Gästeliste in Restaurant | Bildquelle: dpa

Sicherheitsproblem bei Firma Daten von Restaurantbesuchen einsehbar

Stand: 28.08.2020 05:01 Uhr

Sicherheitslücken bei einem Dienstleister für Restaurants haben dazu geführt, dass Millionen persönliche Daten im Internet abrufbar gewesen sind. Darunter sind auch digitale Corona-Kontaktverfolgungsformulare.

Von Arne Meyer-Fünffinger, Hakan Tanriverdi, BR, sowie Svea Eckert und Jan Lukas Strozyk, NDR

Persönliche Daten von Millionen Restaurant-Besuchern waren im Internet abrufbar. Der Grund dafür sind mehrere Sicherheitslücken in den Systemen eines großen deutschen Anbieters für Gastronomie-Software. Die sensiblen Daten lassen teilweise Einblicke in Bewegungs- und Aufenthaltsprofile der betroffenen Gäste zu. Entdeckt hat die Lücken der Chaos Computer Club (CCC).

Die Firma Gastronovi mit Sitz in Bremen, deren Server betroffen waren, bietet Restaurants, Bars und Hotels unter anderem Web-Lösungen für Tischreservierungen, Bestellungen und auch die Kontaktverfolgung im Zuge der Corona-Vorkehrungen an. Nach eigenen Angaben wickelt die Software der Firma jeden Monat 600.000 Reservierungen ab und verarbeitet 96 Millionen Euro Restaurantumsätze.

CCC: Mehr als vier Millionen Einträge

Der CCC fand insgesamt mehr als vier Millionen Adress- und Reservierungseinträge aus den vergangenen neun Jahren vor. Darunter sind nach Angaben des CCC mehr als 87.000 Einträge, die der Kontaktverfolgung im Falle einer Corona-Infektion dienen sollen: Restaurants hatten die Daten mithilfe von sogenannten QR-Codes erhoben, die Gäste beim Besuch mit dem Smartphone scannen und dann ihre Kontaktdaten eintragen.

Reporterinnen und Reporter von NDR und BR konnten die Erkenntnisse des CCC durch Stichproben verifizieren. Gastronovi hat auf Anfrage bestätigt, dass die Systeme anfällig gewesen sind. Es habe sich um "Sicherheitsschwachstellen" gehandelt, diese seien  zwischenzeitlich geschlossen. Gastronovi erklärte, dass "kein unautorisierter Zugriff" auf die Daten stattgefunden habe.

"Schnell gestrickte Lösungen eingeführt"

In einem 14-seitigen Bericht hat der CCC seine Erkenntnisse zusammengefasst. Demnach war es mit einfachen Mitteln möglich, "administrativen Vollzugriff" zu erhalten - also Zugriff auf alle Daten und auch die Möglichkeit, Nutzerkonten und deren Berechtigungen zu verändern. "Kritikalität: sehr hoch", wie es in dem Papier heißt.

"Ein Teil der Lücken waren so eklatant, dass jeder Nutzer das hätte herausfinden können", sagte Sophie Bertsch vom CCC. Sie hat gemeinsam mit anderen IT-Experten die Systeme von Gastronovi überprüft. Gerade die digitale Corona-Kontaktverfolgung hält sie für problematisch. "Nachdem die Gastronomie wieder geöffnet wurde, wurden hier schnell gestrickte Lösungen eingeführt, die nicht dem Stand der Technik entsprechen", so Bertsch. Sie rät zu Stift und Papier - und dazu, die Unterlagen nach Ablauf der Fristen zu schreddern.

Reservierungsanfragen von Spitzenpolitikern

Dieter Janecek | Bildquelle: picture alliance/dpa
galerie

Der Grünen-Bundestagsabgeordnete Janecek ist selbst betroffen - und fordert härtere Strafen.

In dem Datensatz tauchen auch die Namen zahlreicher Politiker auf. So lässt sich zum Beispiel nachvollziehen, dass sich ein SPD-Abgeordneter der Hamburger Bürgerschaft am 15. Juli um 12:33 mit einer Parteigenossin in einem Café traf, seine Wohnanschrift und E-Mail-Adresse ebenfalls. Auch Reservierungen der Büros von Gesundheitsminister Jens Spahn und SPD-Generalsekretär Lars Klingbeil tauchen in den Daten auf. Die Politiker wollten sich zu dem Vorfall nicht weiter äußern.

Der Grünen-Bundestagsabgeordnete Dieter Janecek, ebenfalls in den Daten, sagte auf Anfrage von BR und NDR, man müsse Datenschutzverstöße hart ahnden. "Wenn man über Monate nachvollziehen kann, wer mit wem wo im Restaurant gegessen hat, dann hat das Züge eines Überwachungsstaats", so Janecek. Zwar wolle jeder die "Bequemlichkeit der Digitalisierung", aber gleichzeitig müsse der Datenschutz gewährt bleiben.

Gastronovi betonte, die Datenhoheit liege "ausschließlich bei unseren Kunden". Die Restaurants seien auch dafür verantwortlich, alte Einträge zu löschen. Als "Auftragsdatenverarbeiter erheben, speichern oder verarbeiten wir keinerlei globale Gästeprofile", teilte ein Sprecher der Firma mit.

Bundesdatenschützer: "Daten hätten längst gelöscht werden müssen."

Ulrich Kelber, Bundesbeauftragter für Datenschutz | Bildquelle: dpa
galerie

Datenschützer Kelber verlangt von den Dienstleistern, auch die Verantwortung für das Löschen der Daten zu übernehmen.

Für Ulrich Kelber, Bundesbeauftragter für Datenschutz, greift das zu kurz. "Wenn ein Dienstleister für die Gastronomie das Einlagern der Daten anbietet, dann sollte es vielleicht auch Teil der Dienstleistung zu sein, die Daten danach zu löschen", so Kelber. In der Corona-Verordnung sei das klar geregelt. "Es sind Daten in der Datenbank gewesen, die längst hätten gelöscht werden müssen", sagte Kelber. Er spricht von einem großen Datenschutzproblem.

Seiner Erfahrung nach sei es grundsätzlich oft so, dass "Aufbewahrungsfristen viele überhaupt nicht interessieren" und dass es in Unternehmen "weder Löschkonzepte gibt, noch dass sich um die Daten gekümmert wird", so Kelber. Er hofft auf die Signalwirkung von hohen Bußgeldern: "Damit das Teil der Kalkulation aller Anbieter wird. Also nicht nur: Was kostet es mich, die Daten zu speichern, sondern auch was kostet es mich, wenn ich mich nicht um den Schutz dieser Daten kümmere?"

Daten von Restaurantgästen unzureichend geschützt
Arne Meyer-Fünffinger, ARD Berlin
28.08.2020 07:25 Uhr

Download der Audiodatei

Wir bieten dieses Audio in folgenden Formaten zum Download an:

Hinweis: Falls die Audiodatei beim Klicken nicht automatisch gespeichert wird, können Sie mit der rechten Maustaste klicken und "Ziel speichern unter ..." auswählen.

Über dieses Thema berichtete NDR Info am 28. August 2020 um 11:45 Uhr.

Darstellung: