Sicherheitslücke

Corona-Gästedaten millionenfach ungeschützt im Netz

Corona-Gäste­daten nicht auf Papier­listen, sondern lieber digital spei­chern? Auch das kann unsi­cher sein: Beim Restau­rant­dienst­leister Gastro­novi standen sie kaum geschützt im Netz - Millionen davon.
Von dpa /

System von Gastronovi für digitale Gästelisten war schlecht geschützt System von Gastronovi für digitale Gästelisten war schlecht geschützt
Bild: gastronovi GmbH Mehrere Millionen Daten von Restau­rant­gästen sind in Internet-Spei­chern eines Soft­ware­dienst­leis­ters kaum geschützt zugäng­lich gewesen.

Die Sicher­heits­lücke betraf auch die elek­tro­ni­sche Erfas­sung von Besu­chern in der Corona-Pandemie, wie der Chaos Computer Club (CCC) heute mitteilte. Die Akti­visten für Compu­ter­si­cher­heit hatten die unge­nü­gend gesi­cherten Daten in den Cloud-Spei­chern der Bremer Firma Gastro­novi entdeckt. Sie bietet Buchungs- und Abrech­nungs­sys­teme für Restau­rants, Cafés oder Bars an. System von Gastronovi für digitale Gästelisten war schlecht geschützt System von Gastronovi für digitale Gästelisten war schlecht geschützt
Bild: gastronovi GmbH

CCC rät von elek­tro­ni­schen Corona-Regis­trie­rungen ab

Das Unter­nehmen bestä­tigte den Vorfall. Die Sicher­heits­lücke sei zwei Stunden nach den Hinweisen des Chaos Computer Clubs geschlossen worden, teilte Gastro­novi heute mit. "Zum Zeit­punkt des Hacker­an­griffs hatte der CCC poten­ziell Zugriff auf über vier Millionen Daten­sätze", hieß es. Außer den Akti­visten habe aber kein Außen­ste­hender einen Zugriff auf die Daten gehabt oder versucht.

Nach CCC-Angaben war der Zugang zu 4,8 Millionen Perso­nen­da­ten­sätzen möglich, die aus mehr als 5,4 Millionen Platz­re­ser­vie­rungen in Restau­rants stammten. Teils reichten die Einträge Jahre zurück, aber es fanden sich auch Daten der Gäste­re­gis­trie­rungen, die derzeit zur Abwehr des Corona-Virus vorge­schrieben sind. "Verschie­dene Schwach­stellen ermög­lichten den Zugriff auf insge­samt 87 313 Corona-Kontakter­he­bungen von 180 Restau­rants", teilte der CCC mit.

Die Akti­visten bemän­gelten, dass viele Gastro­nomen nur sehr schlichte Pass­wörter für ihre Compu­ter­sys­teme verwenden. Beim vorge­schrie­benen Löschen der Daten hätten sich Restau­rants und Gastro­novi aufein­ander verlassen. Der CCC riet von elek­tro­ni­schen Corona-Regis­trie­rungen ab. Die Gäste sollten zur Kontakt­ver­fol­gung auf Papier erfasst werden - jeder auf einem eigenen Blatt, das drei Wochen später vernichtet werde.

Der Bundes­be­auf­tragte für Daten­schutz, Ulrich Kelber, kriti­sierte nach Angaben von NDR und BR die sehr lange Spei­che­rung der Daten. "Wenn ein Dienst­leister für die Gastro­nomie das Einla­gern der Daten anbietet, dann sollte es viel­leicht auch Teil der Dienst­leis­tung sein, die Daten danach zu löschen", sagte Kelber den Sendern.

Apple hat die erste Beta-Version von iOS 13.7. veröf­fent­licht. Auch Teil­nehmer am öffent­li­chen Beta-Test werden bereits versorgt. Mit der neuen Soft­ware sollen Corona-Warn-Apps über­flüssig werden.

Mehr zum Thema Gesundheit