Analyse

Buchbinder-Datenskandal: 10 Terabyte persönliche Kundendaten frei zugänglich

Diese Datenpanne könnte für die Autovermietung Buchbinder teuer werden. (Foto: Bjoern Wylezich / Shutterstock)

Drei Millionen Kundendatensätze mit insgesamt über fünf Millionen Dateien lagen bei der Autovermietung Buchbinder offen im Netz und waren zumindest über mehrere Wochen für jeden frei zugänglich.

Eine zehn Terabyte große Datenbank mit umfangreichen persönlichen Kundendaten könnte für die große Autovermietung Buchbinder zu einem veritablen Datenskandal mit teuren Auswirkungen und dem damit verbundenen Imageverlust führen. Das IT-Portal Heise Online, das den Datenskandal zusammen mit der Redaktion der Zeit öffentlich machte, nennt den Vorfall eines der größten Datenlecks der Geschichte der Bundesrepublik.

Unter den Daten finden sich unter anderem Adressen und Telefonnummern von Kunden, aber offenbar auch Unfallberichte und andere sensible Daten wie eingescannte Rechnungen, E-Mails und Verträge aus dem Zeitraum seit 2003. Besonders ergiebig ist die gut filterbare Datenbank in Sachen persönlicher Daten: Namen, Adressen, Geburtsdaten, Arbeitgeberinformationen bei geschäftlichen Buchungen, auch Telefonnummern, Zahlungsinformationen sowie Bankverbindungen und E-Mail-Adressen. Immerhin: Die Kreditkarteninformationen waren nicht öffentlich. 2,5 Millionen der Kunden kamen aus Deutschland, rund 450.000 aus Österreich.

Doch selbst wer niemals ein Auto bei Buchbinder gemietet hat, könnte mit seinen persönlichen Daten zu finden sein – dann nämlich, wenn er Unfallgegner, Unfallopfer oder Zeuge eines Unfalls mit einem Buchbinder-Fahrzeug war. Betroffen seien offenbar auch Kunden, die über ein Vermittlungsportal wie „Car del Mar“ oder Billiger-mietwagen.de ein Fahrzeug gebucht haben, also möglicherweise gar keinen direkten Kundenkontakt mit Buchbinder hatten.

Buchbinder: Wohl gravierender Verstoß gegen die DSGVO

Warum sich offenbar auf die gesamte MSSQL-Datenbank ohne Passwortschutz zugreifen ließ, müssen die Verantwortlichen jetzt beantworten. Auch könnte es sich um eklatante Verstöße gegen die DSGVO handeln, was dann ein hohes Bußgeld nach sich ziehen dürfte. Auch die Tatsache, dass Datensätze teilweise bis 2003 zurückreichen und Daten nicht nach zehn Jahren gelöscht wurden – was datenschutzrechtlich korrekt wäre –, wird unter dem Stichwort Datenschutz und Datensparsamkeit zu klären sein.

Da die Datenbank offen lag, dürfte es sich für diejenigen, die die Daten erbeutet haben, noch nicht einmal um einen Hackerangriff handeln, der strafrechtliche Konsequenzen nach sich zieht. Für Außenstehende war es ein Leichtes, mit frei zugänglichen Tools wie einem Netzwerkscanner die zugänglichen Datenbanken auf fehlende Barrieren zu prüfen. Inzwischen ist die Datenbank nicht mehr frei zugänglich, Buchbinder erklärt, man habe „unverzüglich die Schließung der entsprechenden Ports durch unseren mit der Betreuung und Absicherung der Server beauftragten Vertragspartner veranlasst“. Wer jetzt an den Datensatz kommt, sollte die Informationen allerdings nicht selbst weiter verbreiten, da das durchaus strafrechtlich relevant sein kann.

Datensätze von Politikern, Botschaftsmitarbeitern, Datenschützern

Dass sich unter den Daten auch etliche Informationen bekannter Persönlichkeiten befinden, verwundert nicht. Ein Datensatz von Grünen-Chef Robert Habeck mit Privatadresse, Telefonnummer und E-Mail-Adresse ist laut Heise darunter, aber auch Informationen über Politiker anderer Parteien, etliche Mitarbeiter von Bundesministerien der Polizei und der Bundeswehr, ausländischen Botschaften – selbst der Präsident des Bundesamtes für Sicherheit in der Informationstechnik (BSI) Arne Schönbohm ist unter den Betroffenen. Habeck ist freilich seit der Adventskalender-Affäre, die Anfang 2019 an die Öffentlichkeit kam, leidgeprüft. Damals wurden über einen Twitter-Account massenhaft sensible Daten von Influencern, Politikern und anderen mehr oder weniger prominenten Deutschen veröffentlicht, darunter auch umfangreiche teils private Nachrichten des Grünen-Chefs.

Buchbinder-Datenskandal: So schützt du deine Daten

Die Autovermietung Buchbinder gilt mit über 160 Mietstationen als einer der größten deutschen Autovermieter und bezeichnet sich als Marktführer im Privatkunden-Segment Pkw und Lkw in Deutschland und Österreich. Seit 2017 gehört Buchbinder zur französischen Europcar-Gruppe. Laut Heise kam der Hinweis auf das Datenleck von dem IT-Sicherheitsexperten Matthias Nehls, der angibt, sich zwei Mal direkt an das Unternehmen gewandt zu haben, um auf die Datenpanne aufmerksam zu machen – offenbar ohne Erfolg. Nehls wandte sich daraufhin an den bayerischen Landesdatenschutzbeauftragten sowie an Heise und die Zeit.

Bitte beachte unsere Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

Ein Kommentar
Björn
Björn

Was haltet ihr von Dienstleistern, die Schadenersatz für Betroffene anpreisen?
https://eugd.org/schadenersatz/buchbinder/

Antworten

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.

Bitte schalte deinen Adblocker für t3n.de aus!

Hey du! Schön, dass du hier bist. 😊

Bitte schalte deinen Adblocker für t3n.de aus, um diesen Artikel zu lesen.

Wir sind ein unabhängiger Publisher mit einem Team bestehend aus 65 fantastischen Menschen, aber ohne riesigen Konzern im Rücken. Banner und ähnliche Werbemittel sind für unsere Finanzierung sehr wichtig.

Danke für deine Unterstützung.

Digitales High Five,
Stephan Dörner (Chefredakteur t3n.de) & das gesamte t3n-Team

Anleitung zur Deaktivierung