Hotellerie
Ein Sicherheitsvorfall bei der weit verbreiteten Hotelverwaltungssoftware Sihot der Gubse AG hat die potenzielle Zugänglichkeit von Millionen Gästedaten offengelegt. Unter den sensiblen Informationen, die wohl abrufbar waren, befanden sich auch Adressen von Bundestagsabgeordneten, wie verschiedene Medien berichten. Betroffen sind Hotelketten in Deutschland, darunter Motel One und mehrere Landesverbände der DJH-Jugendherbergen. Laut Medienberichten umfasste das Datenleck wohl sensible Informationen wie Namen, Adressen, Telefonnummern und teilweise sogar Ausweis- und Kreditkartendetails.
Ausmaß der Sicherheitslücke
Die Schwachstellen in den Sihot-Modulen des saarländischen Anbieters Gubse AG wurden durch das IT-Kollektiv Zerforschung entdeckt und dem Hersteller gemeldet. Recherchen von NDR, WDR und Süddeutscher Zeitung bestätigten die Sicherheitslücken. Nach Schätzungen von "Zerforschung" könnten insgesamt 50 Millionen Gästeprofile und über 30 Millionen Reservierungen bei zahlreichen Hotels und Unterkünften betroffen gewesen sein.
Zu den betroffenen Einrichtungen zählen Häuser der Kette Motel One sowie alle DJH-Jugendherbergen in Mecklenburg-Vorpommern, Rheinland-Pfalz, dem Saarland und am Berliner Ostkreuz. Die betroffenen Buchungen sollen teilweise bis zu 20 Jahre zurückgereicht haben.
Kara von "Zerforschung" beschrieb eine der gefundenen Lücken als alarmierend einfach auszunutzen: "Eigentlich sollte man mit Reservierungsnummer und Nachnamen nur die eigene Buchung sehen können. Stattdessen konnte man einfach ein Datum eingeben und bekam alle Reservierungen dieses Tages im Hotel. Das war, als würde man an der Rezeption sagen: 'Ich checke heute ein' und zur Antwort den gesamten Ordner mit allen Buchungen erhalten."
Auch Politikerdaten betrofffen
Die Zugänglichkeit der Daten betraf auch prominente Personen. Wie diverse Medien berichten, waren die Hotelbuchungsdetails des SPD-Bundestagsabgeordneten Ralf Stegner sowie der CDU-Abgeordneten Anja Karliczek, die den Tourismusausschuss leitet, abrufbar. Stegner äußerte sich auf Anfrage, die Sicherheit persönlicher Daten müsse "deutlich ernster genommen" werden. Karliczek nannte den Vorfall einen "beunruhigenden Vorgang", der aufgeklärt werden müsse.
Die IT-Sicherheitsforscherin Jiska Classen vom Hasso-Plattner-Institut betonte die Gefahr solcher Vorfälle: "Für viele ist das eine hochsensible Information, etwa für Politikerinnen, Geschäftsleute oder Menschen mit Geschäftsgeheimnissen. Solche Datensätze haben deshalb auch auf dem Schwarzmarkt einen Wert."
Reaktionen der Betroffenen und des Herstellers
Der Softwareanbieter Gubse AG erklärte, die gemeldeten Schwachstellen umgehend nach Benachrichtigung im September 2025 geschlossen und die zuständige Datenschutzaufsichtsbehörde im Saarland informiert zu haben. Das Unternehmen widersprach der Einschätzung, die Lücken seien leicht ausnutzbar gewesen, und betonte, es habe keinen generell ungeschützten Zustand gegeben. Für eine Ausnutzung seien tiefgehende technische Kenntnisse erforderlich gewesen.
Nach Angaben der Gubse AG sei es abseits des kontrollierten Tests der Sicherheitsexperten zu keinem unbefugten Zugriff und keinem Abfluss personenbezogener Daten gekommen. Der Hersteller gab an, die IT-Struktur sei zuvor von einem externen Auditor überprüft worden, der keine Sicherheitsbedenken gehabt habe. Man bedauere den Vorfall und verstehe ihn "als Ansporn, die technische Qualität und Sicherheit ihrer Systeme weiter zu optimieren". Die Gubse AG bereitet sich zudem auf die ISO 27001-Zertifizierung vor.
Die Hotelkette Motel One untersucht den Vorfall und teilt mit, man habe bislang keine Hinweise auf einen Missbrauch der Daten. Das Unternehmen befinde sich im Prozess, die betroffenen Gäste zu informieren. (Tageskarte berichtete)
Die betroffenen Landesverbände der Jugendherbergen bestätigten die Sicherheitslücke, betonten aber ebenfalls, es gebe "keinerlei Anhaltspunkte auf unberechtigte Zugriffe oder Datenabflüsse". Die Jugendherbergen Rheinland-Pfalz und Saarland schätzen das Risiko für Gäste als gering ein und sehen von einer Einzelinformation Betroffener ab. Der Verband Mecklenburg-Vorpommern sprach von einer kleinen Menge betroffener Gäste mit lediglich Namens- und Adressdaten, die umgehend informiert worden seien. Diese Darstellung steht jedoch im Widerspruch zu den Erkenntnissen von "Zerforschung", die von weitaus umfangreicheren abrufbaren Daten ausgehen.
Die zuständige Datenschutzbehörde im Saarland untersucht den Vorfall.
