Riesen-Datenleck bei Gastro-Firma

Zehntausende Corona-Kontaktlisten im Internet einsehbar - auch Gesundheitsminister Jens Spahn betroffen

Corona-Regeln in Gaststätten
© dpa, Marijan Murat, mut axs

28. August 2020 - 7:59 Uhr

Millionen-Datenleck bei Gastronomie-Dienstleister Gastronovi

Sicherheitslücken beim Restaurant-Dienstleister Gastronovi haben dazu geführt, dass Millionen persönliche Daten nicht ausreichend geschützt im Internet standen. Darunter waren auch Zehntausende digitale Corona-Kontaktverfolgungs-Formulare. 

Einblicke in Bewegungs- und Aufenthaltsprofile der Gäste

Die sensiblen Daten lassen teilweise Einblicke in Bewegungs- und Aufenthaltsprofile der betroffenen Gäste zu. Entdeckt hat die Lücken der Chaos Computer Club (CCC). Reporterinnen und Reporter von NDR und BR konnten die Erkenntnisse des CCC durch Stichproben verifizieren.

Die Firma Gastronovi mit Sitz in Bremen bietet Restaurants, Bars und Hotels unter anderem Web-Lösungen für Tisch-Reservierungen, Bestellungen und auch die Kontakt-Verfolgung im Zuge der Corona-Vorkehrungen an. Nach eigenen Angaben wickelt die Software der Firma jeden Monat 600.000 Reservierungen ab und verarbeitet 96 Millionen Euro Restaurant-Umsätze.

Vier Millionen Adress- und Reservierungseinträge im Netz gefunden

Der CCC fand insgesamt mehr als vier Millionen Adress- und Reservierungseinträge aus den vergangenen neun Jahren vor. Darunter waren nach Angaben des CCC mehr als 87.000 Einträge, die der Kontaktverfolgung im Falle einer Corona-Infektion dienen sollen: Restaurants hatten die Daten mithilfe von sogenannten QR-Codes erhoben, die Gäste beim Besuch mit dem Smartphone scannen und dann ihre Kontaktdaten eintragen.

In einem 14-seitigen Bericht, der NDR und BR vorliegt, hat der CCC seine Erkenntnisse zusammengefasst. Demnach sei es mit einfachen Mitteln möglich gewesen, "administrativen Vollzugriff" zu erhalten - also Zugriff auf alle Daten und zudem die Möglichkeit, Nutzerkonten und deren Berechtigungen zu verändern. "Kritikalität: sehr hoch", wie es in dem Papier heißt.

"Ein Teil der Lücken waren so eklatant, dass jeder Nutzer das hätte herausfinden können", sagte Sophie Bertsch vom CCC. "Nachdem die Gastronomie wieder geöffnet wurde, wurden hier schnell gestrickte Lösungen eingeführt, die nicht dem Stand der Technik entsprechen", so Bertsch. Sie rät zu Stift und Papier und dazu, die Unterlagen nach Ablauf der Fristen zu schreddern.

Gastronovi hat auf Anfrage bestätigt, dass die Systeme anfällig gewesen seien. Es habe sich um "Sicherheitsschwachstellen" gehandelt, diese seien zwischenzeitlich geschlossen. Gastronovi erklärte, dass "kein unautorisierter Zugriff" auf die Daten stattgefunden habe.

Mehrere Politiker betroffen - darunter Gesundheitsminister Spahn

In dem Datensatz tauchen auch die Namen zahlreicher Politikerinnen und Politiker auf. So lässt sich zum Beispiel nachvollziehen, dass sich ein SPD-Abgeordneter der Hamburgischen Bürgerschaft am 15. Juli um 12.33 Uhr mit einer Parteigenossin in einem Café traf, seine Wohnanschrift und E-Mailadresse sind ebenfalls zu finden. Auch Reservierungen von Gesundheitsminister Jens Spahn und SPD-Generalsekretär Lars Klingbeil tauchen in den Daten auf. Die Politiker wollten sich zu dem Vorfall nicht weiter äußern.