Wie der Chaos Computer Club auf seiner Website bekannt gegeben hat, haben Hacker des CCC mehrere Schwachstellen in einem Cloud-System des Anbieters Gastronovi entdeckt, das gerade bei gastronomischen Betrieben weit verbreitet ist. Den Mitgliedern des CCC war es möglich, sensible Datensätze aus Corona-Listen und Reservierungen einzusehen, die teilweise ein Jahrzehnt zurücklagen.
Insgesamt konnte auf 87.313 Corona-Kontakte von 180 verschiedenen Restaurants, die das cloudbasierte System nutzen, zugegriffen werden. Neben persönlichen Daten von Besuchern und Besucherinnen speichert das System ebenfalls Kassenumsätze und Bestellungen. Der CCC konnte auf 4,8 Millionen Personendatensätze aus mehr als 5,4 Millionen separaten Reservierungen zugreifen.
Die entdeckten Schwachstellen waren umfangreich. Unter anderem ist ein mangelndes Rechte-Management aufgefallen. Durch eine fehlerhafte Prüfung von Zugriffsrechten war es möglich, dass Personen ohne besondere Rechte auf sensible Daten zugreifen konnten. Als Beispiel nennt der CCC die Möglichkeit, dass ein Restaurant auf die Corona-Daten eines anderen Restaurants zugreifen konnte. Auch die analysierten Passwörter zeigten, dass es scheinbar keinerlei Passwortrichtlinien gebe. Wie sonst sind unsichere Passwörter wie „1234“ zu erklären?
CCC gegen digitale Corona-Listen
Der Chaos Computer Club rät deshalb von digitalen Corona-Listen ab. Der Sprecher des CCC, Linus Neumann, sagte dazu: „Viele digitale Corona-Listen wurden mit der heißen Nadel gestrickt und machen schwer zu haltende Datenschutzversprechen. Die Sicherheit eines Papiersystems ist hingegen auch für Laien leicht zu beurteilen.“
Das Problem liege darin, dass viele Cloud-Services ihre bestehenden Systeme lediglich modifiziert hätten, ohne sich mit den nötigen Sicherheits- und Datenschutzanforderungen auseinanderzusetzen. Und das kann böse Folgen haben. „Die sensiblen Daten landen dann nicht etwa beim Restaurant, sondern auf einem großen Haufen irgendwo im Internet, wo sie die nächsten Jahre auf interessierte Hackerinnen warten“, so Neumann.
Die Sicherheitslücken wurden umgehend dem Betreiber das Cloud-Systems gemeldet. Der Anbieter bestätigte bereits alle gemeldeten Lücken und kümmert sich nun um die Schließung.
Zum Weiterlesen:
- Maske, Axt und grüner Matrix-Zahlenregen: Die schönsten Stockfoto-Hacker
- Sicherheitslücke in LTE-Netzen: Hacker konnten Anrufe mithören
- Studie: Nur 21 Prozent aller Firmen schließen Sicherheitslücken zeitnah
Leider wahr: „Nachdem die Gastronomie wieder geöffnet wurde, wurden hier schnell gestrickte Lösungen eingeführt, die nicht dem Stand der Technik entsprechen“.
Es gibt etliche Anbieter, die mal eben eine Software zur Gästedatenerfassung aus dem Hut gezaubert haben. Teilweise auch kostenlos zur Unterstützung der gebeutelten Gastronomie. Soweit so gut. Aber leider fehlt es den Anbietern oft an Erfahrung im Umgang mit personenbezogenen Daten oder die Kenntnisse über sichere Programmierung.
Es gibt aber auch gute Anbieter. Der CCC sollte hier nicht alle über einen Kamm scheren. Was glaubt der CCC was in der Praxis mit den Papierzetteln in den Betrieben passiert?