Viele Cafés und Restaurants lassen die Kundschaft ihre persönlichen Daten auf Tablets eintragen. (Foto: Kaspars Grinvalds / Shutterstock)
Wie der Chaos Computer Club auf seiner Website bekannt gegeben hat, haben Hacker des CCC mehrere Schwachstellen in einem Cloud-System des Anbieters Gastronovi entdeckt, das gerade bei gastronomischen Betrieben weit verbreitet ist. Den Mitgliedern des CCC war es möglich, sensible Datensätze aus Corona-Listen und Reservierungen einzusehen, die teilweise ein Jahrzehnt zurücklagen.
Insgesamt konnte auf 87.313 Corona-Kontakte von 180 verschiedenen Restaurants, die das cloudbasierte System nutzen, zugegriffen werden. Neben persönlichen Daten von Besuchern und Besucherinnen speichert das System ebenfalls Kassenumsätze und Bestellungen. Der CCC konnte auf 4,8 Millionen Personendatensätze aus mehr als 5,4 Millionen separaten Reservierungen zugreifen.
Die entdeckten Schwachstellen waren umfangreich. Unter anderem ist ein mangelndes Rechte-Management aufgefallen. Durch eine fehlerhafte Prüfung von Zugriffsrechten war es möglich, dass Personen ohne besondere Rechte auf sensible Daten zugreifen konnten. Als Beispiel nennt der CCC die Möglichkeit, dass ein Restaurant auf die Corona-Daten eines anderen Restaurants zugreifen konnte. Auch die analysierten Passwörter zeigten, dass es scheinbar keinerlei Passwortrichtlinien gebe. Wie sonst sind unsichere Passwörter wie „1234“ zu erklären?
CCC gegen digitale Corona-Listen
Der Chaos Computer Club rät deshalb von digitalen Corona-Listen ab. Der Sprecher des CCC, Linus Neumann, sagte dazu: „Viele digitale Corona-Listen wurden mit der heißen Nadel gestrickt und machen schwer zu haltende Datenschutzversprechen. Die Sicherheit eines Papiersystems ist hingegen auch für Laien leicht zu beurteilen.“
Das Problem liege darin, dass viele Cloud-Services ihre bestehenden Systeme lediglich modifiziert hätten, ohne sich mit den nötigen Sicherheits- und Datenschutzanforderungen auseinanderzusetzen. Und das kann böse Folgen haben. „Die sensiblen Daten landen dann nicht etwa beim Restaurant, sondern auf einem großen Haufen irgendwo im Internet, wo sie die nächsten Jahre auf interessierte Hackerinnen warten“, so Neumann.
Die Sicherheitslücken wurden umgehend dem Betreiber das Cloud-Systems gemeldet. Der Anbieter bestätigte bereits alle gemeldeten Lücken und kümmert sich nun um die Schließung.
Zum Weiterlesen:
- Maske, Axt und grüner Matrix-Zahlenregen: Die schönsten Stockfoto-Hacker
- Sicherheitslücke in LTE-Netzen: Hacker konnten Anrufe mithören
- Studie: Nur 21 Prozent aller Firmen schließen Sicherheitslücken zeitnah
Bitte beachte unsere Community-Richtlinien
Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.
Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.
Dein t3n-Team
Leider wahr: „Nachdem die Gastronomie wieder geöffnet wurde, wurden hier schnell gestrickte Lösungen eingeführt, die nicht dem Stand der Technik entsprechen“.
Es gibt etliche Anbieter, die mal eben eine Software zur Gästedatenerfassung aus dem Hut gezaubert haben. Teilweise auch kostenlos zur Unterstützung der gebeutelten Gastronomie. Soweit so gut. Aber leider fehlt es den Anbietern oft an Erfahrung im Umgang mit personenbezogenen Daten oder die Kenntnisse über sichere Programmierung.
Es gibt aber auch gute Anbieter. Der CCC sollte hier nicht alle über einen Kamm scheren. Was glaubt der CCC was in der Praxis mit den Papierzetteln in den Betrieben passiert?