Seite 2: Persönliche Daten aus einem Jahrzehnt

Inhaltsverzeichnis

Insgesamt hatte der CCC Zugriff auf 87.313 Kontakt-Erhebungen im Rahmen der Coronavirus-Epidemie. Betroffen sind 180 verschiedene Restaurants, die das System für diesen Zweck aktiv nutzen. Außerdem hatten die CCC-Mitglieder Zugriff auf Reservierungen, Umsätze und Bestellungen der im System vorhandenen Restaurants. Hier erhielten sie Zugang zu Datensätzen von insgesamt 4,8 Millionen Personen und 5,4 Millionen verschiedenen Reservierungen, die im System gespeichert waren.

Interessanterweise scheinen in dem System Daten gespeichert zu sein, die bis zu zehn Jahre zurückreichen. Es ist anzunehmen, dass dies in vielen Fällen den gängigen Löschfristen in der EU-Datenschutzgrundverordnung (DSGVO) widerspricht. Laut CCC-Stellungnahme zu dem Datenleck versteht sich gastronovi wohl als "Auftragsverarbeiter" und sieht die Verantwortung zur Löschung nicht mehr benötigter Daten bei den Gastronomen, die sich dessen wohl aber oft nicht bewusst sind. Die Gastronomen "vertrauten verständlicherweise auf die Full-Service-Cloud", erläuterte der CCC.

Der CCC fand in der gastronovi-Software noch mehr im Argen. Das API der Web-Applikation war dermaßen offen, dass jeder unangemeldete Benutzer auf der ganzen Welt die Speisekarten aller vorhandenen Restaurants einsehen und Bestellungen auslösen oder stornieren konnte. Und zwar, ohne die eigentlich im System gesetzten Begrenzungen für solche Bestellungen zu beachten – viel Potenzial für schlechte Scherze oder gar automatisierte Angriffe, die das ganze System lahmlegen (Denial of Service, DoS).

Der Anbieter regiert schnell

Laut CCC hat gastronovi schnell auf die Schwachstellen-Mitteilungen der CCC-Hacker reagiert und die Sicherheitslücken beseitigt. Auf Empfehlung des CCC wurde später wohl auch ein professioneller Sicherheitscheck der Software durch Experten durchgeführt. Auf eine Bitte um Stellungnahme durch heise online antwortete der Betreiber bisher nicht.

Bei dem Datenleck handelt es sich nicht um das erste Mal, dass Schwachstellen in Gastro-Systemen entdeckt werden, die zur Erhebung von Coronavirus-Kontaktdaten genutzt werden. Bereits im Juli deckte die Schweizer Sicherheitsfirma Modzero solche Schwachstellen in den Systemen der Firma LunchGate auf. Die Schweizer erhielten Zugriff auf die Daten von 200.000 Gästen von 900 Restaurants.

Der CCC rät mittlerweile davon ab, digitale Listen für die Erhebung von Corona-Daten zu nutzen. "Denken first, digital second", sagt CCC-Sprecher Linus Neumann plakativ. Weiter führt er aus: "Viele digitale Corona-Listen wurden mit der heißen Nadel gestrickt und machen schwer zu haltende Datenschutzversprechen. Die Sicherheit eines Papiersystems ist hingegen auch für Laien leicht zu beurteilen." Besonders die Nutzung etablierter Cloud-Systeme für die Gastronomie sei bedenklich, da diese oft nur hastig für die neue Aufgabe umgerüstet worden seien. "Die sensiblen Daten landen dann nicht etwa beim Restaurant, sondern auf einem großen Haufen irgendwo im Internet, wo sie die nächsten Jahre auf interessierte Hacker:innen warten", bilanziert der CCC.

Sollten Restaurantbesitzer auf die Nutzung digitaler Systeme bestehen, empfehlen die CCC-Hacker lieber ein anderes Restaurant zu besuchen. Aber auch beim Eintragen in Papier-Listen ist laut CCC Vorsicht geboten. Club-Sprecher Frank Rieger empfiehlt, sich grundsätzlich mit fiktiven Daten, aber einer funktionierenden, namentlich nicht zuordenbar E-Mail-Adresse einzutragen. (fab)