Riesige Menge Corona-Kontaktlisten ungeschützt im Netz
Bild von Free-Photos auf Pixabay

Riesige Menge Corona-Kontaktlisten ungeschützt im Netz

  • Beitrags-Autor:
  • Beitrags-Kategorie:News

Corona-Gästelisten in der Cloud nicht ausreichend sicher – auch Spitzenpolitiker betroffen

In dem bei gastronomischen Betrieben  weit verbreiteten Cloud-System wurden Sicherheitslücken festgestellt, die dazu geführt haben, dass Millionen von personenbezogenen Daten kaum geschützt im Internet abrufbar waren.

Vier Millionen Einträge ohne Datenschutz

Die Bremer Firma Gastronovi bietet unter anderem Web-Lösungen für Restaurants, Bars und Hotels für Tisch-Reservierungen, Bestellungen und auch die Kontakt-Verfolgung im Zuge der Corona-Vorkehrungen an. Nach eigenen Angaben wickelt die Software der Firma jeden Monat 600.000 Reservierungen ab und verarbeitet 96 Millionen Euro Restaurant-Umsätze.

Im Cloud-System von Gastroniovi haben nun Mitglieder des Chaos Computer Clubs (CCC) Sicherheitsschwachstellen entdeckt. Sie fanden dort mehr als vier Millionen Adress- und Reservierungseinträge teilweise bis zu neun Jahre alt, unter anderem aber auch über 87000 Daten, die der Kontaktverfolgung von Restaurant-Gästen im Falle eines positiven Corona-Falles dienen sollen. Diese Daten waren von den Restaurants durch QR-Codes erhoben worden, die von den Gästen beim Restaurant-Aufenthalt gescannt wurden um anschließend ihre Kontaktdaten einzutragen.

14 Seitiger Bericht

Der CCC hatte herausgefunden, dass es mit einfachen Mitteln möglich war, Zugriff auf sämtliche Daten die im System von Gastronovi gespeichert waren zu bekommen, aber auch die Möglichkeit bestand Änderungen an vorhandenen Nutzerkonten und den zugehörigen Berechtigungen vorzunehmen.

“Ein Teil der Lücken waren so eklatant, dass jeder Nutzer das hätte herausfinden können”, sagte ein Mitglied vom CCC. “Nachdem die Gastronomie wieder geöffnet wurde, wurden hier schnell gestrickte Lösungen eingeführt, die nicht dem Stand der Technik entsprechen“. Der CCC rät davon ab sich bei Corona-Listen digitaler Anbieter zu bedienen und verweist stattdessen auf Stift und Papier. Weiterhin wird daran erinnert die Unterlagen nach Ablauf der Fristen zu schreddern.

Bild von Free-Photos auf Pixabay

Die Erkenntnisse des CCC hatte dieser in einem 14 Seitigen Bericht an Reporterinnen und Reporter von NDR und BR übergeben, die die Angaben des CCC durch Stichproben nachprüfen und bestätigen konnten.

Mehrere Schwachstellen

Wie schon erwähnt war es durch eine fehlerhafte Prüfung der Zugriffsrechte ohne großen Aufwand sich administrativen Vollzugriff auf die gespeicherten Daten zu verschaffen. Andere Fehler ermöglichten darüber hinaus, auch ohne besondere Rechte, Zugriff auf schützenswerte Daten, so was es z.B. möglich dass Restaurant A auf die Daten von Restaurant B zugreifen konnte.

Auch unzureichend sichere Passwörter konnten abgerufen werden. Dabei sind dem CCC sogar Passwörter,  die statt in Form von Hashes im Klartext gespeichert waren, aufgefallen. In Stichproben konnten über 25% der gespeicherten Passwörter abgerufen bzw. entschlüsselt werden. Triviale Passwörter wie “1234” deuteten auf das Fehlen einer angemessenen Passwortrichtlinie hin. „Das Risiko schlecht geschützter Passwörter geht über den betroffenen Dienst hinaus, weil Nutzerinnen oft dazu neigen, das gleiche Passwort für mehrere Accounts zu verwenden“ schreibt der CCC zu Recht.

Bild von Markus Winkler auf Pixabay

Es war weiterhin ohne Hindernisse möglich die Speisekarten aller Restaurants einzusehen und für Dritte Bestellungen auszulösen oder auch zu stornieren.

Auch Daten von Politikern betroffen

Spitzenpolitiker sind ebenfalls in den Daten zu finden, zum Beispiel Bundesgesundheitsminister Jens Spahn und SPD-Generalsekretär Lars Klingbeil, deren Büros jeweils Reservierungsanfragen bei Restaurants gestellt haben. Die Politiker wollten sich bislang nicht weiter zu dem Vorfall äußern.

Auswertungen lassen Verhaltensmuster zu

Die zuständige Datenschutz-Aufsichtsbehörde teilte bislang nur mit, dass sie über den Vorfall informiert sei, es gebe allerdings noch Klärungsbedarf. Es ist nicht auszuschließen, dass Gastronovi nun ein Bußgeld droht, abgesehen von den möglichen Schadensersatzforderungen der betroffenen Restaurant-Gäste.

Bild von Free Photos

Der Bundesdatenschutzbeauftragte Ulrich Kelber hat sich bereits wie folgt zu dem massiven Datenleck geäußert: „Wenn ein Dienstleister für die Gastronomie das Einlagern der Daten anbietet, dann sollte es vielleicht auch Teil der Dienstleistung sein, die Daten danach zu löschen… Es sind Daten in der Datenbank gewesen, die längst hätten gelöscht werden müssen.“ Weiter spricht Kelber von einem „großen Datenschutzproblem“, da man aus „solchen Aufenhaltsdaten von Bürgerinnen und Bürgern … Verhaltensmuster erkennen kann.“

Gastronovi hat schnell reagiert

Der Cloud-Anbieter bestätigte die entdeckten Sicherheits-Schwachstellen und machte sich nach Aussage des CCC umgehend an die Behandlung.

Gastronovi hat inzwischen die Kunden über den Vorfall informiert. Auf seiner Internetseite wirbt das Unternehmen weiter für seine Corona-Datenerfassung – sie sei datenschutzrechtlich 100 Prozent konform und sicher.