CCC: Sicherheitslücke bei digitalen Coronalisten entdeckt

Bei der Corona-Kontakterfassung in Restaurants gibt es immer wieder Probleme. IT-Sicherheitsexperten konnten auf Daten von Gästen zugreifen.

Artikel veröffentlicht am , Anna Biselli
Sorglos ins Restaurant? Zumindest bei Datenschutzbedenken könnte die analoge Kontakterfassung helfen.
Sorglos ins Restaurant? Zumindest bei Datenschutzbedenken könnte die analoge Kontakterfassung helfen. (Bild: Free-Photos/pixabay.com)

Manche Restaurants sammeln die Daten ihrer Kunden in Papier-Listen. Andere Gastronomen setzen auf eine Cloud-Lösung, um für eine Kontaktnachverfolgung zu erfassen, wer wann bei ihnen zu Gast war. Gäste müssen dabei beispielsweise einen QR-Code scannen und ihre Daten eingeben. Bei einer solchen digitalen Coronaliste fand der Chaos Computer Club (CCC) ernsthafte Sicherheitsprobleme. Die IT-Sicherheitsexperten hätten auf 87.313 Corona-Kontakterhebungen von 180 Restaurants zugreifen können.

Stellenmarkt
  1. Technischer Consultant - IT (m/w/d)
    Diamant Software GmbH, Bielefeld
  2. Technical Consultant (m/w/d)
    GK Software SE, verschiedene Standorte
Detailsuche

Der betroffene Dienstleister Gastronovi bot bereits vor der Coronakrise seine Dienste bei der Abwicklung von Reservierungen und Bestellungen an. Auch solche Daten seien einsehbar gewesen, sie gingen bis zu einem Jahrzehnt zurück. So sei der Zugriff auf 4,8 Millionen Personendatensätze aus über 5,4 Millionen Reservierungen möglich gewesen, heißt es in der Pressemitteilung des CCC.

Laut dem Bericht des CCC gab es mehrere Probleme: Durch eine fehlerhafte Prüfung der Zugriffsrechte etwa habe man "im Handumdrehen" Vollzugriff auf die Daten bekommen können, außerdem seien Passwörter nicht ausreichend geschützt und nicht sicher genug gewesen.

Persönliche Informationen über Politiker

BR und NDR berichten, dass sich unter den Daten auch Informationen über Politiker befanden wie Reservierungen aus dem Büro von Gesundheitsminister Jens Spahn.

Golem Akademie
  1. Azure und AWS Cloudnutzung absichern: virtueller Zwei-Tage-Workshop
    17.–18. März 2022, virtuell
  2. PowerShell Praxisworkshop: virtueller Vier-Tage-Workshop
    20.–23. Dezember 2021, virtuell
Weitere IT-Trainings

Auf die Meldung der Schwachstellen habe der Hersteller schnell reagiert und umgehend gehandelt. "Den lebensrettenden Sofortmaßnahmen folgt auf Rat des CCC nun auch eine ausführliche Diagnostik des Systems durch geschultes Fachpersonal", heißt es in der CCC-Mitteilung.

In einem Blogbeitrag schreibt Gastronovi selbst: "Innerhalb von 2 Stunden nach der Analysebenachrichtigung des CCC haben wir die Schwachstellen in Gastronovi Office vollständig geschlossen." Es habe über die Analyse des CCC hinaus keinen unautorisierten Zugriff auf die Daten gegeben. Den Vorfall habe man den zuständigen Datenschutzbehörden gemeldet. Gastronovi dankt dem CCC und betont den konstruktiven Dialog mit den "Hacker-Experten".

Schnell gestrickte Kontakterfassungs-Tools sind ein Problem

Laut CCC-Sprecher Linus Neumann liegt ein Problem darin, dass viele digitale Kontakterfassungswerkzeuge schnell auf die Bedürfnisse der Coronalisten angepasst wurden, anstatt sich mit den besonderen Datenschutzanforderungen auseinanderzusetzen. "Die sensiblen Daten landen dann nicht etwa beim Restaurant, sondern auf einem großen Haufen irgendwo im Internet, wo sie die nächsten Jahre auf interessierte Hackerinnen warten", so Neumann weiter.

Die aktuell beschriebenen Sicherheitsprobleme stehen in einer langen Reihe von Datenschutzbedenken hinsichtlich der Kontakterfassungen. Selbst bei Papierlisten gab es Beschwerden, etwa wenn die Listen mit den Daten der vorherigen Gäste offen einsehbar waren. Auch die Nutzung der Informationen durch die Polizei bei Ermittlungen führte zu Diskussionen über zulässige Verwendung der Daten und Vertrauensverluste. Die Sicherheitsexperten des CCC raten dazu, klare gesetzliche Regelungen zu schaffen, um verspieltes Vertrauen durch zweckentfremdete Nutzung der Listen zurückzugewinnen.

Der CCC rät auch, auf die digitale Erfassung der Restaurantgäste bei Cloud-Diensten zu verzichten. In den eigenen Hackspaces verwende man ein Papiersystem, bei dem jeder Besucher einen eigenen Zettel in einen Briefkasten wirft. Die Zettel werden am Ende des Tages in einen Umschlag gepackt, sicher aufbewahrt und nach Ende der Fristen vernichtet.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Cloud-Ausfall
Eine AWS-Region als Single Point of Failure

Ein stundenlanger Ausfall der AWS-Cloud legte zentrale Dienste und sogar Amazon selbst teilweise lahm. Das zeigt die Grenzen der Cloud-Versprechen.
Ein Bericht von Sebastian Grüner

Cloud-Ausfall: Eine AWS-Region als Single Point of Failure
Artikel
  1. Ampelkoalition: Das Verkehrsministerium wird zum Digitalministerium
    Ampelkoalition
    Das Verkehrsministerium wird zum Digitalministerium

    Aus dem geplanten Ministerium für Verkehr und Digitales wird ein Ministerium für Digitales und Verkehr. Minister Wissing erhält zusätzliche Kompetenzen.

  2. Bundesnetzagentur: 30 Messungen an drei unterschiedlichen Kalendertagen
    Bundesnetzagentur
    30 Messungen an drei unterschiedlichen Kalendertagen

    Die Bundesnetzagentur hat festgelegt, wann der Netzbetreiber/Provider den Vertrag nicht erfüllt. Es muss viel gemessen werden.

  3. Euro NCAP: Renault Zoe mit katastrophalem Crash-Ergebnis
    Euro NCAP
    Renault Zoe mit katastrophalem Crash-Ergebnis

    Mit dem Renault Zoe sollte man keinen Unfall bauen. Im Euro-NCAP-Crashtest erhielt das Elektroauto null Sterne.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Acer-Monitore zu Bestpreisen (u. a. 27" FHD 165Hz OC 199€) • Kingston PCIe-SSD 1TB 69,90€ & 2TB 174,90€ • Samsung Smartphones & Watches günstiger • Saturn: Xiaomi Redmi Note 9 Pro 128GB 199€ • Alternate (u. a. Razer Opus Headset 69,99€) • Release: Halo Infinite 68,99€ [Werbung]
    •  /