Analyse

Buchbinder-Datenskandal: 10 Terabyte persönliche Kundendaten frei zugänglich

Diese Datenpanne könnte für die Autovermietung Buchbinder teuer werden. (Foto: Bjoern Wylezich / Shutterstock)

Lesezeit: 4 Min. Gerade keine Zeit? Jetzt speichern und später lesen

Drei Millionen Kundendatensätze mit insgesamt über fünf Millionen Dateien lagen bei der Autovermietung Buchbinder offen im Netz und waren zumindest über mehrere Wochen für jeden frei zugänglich.

Eine zehn Terabyte große Datenbank mit umfangreichen persönlichen Kundendaten könnte für die große Autovermietung Buchbinder zu einem veritablen Datenskandal mit teuren Auswirkungen und dem damit verbundenen Imageverlust führen. Das IT-Portal Heise Online, das den Datenskandal zusammen mit der Redaktion der Zeit öffentlich machte, nennt den Vorfall eines der größten Datenlecks der Geschichte der Bundesrepublik.

Unter den Daten finden sich unter anderem Adressen und Telefonnummern von Kunden, aber offenbar auch Unfallberichte und andere sensible Daten wie eingescannte Rechnungen, E-Mails und Verträge aus dem Zeitraum seit 2003. Besonders ergiebig ist die gut filterbare Datenbank in Sachen persönlicher Daten: Namen, Adressen, Geburtsdaten, Arbeitgeberinformationen bei geschäftlichen Buchungen, auch Telefonnummern, Zahlungsinformationen sowie Bankverbindungen und E-Mail-Adressen. Immerhin: Die Kreditkarteninformationen waren nicht öffentlich. 2,5 Millionen der Kunden kamen aus Deutschland, rund 450.000 aus Österreich.

Doch selbst wer niemals ein Auto bei Buchbinder gemietet hat, könnte mit seinen persönlichen Daten zu finden sein – dann nämlich, wenn er Unfallgegner, Unfallopfer oder Zeuge eines Unfalls mit einem Buchbinder-Fahrzeug war. Betroffen seien offenbar auch Kunden, die über ein Vermittlungsportal wie „Car del Mar“ oder Billiger-mietwagen.de ein Fahrzeug gebucht haben, also möglicherweise gar keinen direkten Kundenkontakt mit Buchbinder hatten.

Fast fertig!

Bitte klicke auf den Link in der Bestätigungsmail, um deine Anmeldung abzuschließen.

Du willst noch weitere Infos zum Newsletter? Jetzt mehr erfahren

Buchbinder: Wohl gravierender Verstoß gegen die DSGVO

Warum sich offenbar auf die gesamte MSSQL-Datenbank ohne Passwortschutz zugreifen ließ, müssen die Verantwortlichen jetzt beantworten. Auch könnte es sich um eklatante Verstöße gegen die DSGVO handeln, was dann ein hohes Bußgeld nach sich ziehen dürfte. Auch die Tatsache, dass Datensätze teilweise bis 2003 zurückreichen und Daten nicht nach zehn Jahren gelöscht wurden – was datenschutzrechtlich korrekt wäre –, wird unter dem Stichwort Datenschutz und Datensparsamkeit zu klären sein.

Da die Datenbank offen lag, dürfte es sich für diejenigen, die die Daten erbeutet haben, noch nicht einmal um einen Hackerangriff handeln, der strafrechtliche Konsequenzen nach sich zieht. Für Außenstehende war es ein Leichtes, mit frei zugänglichen Tools wie einem Netzwerkscanner die zugänglichen Datenbanken auf fehlende Barrieren zu prüfen. Inzwischen ist die Datenbank nicht mehr frei zugänglich, Buchbinder erklärt, man habe „unverzüglich die Schließung der entsprechenden Ports durch unseren mit der Betreuung und Absicherung der Server beauftragten Vertragspartner veranlasst“. Wer jetzt an den Datensatz kommt, sollte die Informationen allerdings nicht selbst weiter verbreiten, da das durchaus strafrechtlich relevant sein kann.

Datensätze von Politikern, Botschaftsmitarbeitern, Datenschützern

Dass sich unter den Daten auch etliche Informationen bekannter Persönlichkeiten befinden, verwundert nicht. Ein Datensatz von Grünen-Chef Robert Habeck mit Privatadresse, Telefonnummer und E-Mail-Adresse ist laut Heise darunter, aber auch Informationen über Politiker anderer Parteien, etliche Mitarbeiter von Bundesministerien der Polizei und der Bundeswehr, ausländischen Botschaften – selbst der Präsident des Bundesamtes für Sicherheit in der Informationstechnik (BSI) Arne Schönbohm ist unter den Betroffenen. Habeck ist freilich seit der Adventskalender-Affäre, die Anfang 2019 an die Öffentlichkeit kam, leidgeprüft. Damals wurden über einen Twitter-Account massenhaft sensible Daten von Influencern, Politikern und anderen mehr oder weniger prominenten Deutschen veröffentlicht, darunter auch umfangreiche teils private Nachrichten des Grünen-Chefs.

Buchbinder-Datenskandal: So schützt du deine Daten

Die Autovermietung Buchbinder gilt mit über 160 Mietstationen als einer der größten deutschen Autovermieter und bezeichnet sich als Marktführer im Privatkunden-Segment Pkw und Lkw in Deutschland und Österreich. Seit 2017 gehört Buchbinder zur französischen Europcar-Gruppe. Laut Heise kam der Hinweis auf das Datenleck von dem IT-Sicherheitsexperten Matthias Nehls, der angibt, sich zwei Mal direkt an das Unternehmen gewandt zu haben, um auf die Datenpanne aufmerksam zu machen – offenbar ohne Erfolg. Nehls wandte sich daraufhin an den bayerischen Landesdatenschutzbeauftragten sowie an Heise und die Zeit.

Buchbinder-Affäre: Warum reagierte das Unternehmen nicht auf die Warnung des Datenschützers? (Foto: Tobias Arhelger / Shutterstock)

Wer wissen will, ob seine Daten darunter sind, kann das über eine Abfrage beim Anbieter selbst herausfinden. Heise hat hierfür ein entsprechendes Formular bereitgestellt. Bis sich die Datensätze – zumindest als informierende Warnung – bei Haveibeenpwned oder in der einschlägigen Datenbank des Hasso-Plattner-Instituts finden, dürfte noch einige Zeit vergehen.

Buchbinder dürfte immensen Schaden erleiden

Die erbeuteten Daten lassen sich jetzt für eine Vielzahl von Angriffen nutzen. Denkbar sind beispielsweise Phishing-Attacken, bei denen Kunden zur Angabe etwa der Kreditkartendaten aufgefordert werden oder auch der Verkauf der Daten an Adresshändler. Denn im Gegensatz zu anderen Zwecken wie Gewinnspielen, bei denen viele mit Fake-Daten operieren, sind hier sämtliche Daten echt und – sofern noch aktuell – für diverse Betrugsszenarien zu gebrauchen. Klar ist: Wer seinen Datensatz unter den geleakten Daten findet, sollte sämtliche Passwörter ändern, in Zukunft Buchungen genauer überwachen und gegebenenfalls die Telefonnummer wechseln.

Am schlimmsten dürfte der Schaden aber für Buchbinder selbst sein – denn zum einen erhalten sämtliche Mitbewerber der gesamten Branche einen Zugriff auf die Kundendaten der letzten eineinhalb Jahrzehnte, zum anderen dürfte der Image-Schaden für das Unternehmen beträchtlich sein. Auch lassen sich Erträge, Kaufpreise, Unfallhäufigkeit und Zahl der Verleihvorgänge und -zeiten auswerten – Informationen, die in der Branche mit Interesse begutachtet werden.

Das dürfte dich auch interessieren:

Meistgelesen

Bitte beachte unsere Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

Ein Kommentar
Björn
Björn

Was haltet ihr von Dienstleistern, die Schadenersatz für Betroffene anpreisen?
https://eugd.org/schadenersatz/buchbinder/

Antworten

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.

Bitte schalte deinen Adblocker für t3n.de aus!

Hey du! Schön, dass du hier bist. 😊

Bitte schalte deinen Adblocker für t3n.de aus, um diesen Artikel zu lesen.

Wir sind ein unabhängiger Publisher mit einem Team bestehend aus 70 fantastischen Menschen, aber ohne riesigen Konzern im Rücken. Banner und ähnliche Werbemittel sind für unsere Finanzierung sehr wichtig.

Danke für deine Unterstützung.

Digitales High Five,
Luca Caracciolo (Chefredakteur t3n) & das gesamte t3n-Team

Anleitung zur Deaktivierung