Riesige Datenpanne bei Autovermieter Buchbinder
Foto: Tobias Arhelger / Shutterstock

Riesige Datenpanne bei Autovermieter Buchbinder

  • Beitrags-Autor:
  • Beitrags-Kategorie:News

Auch Prominente betroffen

Über  3 Millionen Kundendatensätze mit einer Gesamtgröße von mehr als zehn Terrabyte an Daten lagen bei dem größten deutschen Autovermietung Buchbinder offen im Netz und waren dort über Wochen frei zugänglich. Betroffen war davon die gesamte Kunden- und Fahrerdatenbank, auch Daten von Prominenten, Sportlern und Journalisten wie beispielweise dem Grünen-Politiker Robert Habeck oder dem Präsident des Bundesamts für Sicherheit in der Informationstechnik Arne Schönbohm waren wohl frei einsehbar.

Bis vor Kurzem waren dort, nach einem Bericht der „Zeit“, mehrere Millionen Daten frei zugänglich. Dabei handelte es sich wohl u.a. um Namen, Führerschein-Nummern, Privatadressen, Geburtsdaten, Bankverbindungen, Telefonnummern und bei geschäftlichen Buchungen auch Arbeitgeberinformationen. Es sollen aber auch teils sensible eingescannte Dokumente wie Verträge mit Unterschriften, Unfallberichte mit Fotos sowie Rechnungen und E-Mails aus dem Zeitraum seit 2003 abrufbar gewesen sein. Teilweise soll in den Daten auch vermekt sein, ob die Personen betrunken am Steuer erwischt worden seien.

Arne Schönbohm äußerte sich zu dem Datenleck gegenüber der Zeit mit den Worten: „Egal ob ich – wie in diesem Fall – persönlich betroffen bin oder nicht, solche Fälle ärgern mich sehr, weil sie vermeidbar wären“. Auch Robert Habeck sagte dazu: „Lustig finde ich das nicht“.

Neben direkten Kunden von Buchbinder könnten auch Personen, die selbst nie ein Auto bei Buchbinder geliehen haben, von der Datenpanne betroffen sein. Dies ist z.B. der Fall wenn sie in einen Unfall mit einem bei Buchbinder gemieteten Fahrzeug verwickelt waren. Ob nun als Unfallopfer, Unfallgegner oder nur als Zeuge, die Buchbinder-Datenbank hat alles fein säuberlich vermerkt.

Der Fall liegt jetzt dem Bayerischen Landesamt für Datenschutzaufsicht zur Prüfung vor. Zu beanstanden sind dabei massive Verstöße gegen die datenschutzrechtlichen Bestimmungen, unter anderem eine Nichteinhaltung der technischen und organisatorischen Maßnahmen um ein angemessenes Schutzniveau herzustellen. Auch bedenklich ist die Tatsache, dass auch Daten aus den Jahren seit 2003 abrufbar waren, somit also die 10jährige maximale Speicherdauer deutlich überschritten wurde.

Auf die Datenpanne aufmerksam geworden war ein IT-Dienstleister. Dieser hatte das Unternehmen bereits zweimal darauf hingewiesen, dass die Daten frei im Netz zugänglich waren. Nachdem Buchbinder nicht auf die Hinweise reagiert hat, habe er sich dann an die zuständige Aufsichtsbehörde gewandt. Anschließend waren die Daten dann doch relativ schnell aus dem Netz verschwunden, Buchbinder erklärt, man habe „unverzüglich die Schließung der entsprechenden Ports durch unseren mit der Betreuung und Absicherung der Server beauftragten Vertragspartner veranlasst“.

Da die Datenbank offen lag, dürfte es sich für diejenigen, die die Daten erbeutet haben, noch nicht einmal um einen Hackerangriff handeln, der strafrechtliche Konsequenzen nach sich zieht. Für Außenstehende war es ein Leichtes, mit frei zugänglichen Tools wie einem Netzwerkscanner die zugänglichen Datenbanken auf fehlende Barrieren zu prüfen.

Image by Jan Claus from Pixabay

Mit den erbeuteten Daten sind eine Vielzahl von Angriffen denkbar wie beispielsweise Phishing-Attacken, bei denen Kunden zur Angabe etwa der Kreditkartendaten aufgefordert werden oder auch der Verkauf der Daten an Adresshändler.

Der größte Schaden dürfte in diesem Fall aber für Buchbinder selbst entstanden sein, zum einen erhalten sämtliche Mitbewerber der gesamten Branche einen Zugriff auf die Kundendaten der letzten eineinhalb Jahrzehnte, zum anderen dürfte der Image-Schaden für das Unternehmen beträchtlich sein. Auch Erträge, Kaufpreise, Unfallhäufigkeit und Zahl der Verleihvorgänge lassen sich mit den Daten auswerten – Informationen, die garantiert in der Branche einiges Interesse haben dürften. Und, last but not least, kann sich Buchbinder neben einem Vertrauensverlust bei seinen Kunden und eventuellen Schadensersatzforderungen der Betroffenen auf ein saftiges Bußgeld durch die Bayerische Aufsichtsbehörde einstellen.