Corona

Gastro-Dienstleister hat Gäste-Daten unzureichend geschützt

Sicherheitslücken bei einem norddeutschen Dienstleister für Restaurants haben dazu geführt, dass Millionen persönliche Daten nicht ausreichend geschützt im Netz standen – darunter waren auch Zehntausende digitale Corona-Kontaktverfolgungs-Formulare. Restaurants hatten die Daten mit sogenannten QR-Codes erhoben (Symbolbild).

Sicherheitslücken bei einem norddeutschen Dienstleister für Restaurants haben dazu geführt, dass Millionen persönliche Daten nicht ausreichend geschützt im Netz standen – darunter waren auch Zehntausende digitale Corona-Kontaktverfolgungs-Formulare. Restaurants hatten die Daten mit sogenannten QR-Codes erhoben (Symbolbild).

Foto: picture alliance / Fotostand /Gelhot

Chaos Computer Club hat Sicherheitslücken bei Bremer Dienstleister für Restaurants entdeckt. Es geht um Millionen persönliche Daten.

Hamburg. In Corona-Zeiten ist die Kontakt-Verfolgung von hoher Bedeutung. Viele Restaurants bieten neben Tisch-Reservierungen im Internet und Online-Bestellungen auch digitale Corona-Kontaktverfolgungs-Formulare an. Doch Sicherheitslücken bei einem norddeutschen Dienstleister für Restaurants haben dazu geführt, dass Millionen persönliche Daten nicht ausreichend geschützt im Netz standen – darunter waren auch Zehntausende digitale Corona-Kontaktverfolgungs-Formulare.

Bei dem Unternehmen handelt es sich um die Firma Gastronovi, die ihren Sitz in Bremen hat – sie ist ein großer deutscher Anbieter für Gastronomie-Software. Die sensiblen Daten lassen teilweise Einblicke in Bewegungs- und Aufenthaltsprofile der betroffenen Gäste zu. Entdeckt hat die Sicherheitslücken der Chaos Computer Club (CCC). Reporter von NDR und BR konnten die Erkenntnisse des CCC nach eigenen Angaben durch Stichproben verifizieren.

Sicherheitslücke bei Bremer Gastro-Dienstleister

Die Firma Gastronovi bietet Restaurants, Bars und Hotels unter anderem Web-Lösungen für Tisch-Reservierungen, Bestellungen und auch die Kontakt-Verfolgung im Zuge der Corona-Vorkehrungen an. Die Software der Firma soll jeden Monat 600.000 Reservierungen abwickeln und 96 Millionen Euro Restaurant-Umsätze verabeiten.

Doch genügend geschützt wurden die persönlichen Daten in den vergangenen Jahren offenbar nicht. Der CCC fand laut NDR mehr als vier Millionen Adress- und Reservierungseinträge aus den vergangenen neun Jahren vor. Darunter waren auch mehr als 87.000 Einträge, die der Kontaktverfolgung im Falle einer Corona-Infektion dienen sollen: Restaurants hatten die Daten mit sogenannten QR-Codes erhoben, die Gäste beim Besuch mit dem Smartphone scannen und dann ihre Kontaktdaten eintragen. Durch die QR-Codes müssen die Gäste keine Zettel mit ihren Kontaktdaten ausfüllen.

Firma Gastronovi spricht von „Sicherheitsschwachstellen“

Gastronovi bestätigte dem NDR, dass die Systeme anfällig gewesen seien. Es habe sich um „Sicherheitsschwachstellen“ gehandelt, diese seien zwischenzeitlich geschlossen. Die Bremer Firma betonte zudem, dass „kein unautorisierter Zugriff“ auf die Daten stattgefunden habe.

Der CCC hat seine Erkenntnisse in einem 14-seitigen Bericht zusammengefasst, der NDR und BR vorliegt. Demnach sei es mit einfachen Mitteln möglich gewesen, „administrativen Vollzugriff“ zu erhalten – also Zugriff auf alle Daten und zudem die Möglichkeit, Nutzerkonten und deren Berechtigungen zu verändern.

CCC hält digitale Corona-Kontaktverfolgung für problematisch

„Ein Teil der Lücken waren so eklatant, dass jeder Nutzer das hätte herausfinden können“, sagte Sophie Bertsch vom CCC dem NDR und BR. Gerade die digitale Corona-Kontaktverfolgung hält sie für problematisch. „Nachdem die Gastronomie wieder geöffnet wurde, wurden hier schnell gestrickte Lösungen eingeführt, die nicht dem Stand der Technik entsprechen“, so Bertsch. Sie emphielt, Stift und Papier zu nutzen und die Unterlagen nach Ablauf der Fristen zu schreddern.

Lesen Sie auch:

In dem Datensatz tauchen laut NDR auch die Namen vieler Politiker auf. So lässt sich zum Beispiel nachvollziehen, dass sich ein SPD-Abgeordneter der Hamburgische Bürgerschaft am 15. Juli um 12.33 Uhr mit einer Parteigenossin in einem Café traf – auch seine Wohnanschrift und E-Mailadresse sind zu finden. Reservierungen von Gesundheitsminister Jens Spahn und SPD-Generalsekretär Lars Klingbeil tauchen in den Daten ebenfalls auf. Die Politiker wollten sich zu dem Vorfall nicht weiter äußern.