Datenleck bei Gastronovi: Millionen Gästedaten "nicht ausreichend geschützt"

| Technologie Technologie

Sicherheitslücken bei Gastronovi haben dazu geführt, dass Millionen persönliche Daten nicht ausreichend geschützt im Internet standen. Darunter waren auch Zehntausende digitale Corona-Kontaktverfolgungs-Formulare. Die sensiblen Daten lassen teilweise Einblicke in Bewegungs- und Aufenthaltsprofile der betroffenen Gäste zu. Entdeckt hat die Lücken der Chaos Computer Club (CCC). Reporterinnen und Reporter von NDR und BR konnten laut NDR-Pressemitteilung die Erkenntnisse des CCC durch Stichproben verifizieren.

Die Firma Gastronovi mit Sitz in Bremen bietet Restaurants, Bars und Hotels unter anderem Web-Lösungen für Tisch-Reservierungen, Bestellungen und auch die Kontakt-Verfolgung im Zuge der Corona-Vorkehrungen an. Nach eigenen Angaben wickelt die Software der Firma jeden Monat 600.000 Reservierungen ab und verarbeitet 96 Millionen Euro Restaurant-Umsätze.

Vier Millionen Adress- und Reservierungseinträge

Der CCC fand insgesamt mehr als vier Millionen Adress- und Reservierungseinträge aus den vergangenen neun Jahren vor. Darunter waren nach Angaben des CCC mehr als 87.000 Einträge, die der Kontaktverfolgung im Falle einer Corona-Infektion dienen sollen: Restaurants hatten die Daten mithilfe von sogenannten QR-Codes erhoben, die Gäste beim Besuch mit dem Smartphone scannen und dann ihre Kontaktdaten eintragen.

Gastronovi hat auf Anfrage bestätigt, dass die Systeme anfällig gewesen seien. Es habe sich um “Sicherheitsschwachstellen” gehandelt, diese seien zwischenzeitlich geschlossen. Gastronovi erklärte, dass “kein unautorisierter Zugriff” auf die Daten stattgefunden habe.

In einem 14-seitigen Bericht, der NDR und BR vorliegt, hat der CCC seine Erkenntnisse zusammengefasst. Demnach sei es mit einfachen Mitteln möglich gewesen, „administrativen Vollzugriff“ zu erhalten - also Zugriff auf alle Daten und zudem die Möglichkeit, Nutzerkonten und deren Berechtigungen zu verändern. “Kritikalität: sehr hoch”, wie es in dem Papier heißt.

"Hätte jeder Nutzer herausfinden können”

“Ein Teil der Lücken waren so eklatant, dass jeder Nutzer das hätte herausfinden können”, sagte Sophie Bertsch vom CCC. Sie hat gemeinsam mit anderen IT-Experten die Systeme von Gastronovi überprüft. Gerade die digitale Corona-Kontaktverfolgung hält sie für problematisch. “Nachdem die Gastronomie wieder geöffnet wurde, wurden hier schnell gestrickte Lösungen eingeführt, die nicht dem Stand der Technik entsprechen”, so Bertsch. Sie rät zu Stift und Papier und dazu, die Unterlagen nach Ablauf der Fristen zu schreddern.

In dem Datensatz tauchen auch die Namen zahlreicher Politikerinnen und Politiker auf. So lässt sich zum Beispiel nachvollziehen, dass sich ein SPD-Abgeordneter der Hamburgische Bürgerschaft am 15. Juli um 12.33 Uhr mit einer Parteigenossin in einem Café traf, seine Wohnanschrift und E-Mailadresse sind ebenfalls zu finden. Auch Reservierungen von Gesundheitsminister Jens Spahn und SPD-Generalsekretär Lars Klingbeil tauchen in den Daten auf. Die Politiker wollten sich zu dem Vorfall nicht weiter äußern.

Gastronovi betonte, die “Datenhoheit” liege “ausschließlich bei unseren Kunden”. Die Restaurants seien auch dafür verantwortlich, alte Einträge zu löschen. Als “Auftragsdatenverarbeiter erheben, speichern oder verarbeiten wir keinerlei globale Gästeprofile”, teilte ein Sprecher der Firma mit.

Für Ulrich Kelber, Bundesbeauftragter für Datenschutz, greift das zu kurz. “Wenn ein Dienstleister für die Gastronomie das Einlagern der Daten anbietet, dann sollte es vielleicht auch Teil der Dienstleistung sein, die Daten danach zu löschen”, so Kelber. In der Corona-Verordnung sei das klar geregelt. “Es sind Daten in der Datenbank gewesen, die längst hätten gelöscht werden müssen”, sagte Kelber. Er spricht von einem “großen Datenschutzproblem” und hofft auf die Signalwirkung von hohen Bußgeldern: “Damit das Teil der Kalkulation aller Anbieter wird. Also nicht nur: Was kostet es mich, die Daten zu speichern, sondern auch, was kostet es mich, wenn ich mich nicht um den Schutz dieser Daten kümmere?”


 

Zurück

Vielleicht auch interessant

Zehn Lehren aus der Corona-Krise für einen digitalen Staat

Von Online-Parteitagen bis zu intelligenten Verkehrs- und Stromnetzen: Ausgehend von den Erfahrungen in der Corona-Krise hat der Digitalverband Bitkom einen Plan für die Digitalisierung von Politik, Verwaltung und öffentlicher Daseinsvorsorge vorgelegt.

Auswertung von Login-Daten: Gastgewerbe im August zu 80 Prozent auf Vor-Corona-Niveau

Nach den Dürremonaten des Lockdowns habe sich die Auslastung in der Hotellerie und Gastronomie bis zum August auf rund 80 Prozent im Vergleich zum Vor-Corona-Niveau gesteigert, so eine Analyse von Socialwave. In Innenstadtlagen sieht die Sache jedoch deutlich anders aus.

Lightspeed: Online-Shops für Restaurants

Mit der neuen E-Commerce-Vorlage “Bon Appétit” von Lightspeed können Betreiber von Restaurants, Bars und Cafés ohne IT-Vorkenntnisse ihren eigenen Online-Shop erstellen und dort ihre Produkte, Merchandise & Co. verkaufen.

Stichtag 30. September für die Integration der TSE: Worauf Gastronomen jetzt achten müssen

Seit dem 1. Januar dieses Jahrs gilt in Deutschland die KassenSichV, die digitale Grundaufzeichnungen in Unternehmen vor Manipulation schützen soll. Doch ist die eigene Kasse überhaupt betroffen? Und was muss dabei beachtet werden?

Holidu erhält Investment vom ehemaligen Booking.com-CEO

Die Suchmaschine für Ferienwohnungen Holidu erhält vom ehemaligen Booking.com-CEO Kees Koolen ein privates Investment von mehr als vier Millionen Euro. Das Kapital soll die Expansion des Unternehmens weiter stärken. Denn trotz der Corona-Krise befindet sich Holidu auf Wachstumskurs.

Digital Jetzt: Mittelstand erhält Zuschüsse für digitale Projekte

Kleine und mittlere Unternehmen können ab sofort Anträge auf Zuschüsse aus dem neuen Förderprogramm „Digital Jetzt“ stellen, mit dem das Wirtschaftsministerium Investitionen in digitale Technologien und in die Qualifizierung der Mitarbeiter zu Digitalthemen unterstützt. 

Was in einer Minute im Internet passiert

60 Sekunden sind keine lange Zeit. Im Internet passiert in nur einer Minute trotzdem eine Menge. Wie nun Statista ermittelt hat, werden zum Beispiel bei Instagram fast 350.000 neue Storys gepostet und mehr als 40 Millionen Nachrichten bei Whatsapp verschickt.

Online-Werbung in der "Post-Cookie-Ära"

Die Organisation Werbungtreibende im Markenverband und der Bundesverband Digitale Wirtschaft haben eine Studie zur Online-Werbung in der Post-Cookie-Ära durchgeführt. Demnach werde es keinen neuen Standard geben, sondern das Zeitalter der Kooperationen eingeläutet.

Digitalisierung: Arbeitgeber sehen in Krise Modernisierungsschub

Die Arbeitgeber sehen gute Voraussetzungen dafür, dass die deutsche Wirtschaft gestärkt aus der Corona-Krise hervorgeht. Laut BDA-Umfrage hätten viele Firmen in die Digitalisierung investiert und sich neue Arbeitsweisen angewöhnt.

Virtuell und hybrid: Digitale Event-Angebote der BWH Hotel Group    

In diesem Jahr haben sich die Anforderungen an Tagungen und Veranstaltungen geändert, viele Meetings und Events werden künftig digital stattfinden. Die Hotels der BWH Hotel Group setzen bei der Umsetzung auf Technikpartner.​