Eine zehn Terabyte große Datenbank mit umfangreichen persönlichen Kundendaten könnte für die große Autovermietung Buchbinder zu einem veritablen Datenskandal mit teuren Auswirkungen und dem damit verbundenen Imageverlust führen. Das IT-Portal Heise Online, das den Datenskandal zusammen mit der Redaktion der Zeit öffentlich machte, nennt den Vorfall eines der größten Datenlecks der Geschichte der Bundesrepublik.

Unter den Daten finden sich unter anderem Adressen und Telefonnummern von Kunden, aber offenbar auch Unfallberichte und andere sensible Daten wie eingescannte Rechnungen, E-Mails und Verträge aus dem Zeitraum seit 2003. Besonders ergiebig ist die gut filterbare Datenbank in Sachen persönlicher Daten: Namen, Adressen, Geburtsdaten, Arbeitgeberinformationen bei geschäftlichen Buchungen, auch Telefonnummern, Zahlungsinformationen sowie Bankverbindungen und E-Mail-Adressen. Immerhin: Die Kreditkarteninformationen waren nicht öffentlich. 2,5 Millionen der Kunden kamen aus Deutschland, rund 450.000 aus Österreich.

Doch selbst wer niemals ein Auto bei Buchbinder gemietet hat, könnte mit seinen persönlichen Daten zu finden sein – dann nämlich, wenn er Unfallgegner, Unfallopfer oder Zeuge eines Unfalls mit einem Buchbinder-Fahrzeug war. Betroffen seien offenbar auch Kunden, die über ein Vermittlungsportal wie „Car del Mar“ oder Billiger-mietwagen.de ein Fahrzeug gebucht haben, also möglicherweise gar keinen direkten Kundenkontakt mit Buchbinder hatten.

Warum sich offenbar auf die gesamte MSSQL-Datenbank ohne Passwortschutz zugreifen ließ, müssen die Verantwortlichen jetzt beantworten. Auch könnte es sich um eklatante Verstöße gegen die DSGVO handeln, was dann ein hohes Bußgeld nach sich ziehen dürfte. Auch die Tatsache, dass Datensätze teilweise bis 2003 zurückreichen und Daten nicht nach zehn Jahren gelöscht wurden – was datenschutzrechtlich korrekt wäre –, wird unter dem Stichwort Datenschutz und Datensparsamkeit zu klären sein.

Da die Datenbank offen lag, dürfte es sich für diejenigen, die die Daten erbeutet haben, noch nicht einmal um einen Hackerangriff handeln, der strafrechtliche Konsequenzen nach sich zieht. Für Außenstehende war es ein Leichtes, mit frei zugänglichen Tools wie einem Netzwerkscanner die zugänglichen Datenbanken auf fehlende Barrieren zu prüfen. Inzwischen ist die Datenbank nicht mehr frei zugänglich, Buchbinder erklärt, man habe „unverzüglich die Schließung der entsprechenden Ports durch unseren mit der Betreuung und Absicherung der Server beauftragten Vertragspartner veranlasst“. Wer jetzt an den Datensatz kommt, sollte die Informationen allerdings nicht selbst weiter verbreiten, da das durchaus strafrechtlich relevant sein kann.

Dass sich unter den Daten auch etliche Informationen bekannter Persönlichkeiten befinden, verwundert nicht. Ein Datensatz von Grünen-Chef Robert Habeck mit Privatadresse, Telefonnummer und E-Mail-Adresse ist laut Heise darunter, aber auch Informationen über Politiker anderer Parteien, etliche Mitarbeiter von Bundesministerien der Polizei und der Bundeswehr, ausländischen Botschaften – selbst der Präsident des Bundesamtes für Sicherheit in der Informationstechnik (BSI) Arne Schönbohm ist unter den Betroffenen. Habeck ist freilich seit der Adventskalender-Affäre, die Anfang 2019 an die Öffentlichkeit kam, leidgeprüft. Damals wurden über einen Twitter-Account massenhaft sensible Daten von Influencern, Politikern und anderen mehr oder weniger prominenten Deutschen veröffentlicht, darunter auch umfangreiche teils private Nachrichten des Grünen-Chefs.

Die Autovermietung Buchbinder gilt mit über 160 Mietstationen als einer der größten deutschen Autovermieter und bezeichnet sich als Marktführer im Privatkunden-Segment Pkw und Lkw in Deutschland und Österreich. Seit 2017 gehört Buchbinder zur französischen Europcar-Gruppe. Laut Heise kam der Hinweis auf das Datenleck von dem IT-Sicherheitsexperten Matthias Nehls, der angibt, sich zwei Mal direkt an das Unternehmen gewandt zu haben, um auf die Datenpanne aufmerksam zu machen – offenbar ohne Erfolg. Nehls wandte sich daraufhin an den bayerischen Landesdatenschutzbeauftragten sowie an Heise und die Zeit.

Wer wissen will, ob seine Daten darunter sind, kann das über eine Abfrage beim Anbieter selbst herausfinden. Heise hat hierfür ein entsprechendes Formular bereitgestellt. Bis sich die Datensätze – zumindest als informierende Warnung – bei Haveibeenpwned oder in der einschlägigen Datenbank des Hasso-Plattner-Instituts finden, dürfte noch einige Zeit vergehen.

Die erbeuteten Daten lassen sich jetzt für eine Vielzahl von Angriffen nutzen. Denkbar sind beispielsweise Phishing-Attacken, bei denen Kunden zur Angabe etwa der Kreditkartendaten aufgefordert werden oder auch der Verkauf der Daten an Adresshändler. Denn im Gegensatz zu anderen Zwecken wie Gewinnspielen, bei denen viele mit Fake-Daten operieren, sind hier sämtliche Daten echt und – sofern noch aktuell – für diverse Betrugsszenarien zu gebrauchen. Klar ist: Wer seinen Datensatz unter den geleakten Daten findet, sollte sämtliche Passwörter ändern, in Zukunft Buchungen genauer überwachen und gegebenenfalls die Telefonnummer wechseln.

Am schlimmsten dürfte der Schaden aber für Buchbinder selbst sein – denn zum einen erhalten sämtliche Mitbewerber der gesamten Branche einen Zugriff auf die Kundendaten der letzten eineinhalb Jahrzehnte, zum anderen dürfte der Image-Schaden für das Unternehmen beträchtlich sein. Auch lassen sich Erträge, Kaufpreise, Unfallhäufigkeit und Zahl der Verleihvorgänge und -zeiten auswerten – Informationen, die in der Branche mit Interesse begutachtet werden.

Das dürfte dich auch interessieren:

• 773 Millionen Zugangsdaten geleakt – sind auch deine Logins betroffen?
• Beachte diese 4 Dinge – und du musst dir um IT-Sicherheit fast keine Sorgen mehr machen
• Passwort-Leaks weiten sich aus: Inzwischen 2,2 Milliarden Zugangsdaten betroffen