Alle Storys
Folgen
Keine Story von NDR Norddeutscher Rundfunk mehr verpassen.

NDR Norddeutscher Rundfunk

IT-Sicherheit: Restaurantdienstleister hat Gäste-Daten nicht ausreichend geschützt

Hamburg (ots)

Sicherheitslücken bei einem Dienstleister für Restaurants haben dazu geführt, dass Millionen persönliche Daten nicht ausreichend geschützt im Internet standen. Darunter waren auch Zehntausende digitale Corona-Kontaktverfolgungs-Formulare. Die Sicherheitslücken bestanden in den Systemen der Firma Gastronovi, eines großen deutschen Anbieters für Gastronomie-Software. Die sensiblen Daten lassen teilweise Einblicke in Bewegungs- und Aufenthaltsprofile der betroffenen Gäste zu. Entdeckt hat die Lücken der Chaos Computer Club (CCC). Reporterinnen und Reporter von NDR und BR konnten die Erkenntnisse des CCC durch Stichproben verifizieren.

Die Firma Gastronovi mit Sitz in Bremen bietet Restaurants, Bars und Hotels unter anderem Web-Lösungen für Tisch-Reservierungen, Bestellungen und auch die Kontakt-Verfolgung im Zuge der Corona-Vorkehrungen an. Nach eigenen Angaben wickelt die Software der Firma jeden Monat 600.000 Reservierungen ab und verarbeitet 96 Millionen Euro Restaurant-Umsätze.

Der CCC fand insgesamt mehr als vier Millionen Adress- und Reservierungseinträge aus den vergangenen neun Jahren vor. Darunter waren nach Angaben des CCC mehr als 87.000 Einträge, die der Kontaktverfolgung im Falle einer Corona-Infektion dienen sollen: Restaurants hatten die Daten mithilfe von sogenannten QR-Codes erhoben, die Gäste beim Besuch mit dem Smartphone scannen und dann ihre Kontaktdaten eintragen.

Gastronovi hat auf Anfrage bestätigt, dass die Systeme anfällig gewesen seien. Es habe sich um "Sicherheitsschwachstellen" gehandelt, diese seien zwischenzeitlich geschlossen. Gastronovi erklärte, dass "kein unautorisierter Zugriff" auf die Daten stattgefunden habe.

In einem 14-seitigen Bericht, der NDR und BR vorliegt, hat der CCC seine Erkenntnisse zusammengefasst. Demnach sei es mit einfachen Mitteln möglich gewesen, "administrativen Vollzugriff" zu erhalten - also Zugriff auf alle Daten und zudem die Möglichkeit, Nutzerkonten und deren Berechtigungen zu verändern. "Kritikalität: sehr hoch", wie es in dem Papier heißt.

"Ein Teil der Lücken waren so eklatant, dass jeder Nutzer das hätte herausfinden können", sagte Sophie Bertsch vom CCC. Sie hat gemeinsam mit anderen IT-Experten die Systeme von Gastronovi überprüft. Gerade die digitale Corona-Kontaktverfolgung hält sie für problematisch. "Nachdem die Gastronomie wieder geöffnet wurde, wurden hier schnell gestrickte Lösungen eingeführt, die nicht dem Stand der Technik entsprechen", so Bertsch. Sie rät zu Stift und Papier und dazu, die Unterlagen nach Ablauf der Fristen zu schreddern.

In dem Datensatz tauchen auch die Namen zahlreicher Politikerinnen und Politiker auf. So lässt sich zum Beispiel nachvollziehen, dass sich ein SPD-Abgeordneter der Hamburgische Bürgerschaft am 15. Juli um 12.33 Uhr mit einer Parteigenossin in einem Café traf, seine Wohnanschrift und E-Mailadresse sind ebenfalls zu finden. Auch Reservierungen von Gesundheitsminister Jens Spahn und SPD-Generalsekretär Lars Klingbeil tauchen in den Daten auf. Die Politiker wollten sich zu dem Vorfall nicht weiter äußern.

Gastronovi betonte, die "Datenhoheit" liege "ausschließlich bei unseren Kunden". Die Restaurants seien auch dafür verantwortlich, alte Einträge zu löschen. Als "Auftragsdatenverarbeiter erheben, speichern oder verarbeiten wir keinerlei globale Gästeprofile", teilte ein Sprecher der Firma mit.

Für Ulrich Kelber, Bundesbeauftragter für Datenschutz, greift das zu kurz. "Wenn ein Dienstleister für die Gastronomie das Einlagern der Daten anbietet, dann sollte es vielleicht auch Teil der Dienstleistung sein, die Daten danach zu löschen", so Kelber. In der Corona-Verordnung sei das klar geregelt. "Es sind Daten in der Datenbank gewesen, die längst hätten gelöscht werden müssen", sagte Kelber. Er spricht von einem "großen Datenschutzproblem" und hofft auf die Signalwirkung von hohen Bußgeldern: "Damit das Teil der Kalkulation aller Anbieter wird. Also nicht nur: Was kostet es mich, die Daten zu speichern, sondern auch, was kostet es mich, wenn ich mich nicht um den Schutz dieser Daten kümmere?"

Pressekontakt:

Norddeutscher Rundfunk
Presse und Information
Iris Bents
Tel.: 040 / 4156-2304
Mail: i.bents@ndr.de
http://www.ndr.de
https://twitter.com/NDRpresse

Original-Content von: NDR Norddeutscher Rundfunk, übermittelt durch news aktuell

Weitere Storys: NDR Norddeutscher Rundfunk
Weitere Storys: NDR Norddeutscher Rundfunk
  • 27.08.2020 – 09:00

    NDR Info Podcast "Das Coronavirus-Update" geht in eine neue Runde

    Hamburg (ots) - Die Sommerpause ist vorbei: Am kommenden Dienstag, 1. September, setzt NDR Info "Das Coronavirus-Update" mit Prof. Christian Drosten fort. Der Podcast wird immer dienstags bis spätestens 15.00 Uhr auf www.NDR.de/coronaupdate und in der ARD Audiothek veröffentlicht und auch im Radio auf NDR Info gesendet. Neu ist: Neben Christian Drosten, dem Leiter ...

  • 26.08.2020 – 16:00

    Niedersächsische AfD-Chefin Guth sieht Konkurrenz auf Parteitag gelassen

    Hannover (ots) - Niedersachsens AfD-Landesvorsitzende Dana Guth rechnet trotz zahlreicher Konkurrenten mit ihrer Wiederwahl zur Landeschefin. Auf dem geplanten Landesparteitag der AfD in Braunschweig am 12. und 13. September treten vier Gegenkandidaten an; zwei davon stammen aus ihrer eigenen Landtagsfraktion. Ein parteiinternes Problem will Guth darin nicht erkennen. ...

  • 26.08.2020 – 06:00

    "Stereo - Der Musik-Podcast mit Carolin Emcke": Neues Format von NDR Kultur

    Hamburg (ots) - Start: Sonnabend, 29. August, ab 6.00 Uhr unter www.NDR.de/stereo, in der ARD Audiothek und dort, wo es Podcasts gibt. Im Radio ab Sonnabend, 5. September um 17.35 Uhr auf NDR Kultur Bekannt geworden ist Carolin Emcke als Essayistin, Kriegsreporterin und kritische Kolumnistin. 2016 wurde die Publizistin mit dem Friedenspreis des Deutschen Buchhandels ...