Datenleck bei Autovermieter: Buchbinder holt Experten hinzu und gelobt Besserung
Nach dem großen Datenleck zieht Autovermieter Buchbinder Experten hinzu. Das Unternehmen entschuldigt sich bei seinen Kunden und will Betroffene informieren.
Der Autovermieter Buchbinder bekennt sich zu dem riesigen Datenleck, bei dem viele vertrauliche Kundendaten offen im Internet zugänglich waren. Ein fehlerhaft konfigurierter Server habe dazu geführt, dass persönliche Daten einer Vielzahl von Kunden des Unternehmens offengelegt wurden – darunter Mietwagenverträge, Namen, E-Mail-Adressen, Telefonnummern und Postanschriften, schreibt das Unternehmen in einer Mitteilung zu dem Vorfall.
Unternehmen entschuldigt sich "aufrichtig" bei Kunden
Ein fehlerhaft konfigurierter Backup-Server mit offenem Port für das Netzwerkprotokoll SMB verschaffte jedem Zugang zu einer MSSQL-Datenbank, auf der ca. 10 Terabyte an Daten gespeichert waren. Dieser am 22. Januar öffentlich gemachte Vorfall dürfte womöglich zu den größten Datenlecks in der Geschichte der Bundesrepublik gehören. Die Lücke war zunächst von einem IT-Sicherheitsexperten entdeckt worden, der sich daraufhin zwei Mal per E-Mail an Buchbinder wandte, jedoch keine Antwort erhielt. Anschließend informierte er den zuständigen Landesdatenschutzbeauftragten in Bayern sowie c't und "Die Zeit". Nach einem Hinweis der beiden Redaktionen am 20. Januar schloss Buchbinder das Leck noch am selben Tag, wie das Unternehmen auch in dem Statement erklärt, das c't vorliegt.
In der Mitteilung entschuldigt sich das Unternehmen "aufrichtig bei all unseren Kunden" und verpflichtet sich, "alle notwendigen technischen Maßnahmen zu ergreifen, um das Niveau des Datenschutzes und der Sicherheit zu erreichen, das wir ihnen schulden". Buchbinder habe zudem "bereits erstklassige Datensicherheitsexperten beauftragt", die Firma bei der weiteren Untersuchung und Bewertung zu unterstützen – "mit dem Ziel das Niveau unseres Verteidigungs- und Cybersicherheitssystems zu erhöhen".
Betroffene sollen informiert werden
Außerdem teilt das Unternehmen mit, dass es gemäß der Verpflichtung durch § 34 der EU-Datenschutzgrundverordnung (DSGVO) die Betroffenen über diese Datenverletzung und mögliche Folgen wie Phishing-Versuche oder Identitätsdiebstahl informieren wird. Betroffen sind die Kontaktdaten der Kunden, Informationen zur Anmietung (wozu auch Führerscheindaten gehören) sowie etwaige Unfälle und Schäden. Im Zuge der Abwicklung von Unfällen sind ebenfalls Daten der damit Beauftragten betroffen, etwa Autowerkstätten. Die Mitteilung bestätigt zudem, dass Namen, Login-Daten und Passwörter von Buchbinder-Mitarbeitern in der fraglichen Datenbank gespeichert waren.
v
Buchbinder hat nach eigenen Angaben die zuständige Datenschutzbehörde informiert, den betroffenen Server neu konfiguriert und damit weitere Zugriffe auf die Datenbank unterbunden. Außerdem habe das Unternehmen seine IT-Systeme "zur Verhinderung jeglicher Schwachstelle gescannt" und die dementsprechenden Sicherheitsmaßnahmen getroffen. Die Zusammenarbeit mit externen Datensicherheitsexperten soll dazu beitragen, weitere Vorfälle dieser Art künftig zu verhindern. Das Unternehmen weist darauf hin, dass betroffene Kunden sich bei Fragen oder Wünschen per E-Mail an datenschutz@buchbinder.de wenden können. (tiw)