Datenleck bei Apartmentanbieter Numa entdeckt

| Hotellerie Hotellerie

Ein Mitglied des Chaos Computer Clubs (CCC) hat bei Apartmentanbieter Numa ein schwerwiegendes Datenleck aufgedeckt, das den ungeschützten Zugriff auf über eine halbe Million Kundendatensätze inklusive sensibler Ausweisdaten ermöglichte. Wie zuerst Zeit Online berichtete und vom CCC bestätigt wurde, war es durch einfaches Hoch- und Runterzählen von Rechnungsnummern im System möglich, auf andere Kundenrechnungen zuzugreifen.

Rechnung als Einfallstor

Die Sicherheitslücke wurde bei einem Aufenthalt des CCC-Mitglieds und Sprechers Matthias Marx entdeckt. Nach dem digitalen Check-In, der verpflichtend den Upload eines amtlichen Ausweisdokuments vorsah, erhielt Marx einen Link zu seiner Rechnung. Diese enthielt eine fortlaufende Rechnungsnummer als Parameter in der URL. Durch simples Verändern dieser Zahl ließ sich Zugriff auf Rechnungen anderer Gäste erlangen – laut CCC lückenlos in einem Bereich von über 500.000 Einträgen.

Diese Rechnungen enthielten nicht nur Namen, Adressen, Aufenthaltsorte und -zeiten, sondern auch Buchungsnummern. Mit diesen wiederum konnte auf weitere sensible Daten zugegriffen werden: Im Quellcode der Check-in-Website fand sich ein JSON-Objekt mit vollständigem Namen, E-Mail-Adresse, Telefonnummer und den hochgeladenen Ausweisdaten der jeweiligen Gäste.

Kritik an unnötiger Datenerhebung

Der CCC übt scharfe Kritik an der Praxis, Ausweisdaten zu verlangen und zu speichern. „Wer ein Zimmer gebucht, bezahlt und seinen Check-in-Link erhalten hat, hat seine Identität ausreichend bestätigt. Eine zusätzliche Ausweiskontrolle samt dauerhafter Speicherung ist weder notwendig noch rechtlich haltbar“, so Marx. Der CCC fordert die vollständige Abschaffung der Hotelmeldepflicht, auch für Nicht-Deutsche.

Seit Anfang des Jahres gibt es für deutsche Staatsangehörige keine gesetzliche Grundlage mehr für die Speicherung von Ausweisdaten im Hotel. Der CCC sieht daher in der anhaltenden Praxis einen möglichen Verstoß gegen die Datenschutzgrundverordnung (DSGVO).

Schnelle Reaktion, aber Grundsatzfragen bleiben

Numa reagierte auf die Hinweise des CCC und meldete die Schwachstelle am 6. Juni an die Berliner Datenschutzbeauftragte – einen Tag nach der CCC-Meldung. Nach Angaben des Unternehmens wurde die Lücke unmittelbar geschlossen und Betroffene informiert. Hinweise auf eine missbräuchliche Nutzung der Daten liegen laut Numa derzeit nicht vor.

Trotzdem bleibt die zentrale Kritik bestehen: Der Upload von Ausweisdokumenten bleibt bei Numa weiterhin obligatorisch. Für den CCC ist das ein Sicherheitsrisiko, das sich einfach vermeiden ließe – indem solche Daten gar nicht erst erhoben würden. Marx fasst zusammen: „Das beste Datenleck ist eins, das nicht entstehen kann, weil die Daten nie erhoben wurden.“

Zurück

Vielleicht auch interessant

Die Numa Group übernimmt den Anbieter Lisbon Serviced Apartments und erweitert damit das Portfolio in Lissabon um 19 Objekte. Die Integration in die eigene Technologieplattform soll nun die betriebliche Effizienz der Unterkünfte steigern.

Relais & Châteaux erweitert das eigene Portfolio um zehn neue Mitglieder. Die Neuzugänge erstrecken sich über mehrere Kontinente und umfassen Standorte in Frankreich, England, Italien, der Schweiz, Portugal, Japan, Mexiko sowie den Vereinigten Staaten.

Die Hotelgruppe Meininger Hotels erweitert ihr Portfolio um einen ersten Standort in Schottland. Am 5. August eröffnet das Unternehmen das Meininger Hotel Edinburgh Haymarket. Das Haus im West End ist das 38. Hotel im Portfolio.

Drei Hotellerie-Manager​​​​​​​ haben die neue Hotelmarke LikeStay gegründet. Hinter dem Konzept stehen Max Luscher, Constantin Rehberg und Andreas Brennfleck. Das erste Hotel soll das bisherige Batschari Palais in Baden-Baden werden, das künftig unter dem Namen LikeStay Premium Baden-Baden betrieben werden soll.

Die nordrhein-westfälischen Tourismusregionen sind für die Sommerferien nach eigenen Angaben gut gebucht - für Kurzentschlossene gibt es aber noch genügend freie Betten. Vor allem Ferienwohnungen und Ferienhäuser sowie Bauernhof-Urlaube sind gefragt.

Das Sofitel Frankfurt Opera nutzt seine exklusive Dachterrasse für ein temporäres Gastronomiekonzept. An vier Terminen im August bietet das Hotel einen Barbetrieb für externe Besucher an.

Anzeige

Warum Gästedaten so wertvoll sind und wie sie am sinnvollsten gemanagt werden, um für KI-Anbindung und Automatisierung möglichst großen Nutzen zu stiften, erklärt dailypoint-Geschäftsführer Dr. Michael Toedt in der 8. Folge des HotelPartner-Podcasts „AUSGEBUCHT!“.

Die Radisson Hotel Group baut ihre internationale Präsenz im ersten Halbjahr 2026 durch zahlreiche Neueröffnungen und Vertragsabschlüsse in verschiedenen Marktsegmenten deutlich aus.

Novum Hospitality ist derzeit mit mehreren Themen in den Schlagzeilen. Jetzt hat die Hamburger Hotelgruppe ihren Wiedereintritt in den Hotelverband Deutschland (IHA) sowie in die DEHOGA-Landesverbände bekannt gegeben.

Die MHP Hotel AG plant gemeinsam mit Projektentwickler Midstad ein neues Hotel der Marriott-Marke Autograph Collection in Düsseldorfs Innenstadt. Das Haus mit rund 180 Zimmern soll bis 2029 im Gebäudeensemble an der Kasernenstraße und im Carsch-Haus entstehen.