VG-Wort Pixel

Chaos Computer Club Corona-Kontaktlisten: Daten von 87.000 Restaurant-Besuchern offen im Netz zu finden

Chaos Computer Club: Gastronomie-Besuche sind aktuell nur mit Kontaktlisten möglich
Gastronomie-Besuche sind aktuell nur mit Kontaktlisten möglich
© Marijan Murat/ / Picture Alliance
Wer aktuell ein Restaurant besuchen will, muss sich dort in eine Liste eintragen. Doch sicher sind die Daten dabei nicht unbedingt. Durch Sicherheitslücken waren 87.000 Datensätze aus der Kontaktverfolgung im Netz zu finden.

Es dürfte das Vertrauen in die Kontaktverfolgungs-Listen weiter verringern: Auf den Servern des Gastronomie-Dienstleisters Gastronovi waren Daten von Millionen Kunden zugänglich - darunter auch 87.000 Datensätze aus den Coronalisten von 180 Restaurants. Viele der Einträge hätten längst gelöscht werden müssen.

Das berichtet die "Tagesschau" unter Berufung auf Recherchen des Chaos Computer Clubs. Die Experten hatten sich die Server von Gastronovi vorgenommen. Das Unternehmen bietet Gastronomie-Software für Restaurants an, verarbeitet nach eigenen Angaben 600.000 Reservierungen jeden Monat. Bei der Prüfung fanden sich erhebliche Sicherheitslücken sowie 4,8 Millionen Personendaten aus 5,4 Millionen Reservierungen. Die Firma hat die Sicherheitslücken gegenüber der "Tagesschau" bestätigt, aber betont, es habe "keinen unautorisierten Zugriff" auf die Datensätze gegeben.

Vollzugriff und unsichere Daten

Die Lücken waren dramatisch. Laut den Erkenntnissen des CCC war es ohne viel Aufwand möglich, "administrativen Vollzugriff" auf die Server und die Datenbank zu erhalten. So hätten sich nicht nur Daten auslesen, sondern auch manipulieren lassen, etwa Nutzerkonten oder Benachrichtigungen bearbeiten lassen, so die "Tagesschau". "Ein Teil der Lücken war so eklatant, dass jeder Nutzer das hätte herausfinden können", erklärte eine der Expertinnen demnach. Im Klartext: Die Daten wären quasi für jeden abrufbar gewesen. Es hätte sich offensichtlich um Softwarelösungen gehandelt, die schnell zusammengeschustert worden seien, um die Restaurants wieder eröffnen zu können.

Dem Bericht zufolge waren auch Politiker auf den Listen zu finden, sogar Gesundheitsminister Jens Spahn selbst soll mit Einträgen vertreten gewesen sein. Ein Hamburger SPD-Politiker sei mit der Privatadresse gelistet gewesen, ein Treffen mit einem Parteigenossen war mit Datum und Uhrzeit gelistet.

Dienstleister sieht Restaurants in der Verantwortung

Der Dienstleister weist die Verantwortung für die Datensammlung von sich. Die Kunden wären dafür verantwortlich, welche Daten gespeichert würden, erklärte die Firma auf Anfrage der "Tagesschau". Und auch die Verantwortung, die Einträge zu löschen, läge bei den Gastronomie-Betrieben. Doch das passierte offenbar routinemäßig nicht. Die Daten reichten teilweise über ein Jahrzehnt zurück, erklärte der CCC. Auch die Corona-Kontaktlisten reichten teilweise über die vorgeschriebenen zwei Wochen Aufbewahrungsfrist hinaus.

Das Unternehmen habe aber schnell reagiert, erklärte der CCC. Auf die Fehler hingewiesen, habe Gastronovi sämtliche Lücken bestätigt und sei sie zügig angegangen. Die Computer-Experten raten bei der Kontaktverfolgung ohnehin von einer digitalen Erfassung der Daten ab: Sie empfehlen Listen auf Papier - die dann nach Ablauf von zwei Wochen geschreddert werden.

Die Kontaktverfolgungs-Listen waren schon vorher in die Kritik geraten: In mehreren Städten hatte die Polizei sich die Listen zu Ermittlungszwecken herausgeben lassen.

Quelle: Tagesschau, Chaos Computer Club

mma

Mehr zum Thema


Wissenscommunity


Newsticker