• Startseite
  • Digital
  • IT-Sicherheitslücken bei Restaurantdienstleister: Millionen Gästedaten nicht ausreichend geschützt

IT-Sicherheitslücken bei Restaurantdienstleister: Millionen Gästedaten nicht ausreichend geschützt

  • Bei der Firma Gastronovi hat der Chaos Computer Club ausgeprägte Sicherheitslücken nachgewiesen.
  • Millionen von Adress- und Reservierungseinträge waren problemlos einsehbar.
  • Laut Gastronovi seien Restaurants dafür verantwortlich, ältere Daten zu löschen.
Anzeige
Anzeige

Hamburg. Der Chaos Computer Club (CCC) hat große Sicherheitslücken in den Systemen der Firma Gastronovi entdeckt. Das Unternehmen stellt Restaurants, Bars und Hotels unter anderem Web-Lösungen für Tisch-Reservierungen, Bestellungen und auch die Kontaktverfolgung im Zuge der Corona-Vorkehrungen bereit. In einem 14-seitigen Bericht, der den Rundfunkanstalten NDR und BR vorliegt, berichtet der CCC, dass mehr als vier Millionen Adress- und Reservierungseinträge aus den vergangenen neun Jahren nicht ausreichend geschützt im Internet standen.

Darunter seien auch mehr als 87.000 Einträge zur Corona-Kontaktverfolgung gewesen, nebst Reservierungsdaten von zahlreichen Politikern wie Gesundheitsminister Jens Spahn und SPD-Generalsekretär Lars Klingbeil. Beide wollten sich zu den Vorfällen nicht weiter äußern.

Chaos Computer Club rät von digitaler Datenerfassung ab

“Ein Teil der Lücken waren so eklatant, dass jeder Nutzer das hätte herausfinden können”, sagte Sophie Bertsch vom CCC dem NDR. Mit einfachen Mitteln konnte sich der CCC Zugriff auf die Daten verschaffen und wäre sogar in der Lage gewesen, Nutzerkonten und deren Berechtigungen zu verändern.

Anzeige

Nicht nur deshalb hält Bertsch die digitale Kontaktverfolgung für problematisch: “Nachdem die Gastronomie wieder geöffnet wurde, wurden hier schnell gestrickte Lösungen eingeführt, die nicht dem Stand der Technik entsprechen.” Statt Daten mithilfe eines QR-Codes zu erheben, die von den Smartphones der Gäste gescannt werden, rät Bertsch zu Stift und Papier.

Der Gastronomie-Software-Anbieter Gastronovi hat auf Nachfrage bestätigt, dass die Systeme anfällig gewesen seien. Inzwischen seien diese “Sicherheitsschwachstellen” allerdings wieder geschlossen. Ein unautorisierter Zugriff auf die Daten habe aber zu keinem Zeitpunkt stattgefunden, erklärte das Unternehmen gegenüber dem NDR.

Bundesdatenschutzbeauftragter: Dienstleister müssen Daten löschen

Gleichzeitig stellte Gastronovi klar, dass die Datenhoheit “ausschließlich bei unseren Kunden” liege. Sprich, Gastronomiebetriebe seien dafür verantwortlich, alte Einträge zu löschen. Dem widerspricht der Bundesbeauftragte für Datenschutz, Ulrich Kelber, deutlich: “Wenn ein Dienstleister für die Gastronomie das Einlagern der Daten anbietet, dann sollte es auch Teil der Dienstleistung sein, die Daten danach zu löschen”, sagte er dem NDR und verweist dabei auf die geltende Corona-Verordnung.

Um dieser Art von Datenschutzproblemen entgegenzuwirken, hofft Kelber auf die Signalwirkung von hohen Bußgeldern: “Damit das Teil der Kalkulation aller Anbieter wird. Also nicht nur: Was kostet es mich, die Daten zu speichern, sondern auch, was kostet es mich, wenn ich mich nicht um den Schutz dieser Daten kümmere?”

RND/lb

“Staat, Sex, Amen”
Der neue Gesellschaftspodcast mit Imre Grimm und Kristian Teetz
  • Laden Sie jetzt die RND-App herunter, aktivieren Sie Updates und wir benachrichtigen Sie laufend bei neuen Entwicklungen.

    Hier herunterladen