Datenleck bei Gastronovi: Millionen Gästedaten "nicht ausreichend geschützt"

| Technologie Technologie

Sicherheitslücken bei Gastronovi haben dazu geführt, dass Millionen persönliche Daten nicht ausreichend geschützt im Internet standen. Darunter waren auch Zehntausende digitale Corona-Kontaktverfolgungs-Formulare. Die sensiblen Daten lassen teilweise Einblicke in Bewegungs- und Aufenthaltsprofile der betroffenen Gäste zu. Entdeckt hat die Lücken der Chaos Computer Club (CCC). Reporterinnen und Reporter von NDR und BR konnten laut NDR-Pressemitteilung die Erkenntnisse des CCC durch Stichproben verifizieren.

Die Firma Gastronovi mit Sitz in Bremen bietet Restaurants, Bars und Hotels unter anderem Web-Lösungen für Tisch-Reservierungen, Bestellungen und auch die Kontakt-Verfolgung im Zuge der Corona-Vorkehrungen an. Nach eigenen Angaben wickelt die Software der Firma jeden Monat 600.000 Reservierungen ab und verarbeitet 96 Millionen Euro Restaurant-Umsätze.

Vier Millionen Adress- und Reservierungseinträge

Der CCC fand insgesamt mehr als vier Millionen Adress- und Reservierungseinträge aus den vergangenen neun Jahren vor. Darunter waren nach Angaben des CCC mehr als 87.000 Einträge, die der Kontaktverfolgung im Falle einer Corona-Infektion dienen sollen: Restaurants hatten die Daten mithilfe von sogenannten QR-Codes erhoben, die Gäste beim Besuch mit dem Smartphone scannen und dann ihre Kontaktdaten eintragen.

Gastronovi hat auf Anfrage bestätigt, dass die Systeme anfällig gewesen seien. Es habe sich um “Sicherheitsschwachstellen” gehandelt, diese seien zwischenzeitlich geschlossen. Gastronovi erklärte, dass “kein unautorisierter Zugriff” auf die Daten stattgefunden habe.

In einem 14-seitigen Bericht, der NDR und BR vorliegt, hat der CCC seine Erkenntnisse zusammengefasst. Demnach sei es mit einfachen Mitteln möglich gewesen, „administrativen Vollzugriff“ zu erhalten - also Zugriff auf alle Daten und zudem die Möglichkeit, Nutzerkonten und deren Berechtigungen zu verändern. “Kritikalität: sehr hoch”, wie es in dem Papier heißt.

"Hätte jeder Nutzer herausfinden können”

“Ein Teil der Lücken waren so eklatant, dass jeder Nutzer das hätte herausfinden können”, sagte Sophie Bertsch vom CCC. Sie hat gemeinsam mit anderen IT-Experten die Systeme von Gastronovi überprüft. Gerade die digitale Corona-Kontaktverfolgung hält sie für problematisch. “Nachdem die Gastronomie wieder geöffnet wurde, wurden hier schnell gestrickte Lösungen eingeführt, die nicht dem Stand der Technik entsprechen”, so Bertsch. Sie rät zu Stift und Papier und dazu, die Unterlagen nach Ablauf der Fristen zu schreddern.

In dem Datensatz tauchen auch die Namen zahlreicher Politikerinnen und Politiker auf. So lässt sich zum Beispiel nachvollziehen, dass sich ein SPD-Abgeordneter der Hamburgische Bürgerschaft am 15. Juli um 12.33 Uhr mit einer Parteigenossin in einem Café traf, seine Wohnanschrift und E-Mailadresse sind ebenfalls zu finden. Auch Reservierungen von Gesundheitsminister Jens Spahn und SPD-Generalsekretär Lars Klingbeil tauchen in den Daten auf. Die Politiker wollten sich zu dem Vorfall nicht weiter äußern.

Gastronovi betonte, die “Datenhoheit” liege “ausschließlich bei unseren Kunden”. Die Restaurants seien auch dafür verantwortlich, alte Einträge zu löschen. Als “Auftragsdatenverarbeiter erheben, speichern oder verarbeiten wir keinerlei globale Gästeprofile”, teilte ein Sprecher der Firma mit.

Für Ulrich Kelber, Bundesbeauftragter für Datenschutz, greift das zu kurz. “Wenn ein Dienstleister für die Gastronomie das Einlagern der Daten anbietet, dann sollte es vielleicht auch Teil der Dienstleistung sein, die Daten danach zu löschen”, so Kelber. In der Corona-Verordnung sei das klar geregelt. “Es sind Daten in der Datenbank gewesen, die längst hätten gelöscht werden müssen”, sagte Kelber. Er spricht von einem “großen Datenschutzproblem” und hofft auf die Signalwirkung von hohen Bußgeldern: “Damit das Teil der Kalkulation aller Anbieter wird. Also nicht nur: Was kostet es mich, die Daten zu speichern, sondern auch, was kostet es mich, wenn ich mich nicht um den Schutz dieser Daten kümmere?”


 

Zurück

Vielleicht auch interessant

Pressemitteilung

Otherwander Soho hat sich für Apaleo als ihr PMS entschieden. Das neu eröffnete Pod-Hotel mit 566 Pods im Herzen Londons setzt auf die offene Plattform für eine vollständig digitale Gästereise und einen konsequent schlanken Betrieb. 

Eine repräsentative Bitkom-Umfrage zeigt erhebliche Unterschiede beim Wissen der Deutschen über digitale Sicherheit. Während Cyberangriffe den meisten Bürgern ein Begriff sind, bleiben konkrete Schutzmechanismen wie Passkeys oft unbekannt.

Amadeus erweitert seine strategische Partnerschaft mit Google und integriert das Sprachmodell Gemini sowie Google Maps für personalisierte Reiseempfehlungen. Die Kooperation baut auf der laufenden Migration von Plattformteilen in die Google Cloud auf, die die globale Reichweite des IT-Dienstleisters auf 42 Regionen ausweitet.

Das Technologieunternehmen Amadeus migriert Teile seiner Plattform in die Google Cloud und nutzt künftig generative Künstliche Intelligenz. Die Kooperation soll die globale Reichweite ausbauen und die Effizienz optimieren.

American Express plant die Übernahme der Restaurantreservierungsplattform TheFork von Tripadvisor. Der Kaufpreis soll bei 700 Millionen US-Dollar liegen, der Abschluss wird bis Ende 2026 angestrebt.

Die spanische Datenschutzbehörde AEPD hat gegen das Technologieunternehmen Amadeus eine Strafe von 14,4 Millionen Euro verhängt. Grund ist die unzulässige Verknüpfung von Buchungs- und Hoteldaten zur Profilerstellung ohne Einwilligung der Reisenden.

Eine repräsentative Umfrage des Digitalverbands Bitkom zeigt, dass 36 Prozent der Deutschen ungern um Hilfe bei technischen Problemen bitten, obwohl die große Mehrheit Unterstützung nutzt. Besonders bei jüngeren Menschen und Männern ist die Hemmschwelle hoch.

IHG Hotels & Resorts hat eine Anwendung in ChatGPT gestartet und kündigt die Einführung einer KI-gestützten Gesprächssuche auf seiner Website und in der IHG-One-Rewards-App an. Die neuen Funktionen sollen die Hotelsuche und Buchung vereinfachen.

Google hat erstmals offiziell Stellung zu Generative Engine Optimization (GEO) bezogen. In einem neuen Leitfaden erklärt das Unternehmen, dass die Optimierung für KI-Suchfunktionen aus seiner Sicht weiterhin klassische Suchmaschinenoptimierung ist.

Manna Air Delivery hat eine neue Partnerschaft mit Uber angekündigt und will sein Drohnenliefernetz in den USA und Europa ausbauen. Bereits heute arbeitet das Unternehmen mit Plattformen wie Deliveroo, Just Eat und DoorDash zusammen.