Datenleck bei Cloud-AnbieterMillionen Gästedaten nicht ausreichend geschützt

Daten in hoher Anzahl waren offfenbar nicht ausreichend geschützt. (Bild: Pixabay/madartzgraphics)

Datenleck bei einem bekannten Dienstleister für Restaurants: Laut einer offiziellen Mitteilung haben Mitglieder des Chaos Computer Clubs (CCC) mehrere Schwachstellen in einem verbreiteten Cloud-System für gastronomische Betriebe entdeckt und gemeldet. Der Anbieter äußert sich nun in einem ausführlichen Statement.

Anzeige

Laut dem Bericht des CCC waren mehrere Millionen sensible Datensätze in Corona-Listen und Reservierungen des Dienstleisters Gastronovi einsehbar; dieser reagierte aber umgehend. “Der Cloud-Service wurde informiert und hat die Schwachstellen nach eigenen Angaben beseitigt”, heißt es von Seiten des CCC.

Nach eigenen Angaben wickelt die Software der Firma jeden Monat 600.000 Reservierungen ab und verarbeitet 96 Millionen Euro Restaurantumsätze. Der CCC fand insgesamt mehr als vier Millionen Adress- und Reservierungseinträge aus den vergangenen neun Jahren vor. Darunter sind nach Angaben des CCC mehr als 87.000 Einträge, die der Kontaktverfolgung im Falle einer Corona-Infektion dienen sollen: Restaurants hatten die Daten mithilfe von sogenannten QR-Codes erhoben, die Gäste beim Besuch mit dem Smartphone scannen und dann ihre Kontaktdaten eintragen.

Zudem habe man festgestellt, dass im System personenbezogene Daten gespeichert sind, die teilweise bis zu zehn Jahre zurückreichen. “Der Cloud-Service versteht sich als ‘Auftragsverarbeiter’ und verortet die Verantwortung zur Löschung bei den Gastronomen. Die wiederum schienen sich dessen oft nicht bewusst zu sein und vertrauten verständlicherweise auf die Full-Service-Cloud”, so der CCC.

Wie unter anderem die Tagesschau berichtet, konnten Reporter des NDR und BR die Erkenntnisse des CCC durch Stichproben verifizieren. Die Firma Gastronovi mit Sitz in Bremen bestätigt zudem auf Tophotel-Nachfrage: “Das Gastronovi Entwicklerteam sowie Programmierer haben umgehend reagiert und die gefundenen Sicherheitslücken innerhalb weniger Stunden nach Erhalt des Berichts durch den CCC geschlossen”, so Andreas Jonderko, Geschäftsführer von Gastronovi Deutschland. Auf die Daten habe außer dem CCC niemand zugegriffen.

Ausführliches Statement von Gastronovi

Andreas Jonderko, Geschäftsführer Gastronovi Deutschland, äußert sich auf Tophotel-Nachfrage ausführlich zu dem Vorfall. Er sagt: “Die Produkte von Gastronovi werden regelmäßig diversen Stresstests ausgesetzt und auf Herz und Nieren überprüft, so dass nur einwandfreie Funktionen eingesetzt werden, die Gastronomen bei ihrer täglichen Arbeit unterstützen.” Trotz der Verfügbarkeit modernster Technologie, einem Wissen über mögliche Risiken und regelmäßiger unabhängiger Tests von externen Instituten seien vom Chaos Computer Club mehrere Sicherheitslücken im Zuge der COVID19-Gästedatenerfassung, die für den Re-Start der Gastronomie nach dem mehrwöchigen Lockdown entwickelt wurden, entdeckt worden. “Gastronovi schätzt die Arbeit unabhängiger Organisationen wie die vom Chaos Computer Club, der das Unternehmen auf potenzielle Sicherheitsprobleme aufmerksam gemacht hat. Das Gastronovi Entwicklerteam sowie Programmierer haben umgehend reagiert und die gefundenen Sicherheitslücken innerhalb weniger Stunden nach Erhalt des Berichts durch den CCC geschlossen.” Die Schließung der Sicherheitslücken sei durch einen unabhängigen, externen Dienstleister bestätigt worden.

Andreas Jonderko erklärt weiter: “In der darauffolgenden Forensik konnte bestätigt werden, dass die vom CCC gefundenen Sicherheitslücken, ausschließlich vom CCC selbst, zu Forschungs- und journalistischen Zwecken genutzt wurden. Zum Zeitpunkt des Hackerangriffs hatte der CCC potenziell Zugriff auf über vier Millionen Datensätze.
Der CCC hat zum Beweis der Sicherheitslücke einen iterativen Datenzugriff durchgeführt. Von diesem Datenzugriff waren nach aktuellem Stand 462 Kunden der Firma Gastronovi betroffen. Insgesamt wurden 10.938 Datensätze durch den CCC abgerufen. Ein Datensatz beinhaltet dabei die folgenden Daten zu jeweils einer Person: Name und/oder Adresse und/oder Telefonnummern und/oder E-Mail-Adresse. Von diesen Datensätzen entfallen 1.237 auf die COVID-19-Gästeregistrierung.”

Besonders wichtig in diesem Zusammenhang: “Gastronovi kann weitere Fälle, in denen es zu einem externen Angriff kam und die Sicherheitslücken zu einem Datenmissbrauch geführt haben, ausschließen. Um weitere, bisher unentdeckte Sicherheitslücken auszuschließen, wurde ein für diesen Herbst regulär geplanter Penetrationstest des gesamten Systems vorgezogen”, so der Geschäftsführer.
Nach Bekanntgabe durch den CCC und die darauffolgende interne Untersuchung habe Gastronovi die zuständige Datenschutzbehörde in Kenntnis gesetzt. Im Anschluss seien die direkt vom Datenzugriff des CCC betroffenen Kunden am Anfang der KW 35 über den Vorfall informiert worden. Darüber hinaus habe das Unternehmen auch alle anderen Kunden umfangreich und transparent unterrichtet sowie eine entsprechende Mitteilung auf dem eigenen Blog veröffentlicht.

Zudem, heißt es von Seiten des Unternehmens: “Gastronovi erstellt keine globalen Datenprofile und wertet die Daten nicht aus. Der Gastronom ist für die Einhaltung der Datenschutzrichtlinien und Löschpflichten selbst verantwortlich. Zukünftig wird das Unternehmen ein noch größeres Augenmerk auf das Thema der Angreifbarkeit auf Daten von außen legen und die bisher angesetzten Qualitätsmaßstäbe überarbeiten.”

 

Anzeige