https://www.faz.net/-gqe-9vowq

Ungesicherter Server : Daten von drei Millionen Autovermieter-Kunden online frei zugänglich

  • -Aktualisiert am

Ein Mann tippt auf einer Tastatur eines Laptops. Laut einem Medienbericht waren bei der Autovermietung Buchbinder wegen eines Fehlers Kundendaten im Internet zugänglich. Bild: dpa

Die Namen und Adressen von drei Millionen Kunden des Autovermieters Buchbinder sollen über Wochen offen im Internet abrufbar gewesen sein – auch die des Grünen-Chefs Habeck. Doch ein Hackerangriff ist nicht die Ursache des Vorfalls.

          2 Min.

          Durch einen ungesicherten Server beim Autovermieter Buchbinder sollen Daten von drei Millionen Kunden samt persönlicher Angaben offen im Netz über Wochen abrufbar gewesen sein. Das berichtet das Fachmagazin C‘t in Zusammenarbeit mit der „Zeit“. Es geht um etwa 10 Terabyte an Daten. Darunter finden sich auch solche von Prominenten und Politikern wie Robert Habeck von den Grünen und Arne Schönbohm, Präsident des Bundesamts für Sicherheit in der Informationstechnik (BSI) – samt Privatadresse, Handynummer und E-Mail-Adresse. Buchbinder kündigte am Mittwoch Nachmittag eine Stellungnahme der Europcar Mobility Group an, zu der das Unternehmen gehört.

          Die Datenmengen sind erheblich: Auch Angehöriger verschiedener Botschaften sind in den Datensätzen gelistet, unter anderem aus Deutschland und Österreich sowie den Vereinigten Staaten, Russland, China, Beirut, Israel, Iran, Saudi-Arabien und Nord-Korea. Auch Angaben über Ministeriumsmitarbeiter und einen ehemaligen ranghohen Beamten des Verfassungsschutzes seien in den Datensätzen zu finden. Die Ursache des Vorfalls liegt nicht in einem „Hackerangriff“, also etwa dem Überwinden von Sicherheitsvorkehrungen.

          Zugriff ohne Passwort möglich

          Vielmehr liegt ein schwerer Bedienfehler bei einem Backup-Server vor. Es wurde quasi eine Tür offengelassen: Über den „Port 445“ kann man von außen auf Dateien eines anderen Computers zugreifen – bleibt dieser Port geöffnet, stellt das ein erhebliches Risiko dar. Dadurch konnte über das Internet auf die Daten zugegriffen werden, ohne Passwort oder sonstigen Schutz.

          Entdeckt hatte die Lücke dem Bericht zu Folge Matthias Nehls, dessen Firma „Deutsche Gesellschaft für Cybersicherheit“ routinemäßig nach offenen Servern dieser Art sucht. Auch bei einer spezialisierten Suchmaschine war der Rechner als ungesichert aufgetaucht. Besonders ärgerlich für Buchbinder: Nehls soll das Unternehmen mehrfach kontaktiert haben, um auf die fehlende Absicherung aufmerksam zu machen, habe aber keine Antwort erhalten. Erst danach habe er sich an Journalisten und den Bayrischen Datenschutzbeauftragten gewandt.

          Zuordnung nach sexuellen Vorlieben und Erkrankungen

          Nun dürfte das Unternehmen einem Bußgeldverfahren entgegensehen: Datenschutzverstöße können seit Mai 2018 mit erheblichen Strafen in Höhe von Millionen Euro belegt werden. Darunter fällt auch die Pflicht, „geeignete technische und organisatorische Maßnahmen“ zum Schutz personenbezogener Daten zu treffen. Insofern könnte sowohl der offene Port als auch die fehlende Reaktion auf die Warnungen des IT-Fachmanns zu hohen Kosten für Buchbinder führen.

          Bußgeldbehörden berücksichtigen allerdings positiv, wenn ein Unternehmen im Nachgang eines Verstoßes umfänglich mit der Aufsicht kooperiert. Schwer wiegen könnte, dass sich in der Buchbinder-Datenbank dem Bericht zu Folge Kunden politisch, religiös, nach sexuellen Vorlieben oder Erkrankungen zuordnen ließen, weil es etwa um islamische Vereine ging oder politische Gruppierungen.

          Weitere Themen

          Topmeldungen

          Blaulichtfahrten seien das Privileg des Politikers, hat Markus Söder sinngemäß einmal gesagt.

          Kanzlerkandidatur : Die Wette auf Söder

          Der bayerische Ministerpräsident hat die CSU fest im Griff, deshalb redet keiner öffentlich über die K-Frage. Aber viele glauben, dass es ihren Vorsitzenden nach Berlin zieht.

          Newsletter

          Immer auf dem Laufenden Sie haben Post! Abonnieren Sie unsere FAZ.NET-Newsletter und wir liefern die wichtigsten Nachrichten direkt in Ihre Mailbox. Es ist ein Fehler aufgetreten. Bitte versuchen Sie es erneut.
          Vielen Dank für Ihr Interesse an den F.A.Z.-Newslettern. Sie erhalten in wenigen Minuten eine E-Mail, um Ihre Newsletterbestellung zu bestätigen.