Beim Fotoanbieter Portraitbox sorgt ein mutmaßlicher Cyberangriff derzeit für erhebliche Sorgen bei Fotografen, Eltern und Datenschutzexperten. Unbekannte sollen über eine offenbar unzureichend abgesicherte API große Mengen an Daten abgegriffen und anschließend teilweise gelöscht haben. Betroffen sein könnten tausende Fotografen sowie deren Kunden.
Besonders alarmierend ist, dass sich unter den möglicherweise entwendeten Daten hochaufgelöste Bilder von Kindern und Jugendlichen befinden sollen. Sicherheitsexperten warnen, dass moderne Gesichtserkennungstechnologien aus solchen Aufnahmen biometrische Merkmale extrahieren können. Damit bliebe ein nicht einschätzbares, lebenslanges Risiko für die Betroffenen.
Hochauflösende Kinderfotos als sensibles Risiko
Fotos gelten längst nicht mehr nur als einfache Bilddateien. Hochauflösende Portraitaufnahmen enthalten zahlreiche biometrische Informationen, darunter:
- Gesichtsstruktur
- Augenabstände
- Nasen- und Mundformen
- Hautmerkmale
- individuelle Proportionen
Diese Daten können von KI-gestützten Systemen zur Gesichtserkennung analysiert und verarbeitet werden. Gerade Bilder von Kindern und Jugendlichen gelten deshalb als besonders sensible personenbezogene Daten.
Datenschützer weisen darauf hin, dass biometrische Daten im Gegensatz zu Passwörtern nicht einfach geändert werden können. Gerät ein Gesichtsscan oder eine digitale Gesichtssignatur in falsche Hände, bleibt dieses Risiko langfristig bestehen.
API-Sicherheitslücke offenbar ausgenutzt
Nach bisherigen Informationen könnten die Angreifer Schwachstellen in einer Programmierschnittstelle (API) ausgenutzt haben. APIs verbinden unterschiedliche Systeme miteinander und ermöglichen automatisierte Datenabfragen. Sind sie mangelhaft abgesichert, können Angreifer unter Umständen:
- Bilddaten herunterladen
- Nutzerinformationen auslesen
- Datenbanken manipulieren
- Inhalte löschen
Experten sprechen bei solchen Vorfällen häufig von einer der gefährlichsten Schwachstellen moderner Cloud-Plattformen.
Gefahr durch KI und Deepfake-Technologien
Besonders problematisch ist die Kombination aus hochauflösenden Bildern und moderner künstlicher Intelligenz. Cyberkriminelle könnten gestohlene Fotos theoretisch für folgende Zwecke missbrauchen:
- Deepfake-Erstellung
- Fake-Profile in sozialen Netzwerken
- Identitätsmissbrauch
- Gesichtserkennungssysteme
- automatisierte Datensammlungen
Kinder und Jugendliche sind dabei besonders schutzbedürftig, da Bilder oft über viele Jahre hinweg online verbleiben und langfristig missbraucht werden könnten.
Fotografen und Eltern verunsichert
Viele Fotografen nutzen Plattformen wie Portraitbox zur Bereitstellung von Schul-, Kindergarten- und Portraitfotos. Entsprechend groß ist nun die Verunsicherung bei Eltern, Bildungseinrichtungen und professionellen Fotografen.
Datenschutzrechtlich könnte der Vorfall erhebliche Konsequenzen haben, da biometrische Daten nach der DSGVO zu den besonders sensiblen personenbezogenen Daten zählen.
Die jeweiligen Fotostudios sind Datenschutzrechtlich Verantwortliche nach Art. 4 Nr. 7 DSGVO und haften gegenüber den betroffenen Personen nach Art. 82 DSGVO.
Was Betroffene jetzt tun sollten
- Zugangsdaten und Passwörter ändern
- identische Passwörter auch bei anderen Diensten austauschen
- verdächtige E-Mails ignorieren
- Konten und Kundenbereiche überwachen
- Datenschutzhinweise des Anbieters prüfen
- gegebenenfalls Anzeige erstatten
