Detection Coverage — die systematische…

lesen Detection Coverage: Wissen Sie, was Ihr SIEM tatsächlich erkennt?