Datenleck bei Apartmentanbieter Numa entdeckt

| Hotellerie Hotellerie

Ein Mitglied des Chaos Computer Clubs (CCC) hat bei Apartmentanbieter Numa ein schwerwiegendes Datenleck aufgedeckt, das den ungeschützten Zugriff auf über eine halbe Million Kundendatensätze inklusive sensibler Ausweisdaten ermöglichte. Wie zuerst Zeit Online berichtete und vom CCC bestätigt wurde, war es durch einfaches Hoch- und Runterzählen von Rechnungsnummern im System möglich, auf andere Kundenrechnungen zuzugreifen.

Rechnung als Einfallstor

Die Sicherheitslücke wurde bei einem Aufenthalt des CCC-Mitglieds und Sprechers Matthias Marx entdeckt. Nach dem digitalen Check-In, der verpflichtend den Upload eines amtlichen Ausweisdokuments vorsah, erhielt Marx einen Link zu seiner Rechnung. Diese enthielt eine fortlaufende Rechnungsnummer als Parameter in der URL. Durch simples Verändern dieser Zahl ließ sich Zugriff auf Rechnungen anderer Gäste erlangen – laut CCC lückenlos in einem Bereich von über 500.000 Einträgen.

Diese Rechnungen enthielten nicht nur Namen, Adressen, Aufenthaltsorte und -zeiten, sondern auch Buchungsnummern. Mit diesen wiederum konnte auf weitere sensible Daten zugegriffen werden: Im Quellcode der Check-in-Website fand sich ein JSON-Objekt mit vollständigem Namen, E-Mail-Adresse, Telefonnummer und den hochgeladenen Ausweisdaten der jeweiligen Gäste.

Kritik an unnötiger Datenerhebung

Der CCC übt scharfe Kritik an der Praxis, Ausweisdaten zu verlangen und zu speichern. „Wer ein Zimmer gebucht, bezahlt und seinen Check-in-Link erhalten hat, hat seine Identität ausreichend bestätigt. Eine zusätzliche Ausweiskontrolle samt dauerhafter Speicherung ist weder notwendig noch rechtlich haltbar“, so Marx. Der CCC fordert die vollständige Abschaffung der Hotelmeldepflicht, auch für Nicht-Deutsche.

Seit Anfang des Jahres gibt es für deutsche Staatsangehörige keine gesetzliche Grundlage mehr für die Speicherung von Ausweisdaten im Hotel. Der CCC sieht daher in der anhaltenden Praxis einen möglichen Verstoß gegen die Datenschutzgrundverordnung (DSGVO).

Schnelle Reaktion, aber Grundsatzfragen bleiben

Numa reagierte auf die Hinweise des CCC und meldete die Schwachstelle am 6. Juni an die Berliner Datenschutzbeauftragte – einen Tag nach der CCC-Meldung. Nach Angaben des Unternehmens wurde die Lücke unmittelbar geschlossen und Betroffene informiert. Hinweise auf eine missbräuchliche Nutzung der Daten liegen laut Numa derzeit nicht vor.

Trotzdem bleibt die zentrale Kritik bestehen: Der Upload von Ausweisdokumenten bleibt bei Numa weiterhin obligatorisch. Für den CCC ist das ein Sicherheitsrisiko, das sich einfach vermeiden ließe – indem solche Daten gar nicht erst erhoben würden. Marx fasst zusammen: „Das beste Datenleck ist eins, das nicht entstehen kann, weil die Daten nie erhoben wurden.“

Zurück

Vielleicht auch interessant

Die MHP Hotel AG plant die Eröffnung eines neuen Hotels der Autograph Collection in Düsseldorf. Das neue Hotel soll bis zum Jahr 2029 in einem historischen Gebäudeensemble an der Kasernenstraße nahe der Königsallee realisiert werden.

Ein Jahr nach dem Markteintritt in der Schweiz zieht das Mama Shelter Zurich eine erste Bilanz. Gefeiert wird das Jubiläum veranstaltet am 1. August mit einem Brunch und einer Abendveranstaltung auf der Dachterrasse.

Swissôtel hat den Modedesigner Peet Dullaert als ersten Preisträger des New Crafts Awards bekannt gegeben. Die neue Auszeichnung entsteht aus einer Partnerschaft zwischen Accor und der Fédération de la Haute Couture et de la Mode.

Im Investorenprozess der insolventen Revo Hospitality Group nennen die Sanierer erstmals mehrere Unternehmen, die Hotels aus dem Portfolio übernehmen sollen. Neben bereits bekannten Transaktionen werden unter anderem Prism, Israel Canada Hotels, Leonardo Hotels und B&B Hotels genannt. Ein weiterer Investor bleibt vorerst ungenannt.

Accor plant einen deutlichen Ausbau seines Hotelgeschäfts in China. Der Konzern will die Zahl seiner Häuser in den kommenden fünf bis sechs Jahren auf 1.600 erhöhen und setzt dabei auf neue Luxusprojekte sowie den Ausbau bestehender Partnerschaften.

Der deutsche Hotelinvestmentmarkt hat im ersten Halbjahr 2026 nach Angaben von Colliers ein Transaktionsvolumen von rund 625 Millionen Euro erreicht. Investoren richten ihren Blick dabei zunehmend auf die Qualität der Betreiber und die Ausgestaltung der Vertragsstrukturen.

Townscape hat die Baugenehmigung für ein Serviced-Apartment-Projekt in Berlin-Kreuzberg erhalten. Die numa group steht bereits als Mieter fest. Geplant sind 114 Serviced Apartments sowie Gewerbe- und Co-Working-Flächen. Die Fertigstellung ist für das dritte Quartal 2027 vorgesehen.

Die geplante Übernahme der britisch-niederländischen Hotelgruppe PPHE Hotel Group durch die israelische Fattal Hotel Group ist gescheitert. Grund ist der Widerstand des größten PPHE-Aktionärs Euro Plaza Holdings. Das teilte PPHE im Rahmen seines laufenden strategischen Prüfprozesses mit.

Die Hotelmarke Ruby expandiert mit der Eröffnung des Ruby Frida nach Stockholm. Das neue Haus im Stadtteil Kungsholmen setzt auf ein von den 1960er Jahren inspiriertes Designkonzept.

Deutschlands Beherbergungsbetriebe haben im Mai 2026 insgesamt 49,2 Millionen Übernachtungen verbucht. Der Zuwachs von 3,8 Prozent wurde von Gästen aus dem Inland getragen, während die Auslandsnachfrage leicht zurückging.