DatenpanneIT-Spezialist entdeckt Sicherheitslücke bei Überwachungssoftware der Luxemburger Polizei

Wurde die Überwachungssoftware der Luxemburger Polizei kompromittiert? Das wollten die Abgeordneten Ben Polidori und Dan Biancalana (LSAP) von der Regierung wissen. In ihrer Antwort vom 12. Juni teilte die Exekutive mit, es gebe keine Hinweise auf einen Datenabfluss oder eine andere Form der Kompromittierung des betroffenen Polizeiservers. Hintergrund der Frage war die Präsentation eines deutschen Hackers und IT-Experten bei der Easterhegg 2025, einer Hacker-Konvention des „Chaos Computer Club“, die Ende April 2025 in Hamburg stattfand. Das Internetportal golem.de berichtete zuerst über den Vorfall.

Der IT-Experte Tim Philipp Schäfers fand rund zwei Dutzend öffentlich erreichbare MRS-Server weltweit, darunter einen Server der „Unité spéciale de la police“ (USP) GATO 2 in Luxemburg, der nach Schäfers’ Warnungen inzwischen offline genommen wurden. GATO 2 ist die Einheit, die für Audio- und Videoobservationen bei Ermittlungen zuständig ist.

Das Media Relay System (MRS) der israelischen IT-Firma Infodraw dient dazu, Video- und Audiodaten von mobilen Geräten wie Bodycams oder Drohnen zentral zu empfangen, zu speichern und für Einsatzkräfte zugänglich zu machen. Die Software verbindet Kamerasysteme im Feld mit einem Server, auf den autorisierte Stellen per Weboberfläche zugreifen können. Im Idealfall ermöglicht das System eine sichere Echtzeitübertragung und Archivierung sensibler Einsatzdaten.

Laut Schäfers war die bei der Polizei eingesetzte Version jedoch veraltet und unzureichend gesichert. Durch einen einfachen Login-Trick konnten Angreifer auf sämtliche Dateien der betroffenen Server zugreifen und sogar Konfigurationsdateien mit Zugangsdaten auslesen. Demnach war es möglich, alle gespeicherten Videos und Audios auszulesen, neue Kameras ins System einzuschleusen oder Aufnahmen nach Belieben zu manipulieren und zu löschen.

Schäfers zufolge habe Infodraw auf die Warnungen nicht reagiert. Er weist außerdem darauf hin, dass die neueste Softwareversion 7.1.0.0 aus dem Jahr 2000 stammt und empfiehlt allen Nutzern, das System umgehend vom Netz zu nehmen oder zumindest durch VPN-Zugänge oder IP-Filter zu schützen.

Die Regierung teilt in ihrer Antwort auf die parlamentarische Anfrage mit, der Server sei umgehend vom Netz genommen und eine Untersuchung der Justiz eingeleitet worden; interne Experten der Polizei analysieren den Vorfall und arbeiten bereits an Verbesserungen der IT-Infrastruktur.

Die Regierung sieht indes keinen Anlass, den Lieferanten Infodraw vertraglich zur Verantwortung zu ziehen oder von künftigen Ausschreibungen auszuschließen, da kein konkreter Schaden festgestellt wurde. Die Polizei unterziehe ihre Systeme zwar regelmäßig Sicherheitschecks, wolle aber neue Lösungen künftig noch strengeren Tests unterziehen.

Derzeit gibt es in Luxemburg keine spezifischen Cybersicherheitspflichten für Anbieter im Bereich der öffentlichen Sicherheit, jedoch soll der neue EU-Cyber Resilience Act einheitliche Regeln vorgeben – etwa zur schnellen Behebung entdeckter Sicherheitslücken durch Hersteller.

Auf die Frage nach einem möglichen Verzicht auf israelische Technologien erklärte die Regierung zudem, man wolle grundsätzlich IT-Produkte aus der Europäischen Union bevorzugen.