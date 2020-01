Einfach eine Adresse im Windows-Explorer eingeben, schon lassen sich zehn Terabyte Kundendaten herunterladen. Was nach einem Hacker-Traum klingt, war bei dem zu Europcar gehörenden Autoverleiher Buchbinder traurige Realität: Mindestens für einige Wochen ließ sich die komplette Kundendatenbank der Firma ohne jegliche Hürde von jedem herunterladen. Die Folgen sind noch nicht abzusehen.

Betroffen sind laut "c't" über 2,5 Millionen Deutsche, 400.000 Österreicher sowie etwa 114.000 Personen aus weiteren Staaten. Besonders brisant: Auch zahlreiche Prominente, Politiker und Diplomaten fanden sich teils mit privaten Kontaktdaten in der Datenbank. Neben Sportlern und Unterhaltungskünstlern sind auch Spitzenpolitiker von CSU und AfD und der Grünenchef Robert Habeck unter den Betroffenen.

Ein Server wie ein Scheunentor

Entdeckt wurde der Leak von der Deutschen Gesellschaft für Cybersicherheit. Die Experten waren zufällig bei der routinierten Suche nach ungesicherten Servern darüber gestolpert. Bei dem Leck handelte es sich um ein Server-Backup, das durch einen Konfigurationsfehler ungesichert für jeden abrufbar war. Zweimal wandte sich der Sicherheits-Experte laut der Fachzeitschrift "c't" an Buchbinder. Nachdem er keine Reaktion erhielt, gab er die Daten an die Zeitschrift, die "Zeit" sowie den Landesdatenschutzbeauftragten in Bayern weiter.

Die Echtheit der Daten prüften die Zeitungen im Abgleich mit den Daten betroffener Redakteure. Betroffen waren nicht nur Buchbinderkunden: Weil die Firma mit zahlreichen Firmen wie Car Del Mar oder billiger-mietwagen.de zusammenarbeitet, fanden auch Redakteure ihre Daten, die eigentlich nicht bewusst Kunden des Unternehmens waren.

Viel Material für Betrüger

Die Auswertung der Daten brachte erschreckende Erkenntnisse. Tatsächlich sollen sich in den Millionen Dateien sowohl die Firmenkorrespondenz mit Rechnungen, Verträgen, Schadensbildern, als auch neun Millionen Mietverträge finden lassen. Besonders letztere sind für Kunden problematisch: In den Verträgen finden sich mit Geburtsdaten, Adresse, Telefonnummer, Führerscheinnummer und weiteren Daten jede Menge von Betrügern verwertbares Material. Kreditkartendaten fanden sich laut "c't" jedoch nicht in den Dokumenten.

Für die Kunden könnte der Leak noch Spätfolgen haben. Noch weiß niemand, wer die Daten außer den Experten noch gefunden hat. Je nachdem, wer die Daten abgegriffen hat, könnten die umfangreichen persönlichen Daten theoretisch für eine ganze Reihe von Betrugsmaschen oder Phishing-Attacken genutzt werden. Der größte Wert ist die garantierte Echtheit der Daten: Anders als bei Leaks von anderen Zugangsdaten können sich die Kriminellen bei den Verträgen sicher sein, dass die Daten korrekt sind, argumentiert "c't". Vor allem für die Prominenten, Politiker und Diplomaten ist der Datensatz eine Katastrophe.

Und auch Buchbinder selbst drohen noch Probleme: Durch die Datenschutzgrundverordnung (DSGVO) ist es Unternehmen verboten, die Daten ihrer Kunden ohne deren Zustimmung weiterzugeben. Sollten die Behörden auf den Fall reagieren, drohen dem Unternehmen empfindlich hohe Strafen. Vom verlorenen Vertrauen der Kunden einmal ganz abgesehen.

Quellen: Zeit, c't