Persönliche Daten von Millionen Kunden des Autovermieters Buchbinder haben wochenlang ungeschützt im Internet gestanden. Das zeigen Recherchen von "c't" und der "Zeit". Auch Grünen-Chef Habeck und die Polizei sollen betroffen sein.

Wer in der jüngeren Vergangenheit bei der Autovermietung Buchbinder oder auf einer Vermittler-Internetseite ein Auto gemietet hat oder einen Unfall mit einem solchen Auto hatte, muss sich eventuell Sorgen um seine persönlichen Daten machen. Denn dem Unternehmen ist eine große Panne bei der Datenspeicherung passiert: Persönliche Informationen von drei Millionen Kunden standen wochenlang ungeschützt im Netz. Das ergab eine gemeinsame Recherche des Computermagazins "c't" und der Wochenzeitung "Die Zeit".

Unter den öffentlich einsehbaren Daten sind den Angaben zufolge auch Adressen und Telefonnummern von Prominenten und Politikern - etwa die Privatadresse, eine Handynummer und eine E-Mail-Adresse von Grünen-Chef Robert Habeck. Darüber hinaus sollen auch die Daten von Hunderten Angehörigen verschiedener Botschaften gelistet sein - darunter aus den USA, Russland, China, Iran, Saudi-Arabien oder auch Nordkorea.

Robert Habeck: Auch seine privaten Daten sind durch das Daten-Leck bei Buchbinder im Internet gelandet.

Auch die Daten von Mitarbeitern aus verschiedenen Bundesministerien sollen dem Bericht zufolge öffentlich einsehbar gewesen sein - darunter die von einem ehemaligen hochrangigen Beamten des Verfassungsschutzes. Zu den Betroffen zählt den Angaben zufolge auch der Präsident des Bundesamtes für Sicherheit in der Informationstechnik, Arne Schönbohm. Mitarbeiter der Polizei und der Bundeswehr sollen ebenfalls vom Datenleck betroffen sein.

Offener Port auf dem Server

Grund für die Panne war dem Bericht zufolge ein Konfigurationsfehler bei einem Backup-Server. Buchbinders IT-Abteilung nutzte laut Who-is-Abfrage einen angemieteten Cloud-Rechner. Auf diesem wurden an jedem Wochentag riesige Backup-Dateien gespeichert.

Das Problem: Auf dem Server stand den Recherchen zufolge ein Port offen, der Zugriffe über das Netzwerkprotokoll SMB erlaubt. So konnte jeder Internetnutzer die von Buchbinder auf dem Server abgelegten Dateien herunterladen. Ein Passwort war dafür nicht nötig. Man musste den Redakteuren zufolge lediglich die IP-Adresse des Servers im Windows-Datei-Explorer eingeben, große Festplatten und ein paar Stunden Zeit zum Download investieren.

Passwörter im Klartext gefunden

Die auf dem Server liegenden Backups enthielten dem Bericht zufolge über fünf Millionen Dateien mit umfangreicher Firmenkorrespondenz samt eingescannter Rechnungen, Verträge, Mails und Schadensbilder von Autos. Zudem war auf dem Server augenscheinlich die komplette Microsoft-Firmendatenbank gesichert. Sie umfasste laut den Analysen von "c't" und "Zeit" über neun Millionen Mietverträge, von 2003 bis heute.

Neben den Mietern sind dem Bericht zufolge auch die Fahrer mit Namen, Adresse, Geburtsdatum, Führerscheinnummer und -Ausstellungsdatum aufgeführt. Viele haben zudem Mobilfunknummern und E-Mail-Adressen angegeben. Kreditkartennummern sollen sich nicht in der Datenbank befunden haben, wohl aber Zahlungsinformationen und Bankverbindungen auf PDF-Scans von Rechnungen.

Angemieteter Server: Buchbinder soll darauf an jedem Wochentag riesige Backup-Dateien gespeichert haben.

Nicht nur direkte Buchbinder-Kunden betroffen

In der ungeschützten Firmendatenbank ließen sich Kunden und Fahrer nach sensiblen Arbeitgebern, Ministerien oder auch Botschaften ausfiltern, wie die beiden Medien berichten. Auch über 3000 Passwörter im Klartext konnten demnach gefunden werden.

Und: Von dem Datenleck sind offenkundig nicht nur Kunden betroffen, die direkt bei Buchbinder ein Auto gemietet haben. Ein "Zeit"-Redakteur, der ein Auto über billiger-mietwagen.de und Car-Del-Mar gemietet hatte, fand dem Bericht zufolge seine persönlichen Informationen ebenfalls in der Datei - obwohl er selbst nicht wissentlich Kunde von Buchbinder war.

Daten von Verletzten und Toten

Selbst betroffen? So finden Sie es heraus: Wer wissen will, ob seine Informationen in der Datenbank gespeichert und von dem Leck betroffen sind, kann dies dem Bericht zufolge bei Buchbinder erfragen. Die c't-Redaktion hat nach eigenen Angaben für eine solche Anfrage ein eigenes Formular vorbereitet, das Sie an die Charterline Fuhrpark Service GmbH, Kulmbacher Str. 8.10, 93057 Regensburg adressieren und per E-Mail an datenschutz@buchbinder.de schicken können. Die von der Redaktion für private Zwecke kostenlos verwendbare Vorlage soll unter ct.de/ycyu abrufbar sein.

Außerdem gab es laut dem Bericht eine Datenbank mit über 500.000 Unfällen, die bis ins Jahr 2006 zurückreichen. Auch diese Datenbank ist durch das Leck öffentlich geworden. Sichtbar wurden dadurch neben Informationen über die Fahrer der gemieteten Autos auch Namen, Adressen und Kennzeichen von Unfallgegnern sowie eventueller Zeugen samt Telefonnummern. Vereinzelt fanden die Journalisten auch Namen und Kontaktdaten von Verletzten und tödlich Verunglückten. Auch vermerkt war dem Bericht zufolge, ob eine Blutprobe von der Polizei angeordnet worden war.

Die Authentizität der Kundendatenbank verifizierte "c't" nach eigenen Angaben anhand der Informationen von einem Dutzend Buchbinder-Kunden aus dem Kreis der Angestellten von Heise-Medien.

Buchbinder reagiert erst nicht auf Hinweis

Den Hinweis auf das Datenleck erhielten "c't" und "Zeit" nach eigenen Angaben von dem IT-Sicherheitsexperten Matthias Nehls. Dessen Firma "Deutsche Gesellschaft für Cybersicherheit" war demnach bei Routine-Scans auf den offenen Port gestoßen. Nehls wandte sich dem Bericht zufolge zunächst zwei Mal per E-Mail an Buchbinder, erhielt nach eigenen Angaben jedoch keine Antwort. Daraufhin informierte der IT-Experte sowohl den zuständigen Landesdatenschutzbeauftragten in Bayern als auch die genannten Medien.

Die beiden Redaktionen wendeten sich dann nach eigenen Angaben noch einmal selbst an Buchbinder - am 20. Januar. Sie erhielten eine Antwort des Unternehmens: "Sofort nach Kenntnisnahme des Sachverhalts haben wir unverzüglich die Schließung der entsprechenden Ports durch unseren mit der Betreuung und Absicherung der Server beauftragten Vertragspartner veranlasst", schrieb die zur Buchbinder-Gruppe gehörende Terstappen Autovermietung GmbH.

Auf Fragen, wie lange das Datenleck bestanden und wie viele Zugriffe es von außen gegeben habe, sei das Unternehmen ebenso wenig eingegangen wie auf die Rechtsgrundlage, auf der Kunden- und Unfalldaten weit über zehn Jahre gespeichert worden seien.

Buchbinder ist dem Bericht zufolge einer der größten deutschen Autovermieter und nach eigenen Angaben "Marktführer im Privatkundensegment PKW und LKW in Deutschland und Österreich". Die Unternehmensgruppe mit Hauptsitz in Regensburg beschäftigt mehr als 2500 Mitarbeiter und betreibt rund 165 Mietstationen in Europa. Seit 2017 gehört Buchbinder zum französischen Europcar-Konzern.