Persönliche Daten von Millionen im Internet

In heutigen Zeiten ist ein Restaurantbesuch damit verbunden, seine persönlichen Daten anzugeben. Dumm nur, wenn das System des Software-Anbieters ein Datenleck hat, wie es jetzt bei Gastronovi entdeckt wurde.

Die Folge: Daten von Millionen von Restaurantbesuchern landeten ungeschützt im Internet. Infos bei uns.

Restaurantbesuch heißt Datenerfassung

Ob man an Corona glaubt oder nicht, ob man sich über die Einschränkungen und neuen Zwänge im Alltag aufregt oder nicht: Wer in Corona-Zeiten einen Restaurantbesuch plant, muss sich damit abfinden, dass Kontaktdaten erfasst werden. Im Falle einer Neuinfektion haben Behörden so die Möglichkeit, Kontakte schnell nachverfolgen und die Ausbreitung der Infektion durch Tests und eventuelle Quarantäne verringern zu können.

Wer das nicht möchte, muss auf unbestimmte Zeit auf Restaurantbesuche und andere Events verzichten, weil persönliche Daten wegen der Corona-Pandemie gesetzlich vorgeschrieben erfasst werden müssen. Manche Restaurants nutzen die klassische Zettelwirtschaft, um notwendige Daten der Kunden zu erfassen. Es gibt aber auch Software-Anbieter für Restaurants wie Gastronovi aus Bremen, die es den Gastronomen und ihren Kunden leichter machen.

screenshot_gastronovi

Gastronovi ist ein Anbieter für Kassensysteme für die Gastronomie. Nun sind Datenlecks entdeckt worden. Bild: Screenshot Gastronovi

Was ist Gastronovi?

Gastronovi bietet eine Software für ein Kassensystem für Restaurantbetriebe. Der Software-Anbieter wirbt damit, dass es sich bei diesem Kassensystem um das „eindrucksvolle Herzstück ihrer Gastronomie“ handelt. Vorteil von Gastronovi: Bei der Eingabe von Stammdaten, Beständen und Angeboten sind die Nutzer nicht an ein festes Kassenterminal gebunden, sondern können die nötigen Daten bequem vom Laptop oder PC aufrufen. Auch das Eingeben von Änderungen oder Auswertungen zu Umsatz und Wareneinsatz sind leicht möglich.

Neben Speisekarten-Management, Abrechnungen und vielem mehr können Restaurants auch die Tischbelegung digital erfassen. Sie funktioniert über QR-Codes. Die Gäste scannen den Code beim Restaurantbesuch mit ihrem Smartphone und pflegen dann ihre Kontaktdaten ein. Die Software wickelt jeden Monat 600.000 Reservierungen ab und verarbeitet 96 Millionen Euro Restaurantumsätze.

Nun sind allerdings mehr als vier Millionen Adress- und Reservierungseinträge im Internet aufgetaucht. Darunter sollen sich mehr als 87.000 Einträge befinden, die der Kontaktverfolgung im Falle einer Corona-Infektion dienen, berichtet die Tagesschau. Was Gastronovi kann, zeigt dieses YouTube-Video:

CCC entdeckt Datenleck bei Gastronovi

Wie ist das Datenleck entdeckt worden? Mitglieder des Chaos Computer Clubs (CCC) wurden bei einem gemeinsamen Restaurantbesuch gebeten, sich in eine digitale Corona-Liste einzutragen. Nicht schlecht, möchte man denken, dass Restaurants die verpflichtende Datenerfassung modern und unkompliziert mit Hilfe der Cloud-Software Gastronovi gestalten.

Doch wie es so ihre Art ist, hatten sich bei den CCC-Mitgliedern Zweifel an der Sicherheit der Methode eingestellt. Und wie es der Teufel so will, hatten sie recht. „Verschiedene Schwachstellen ermöglichten den Zugriff auf insgesamt 87.313 Corona-Kontakterhebungen von 180 Restaurants, die das System aktiv nutzten“, schreibt der CCC in dem Bericht CCC hackt digitale „Corona-Listen“.

Insgesamt ermöglichten verschiedene Schwachstellen den Zugriff auf 4,8 Millionen Personendatensätze aus mehr als 5,4 Mio. Reservierungen. Und das über die vergangenen zehn Jahre. So lange währten die Schwachstellen bei Gastronovi. Mittlerweile sind sie aber geschlossen.

laptop-868816_geralt
Eklatante Sicherheitslücken , unter anderem bei den Passwörtern, hat der CCC aufgedeckt. Bild: Pixabay #868816 von geralt

CCC: eklatante Sicherheitslücken

Der Computer Chaos Club hat seine Erkenntnisse in einem 14-seitigen Bericht zusammengefasst. Sophie Bertsch vom CCC sagt: „Ein Teil der Lücken war so eklatant, dass jeder Nutzer das hätte herausfinden können“.

So gab es unter anderem ein mangelndes Rechte-Management, wodurch Hacker blitzschnell einen administrativen Vollzugang erlangen konnten. Andere Mängel machten möglich, dass Restaurant A auf die Corona-Daten von Restaurant B zugreifen konnte. Auch der Zugriff auf Bestellungen für Dritte oder deren Stornierungen waren möglich. Zudem war eine mangelhafte Passwortsicherheit unter den Mängeln. In unserem Ratgeber Passwortsicherheit erfahren Sie, wie sichere Passwörter wirklich aussehen.

Immerhin: Der Anbieter Gastronovi hat nach Bekanntwerden blitzschnell reagiert und die Schwachstellen mittlerweile behoben. Aber auch in anderen, ähnlichen Systemen gibt es diese Schwachstellen. Der Chaos Computer Club bezieht eindeutig Stellung und empfiehlt, Restaurants mit digitaler Kontakterfassung zu meiden.

Nicht nur Gastronovi betroffen

Linus Neumann, Sprecher des Chaos Computer Clubs, sagt: „Viele digitale Corona-Listen wurden mit der heißen Nadel gestrickt und machen schwer zu haltende Datenschutzversprechen. Die Sicherheit eines Papiersystems ist hingegen auch für Laien leicht zu beurteilen.“

Mit der heißen Nadel gestrickt heißt in diesem Fall: Etablierte Cloud-Services haben bestehende Systeme oft nur hastig „umfunktioniert“, statt sich spezifisch mit den Sicherheits- und Datenschutzanforderungen des Contact-Tracings auseinanderzusetzen. Mit erheblichen Folgen: „Die sensiblen Daten landen dann nicht etwa beim Restaurant, sondern auf einem großen Haufen irgendwo im Internet, wo sie die nächsten Jahre auf interessierte Hackerinnen warten“, sagt Linus Neumann.

Politiker fordern derweil nach höheren Strafen bei Datenschutzverstößen. Denn auch sie sind von dem Datenleck betroffen. Gesundheitsminister Jens Spahn, SPD-Generalsekretär Lars Klingbeil oder Grünen-Bundestagsabgeordenter Dieter Janecek: Mit wem, wann und wo sie aßen lässt sich ebenso nachvollziehen wie ihre Wohnanschriften und E-Mail-Adresse.

restaurant-449952_neshom
Bei einem Restaurantbesuch ist die Angabe von persönlichen Daten Pflicht. Bild: Pixabay #449952 von neshom

Handlungsempfehlung für Restaurantbesuch

Da im aktuellen Fall Daten der vergangenen zehn Jahre zu finden waren, stellt sich die Frage nach dem Löschen der Daten. Restaurantbetreiber sollen aktuelle Corona-Daten nur vier Wochen aufbewahren. Doch wer nimmt die Löschung bei digitaler Speicherung vor? Der Anbieter? Der Gastronom? Im Fall von Gastronovi war das offenbar nicht eindeutig.

Der Chaos Computer Club zieht deshalb die Papierform vor und gibt eine Handlungsempfehlung für all diejenigen, die Corona-Daten erfassen:

  1. Jeder Besucher/jede Gruppe gibt auf einem separaten Zettel (damit nicht die Daten anderer Gäste eingesehen werden können) die notwendigen Daten an.
  2. Den ausgefüllten Zettel werfen Sie in einen verschlossenen Briefkasten, um ihn dort vor neugierigen Blicken zu schützen.
  3. Am Ende des Tages kommen alle Zettel aus diesem Briefkasten in einen Briefumschlag. Der Restaurantbetreiber beschriftet den Briefumschlag mit dem aktuellen Datum des Tages und verschließt ihn.
  4. Verschlossene Umschläge lagert der Gastronom an einem sicheren Ort.
  5. Legt er abends einen neuen Umschlag an den sicheren Ort, nimmt er im selben Atemzug den Umschlag, dessen Frist abgelaufen ist, heraus und vernichtet ihn.

Damit wäre der verpflichtenden Corona-Datenerfassung und gleichzeitig dem Datenschutz Genüge getan. Wir ist Ihr Gefühl, wenn Sie aktuell Ihre Daten wegen Corona hinterlassen müssen? Haben Sie Angst vor Datenmissbrauch? Geben Sie Ihre korrekten Daten an, weil Sie vollstes Vertrauen in den Start haben? Oder haben Sie bereits falsche Angaben geleistet, weil Sie gehört haben, dass die Polizei für ihre Ermittlungen diese Listen nutzt? Meiden Sie vielleicht sogar sämtliche Veranstaltungen, wenn dort Daten erfasst werden? Lassen Sie es uns in den Kommentaren wissen.

pixabay_5235117_viarami
Bildquelle: pixabay.com #5235117 von viarami