Sensible Kundendaten: Datenleck beim Autovermieter Buchbinder

Diese Datenpanne wird als eines der größten Datenlecks in die Geschichte Deutschlands eingehen. Wie das Computermagazin c’t und die Wochenzeitung DIE ZEIT in einer gemeinsamen Recherche herausgefunden haben, standen wochenlang persönliche Daten von drei Millionen Kunden des Autovermieters Buchbinder frei zugänglich im Netz. Zu den Betroffenen zählt unter anderem der Präsident des Bundesamtes für Sicherheit in der Informationstechnik (BSI) Arne Schönbohm. Auch Prominente wie der Grünen-Chef Robert Habeck sind von der Panne betroffen.

Was ist passiert?

Ursache für das Datenleck war ein Konfigurationsfehler in einem Backup-Server. Laut c’t stand der Port 445 offen, der Zugriffe über das Netzwerkprotokoll SMB erlaubt. Theoretisch habe jeder Internet-Nutzer ohne Eingabe eines Passworts die insgesamt über 10 Terabyte herunterladen können.

Aufgefallen war das Datenleck der Deutschen Gesellschaft für Cybersicherheit bei einem Routine-Scan. Laut c’t informierte ein Mitarbeiter der Gesellschaft Buchbinder per E-Mail über die Schwachstelle, erhielt jedoch keine Antwort. Daher meldete er das Datenleck dem Bayerischen Landesbeauftragten für den Datenschutz und wandte sich an DIE ZEIT und c’t.

Welche Daten sind betroffen?

Laut den Recherchen der beiden Medien enthielten die Backups über fünf Millionen Dateien mit umfangreicher Firmenkorrespondenz samt eingescannter Rechnungen, Verträge, Mails und Schadensbilder von Autos. Offenbar war der Zugriff auf die komplette MSSQL-Firmendatenbank von außen möglich. Die Daten reichen von 2003 bis heute – gehen also 18 Jahre zurück.

Neben den Mietern seien auch die Fahrer mit Namen, Adresse, Geburtsdatum, Führerscheinnummer und Ausstellungsdatum aufgeführt. Viele hätten zudem Handynummern und E-Mail-Adressen angegeben. Kreditkartennummern sollen sich nicht in der Datenbank befunden haben, wohl aber Zahlungsinformationen und Bankverbindungen auf PDF-Scans von Rechnungen.

Besonders brisant: In der MSSQL-Datenbank sei es möglich gewesen, Kunden und Fahrer nach sensiblen Arbeitgebern, Ministerien oder auch Botschaften auszufiltern. Gelistet seien mehrere Hundert islamische Vereine, Einträge jüdischer Gemeinden wie auch von Schwulen- und Lesben-Vereinen sowie Selbsthilfegruppen von Süchtigen. Auch Fahrten von Kreis- und Landesverbänden aller im Bundestag vertretenen Parteien seien zu finden gewesen.

Nach Informationen von c’t gab es außerdem eine Datenbank mit über 500.000 Unfällen, die bis ins Jahr 2006 zurückreichen. Laut dem Bericht des Computermagazins wurden dort neben Informationen über die Fahrer der gemieteten Autos auch Namen, Adressen und Kennzeichen von Unfallgegnern sowie eventueller Zeugen samt deren Telefonnummern erfasst. Vereinzelt seien auch Namen und Kontaktdaten von Verletzten und tödlich Verunglückten zu sehen gewesen.

Zudem fanden die Journalisten Login-Informationen von Angestellten und Nutzern der Online-Portale sowie dem Flottenmanagement von Buchbinder. Über 3000 von etwa 170.000 Passwörtern waren im Klartext gespeichert.

Liegt ein Verstoß gegen das Datenschutzrecht vor?

Unternehmen sind bei der Verarbeitung von personenbezogenen Daten verpflichtet, geeignete technische und organisatorische Maßnahmen zu treffen, um die Informationen nach dem Stand der Technik zu schützen. Ein ganz wesentlicher Punkt ist es dabei, die Vertraulichkeit der Daten sicherzustellen und einen unberechtigten Zugriff Dritter auszuschließen.

Im vorliegenden Fall waren die Backups der Autovermietung ungesichert und frei im Netz zugänglich. Dies entspricht offenkundig nicht dem Stand der Technik. Ein Datenschutzverstoß dürfte daher ziemlich deutlich gegeben sein.

Darüber hinaus entspricht auch das Speichern von Passwörtern im Klartext nicht dem Stand der Technik. Auch hier dürfte ein Datenschutzverstoß vorliegen.

Die Datenschutzaufsichtsbehörde wird sicher auch wissen wollen, warum Buchbinder bestimmte Daten über einen so langen Zeitraum aufbewahrt hat (Mietverträge gehen bis ins Jahr 2003 zurück).

Neben Bußgeldern werden auch mögliche Schadensersatzansprüche von Betroffenen, die sich aus einer Vielzahl von Gesichtspunkten ergeben können, und die bereits jetzt von Anwälten geprüft werden, dem Unternehmen teuer zu stehen kommen.

Der Vorfall hätte leicht verhindert werden können!

Ursache des Datenlecks war ein schlichter Konfigurationsfehler bei einem Backup-Server, der es jedem Internetnutzer ermöglicht hat, die auf dem Server abgelegten Dateien herunterzuladen – und zwar ohne die Eingabe eines Passwortes. Solche Schwachstellen im System sind ohne großen Aufwand zu erkennen und an sich keine große Herausforderung. Hinzu kommt, dass Buchbinder Medienberichten zufolge schon vor ein paar Wochen über die offenen Ports informiert wurde, darauf aber – aus welchem Grund auch immer – nicht reagiert hat.

Der Vorfall macht deutlich, dass selbst große Unternehmen bei der Umsetzung der DSGVO überfordert und – wie Buchbinder – teilweise nicht in der Lage sind, grundlegende Sicherheitsmaßnahmen zu ergreifen.

Der Buchbinder-Fall ist ein Weckruf für Verantwortliche in Unternehmen! (fl)

Quellen:

c’t vom 22.01.2020: Daten-Leak bei Autovermietung Buchbinder: 3 Millionen Kundendaten offen im Netz

ZEIT ONLINE vom 22.01.2020: Datenleck: Einladung zum Angriff

golem.de vom 22.01.2020: Daten von Millionen Buchbinder-Kunden offen im Netz

datensicherheit.de vom 23.01.2020: Sensible Kundendaten: Datenleck beim Autovermieter Buchbinder