IT-Sicherheit: Gastronovi hat Gäste-Daten nicht ausreichend geschützt

IT-Sicherheit: Gastronovi hat Gäste-Daten nicht ausreichend geschützt
Meme Gastronovi Datenleck

Hamburg, 27. August 2020 – Sicherheitslücken bei einem Dienstleister für Restaurants haben dazu geführt, dass Millionen persönliche Daten nicht ausreichend geschützt im Internet standen. Darunter waren auch Zehntausende digitale Corona-Kontaktverfolgungs-Formulare. Die Sicherheitslücken bestanden in den Systemen der Firma Gastronovi, eines großen deutschen Anbieters für Gastronomie-Software. Die sensiblen Daten lassen teilweise Einblicke in Bewegungs- und Aufenthaltsprofile der betroffenen Gäste zu. Entdeckt hat die Lücken der Chaos Computer Club (CCC). Reporterinnen und Reporter von NDR und BR konnten die Erkenntnisse des CCC durch Stichproben verifizieren.

Die Firma Gastronovi mit Sitz in Bremen bietet Restaurants, Bars und Hotels unter anderem Web-Lösungen für Tisch-Reservierungen, Bestellungen und auch die Kontakt-Verfolgung im Zuge der Corona-Vorkehrungen an. Nach eigenen Angaben wickelt die Software der Firma jeden Monat 600.000 Reservierungen ab und verarbeitet 96 Millionen Euro Restaurant-Umsätze.

Der CCC fand insgesamt mehr als vier Millionen Adress- und Reservierungseinträge aus den vergangenen neun Jahren vor. Darunter waren nach Angaben des CCC mehr als 87.000 Einträge, die der Kontaktverfolgung im Falle einer Corona-Infektion dienen sollen: Restaurants hatten die Daten mithilfe von sogenannten QR-Codes erhoben, die Gäste beim Besuch mit dem Smartphone scannen und dann ihre Kontaktdaten eintragen.

Gastronovi hat auf Anfrage bestätigt, dass die Systeme anfällig gewesen seien. Es habe sich um “Sicherheitsschwachstellen” gehandelt, diese seien zwischenzeitlich geschlossen. Gastronovi erklärte, dass “kein unautorisierter Zugriff” auf die Daten stattgefunden habe.

In einem 14-seitigen Bericht, der NDR und BR vorliegt, hat der CCC seine Erkenntnisse zusammengefasst. Demnach sei es mit einfachen Mitteln möglich gewesen, “administrativen Vollzugriff” zu erhalten – also Zugriff auf alle Daten und zudem die Möglichkeit, Nutzerkonten und deren Berechtigungen zu verändern. “Kritikalität: sehr hoch”, wie es in dem Papier heißt.

“Ein Teil der Lücken waren so eklatant, dass jeder Nutzer das hätte herausfinden können”, sagte Sophie Bertsch vom CCC. Sie hat gemeinsam mit anderen IT-Experten die Systeme von Gastronovi überprüft. Gerade die digitale Corona-Kontaktverfolgung hält sie für problematisch. “Nachdem die Gastronomie wieder geöffnet wurde, wurden hier schnell gestrickte Lösungen eingeführt, die nicht dem Stand der Technik entsprechen”, so Bertsch. Sie rät zu Stift und Papier und dazu, die Unterlagen nach Ablauf der Fristen zu schreddern.

In dem Datensatz tauchen auch die Namen zahlreicher Politikerinnen und Politiker auf. So lässt sich zum Beispiel nachvollziehen, dass sich ein SPD-Abgeordneter der Hamburgische Bürgerschaft am 15. Juli um 12.33 Uhr mit einer Parteigenossin in einem Café traf, seine Wohnanschrift und E-Mailadresse sind ebenfalls zu finden. Auch Reservierungen von Gesundheitsminister Jens Spahn und SPD-Generalsekretär Lars Klingbeil tauchen in den Daten auf. Die Politiker wollten sich zu dem Vorfall nicht weiter äußern.

Gastronovi betonte, die “Datenhoheit” liege “ausschließlich bei unseren Kunden”. Die Restaurants seien auch dafür verantwortlich, alte Einträge zu löschen. Als “Auftragsdatenverarbeiter erheben, speichern oder verarbeiten wir keinerlei globale Gästeprofile”, teilte ein Sprecher der Firma mit.

Für Ulrich Kelber, Bundesbeauftragter für Datenschutz, greift das zu kurz. “Wenn ein Dienstleister für die Gastronomie das Einlagern der Daten anbietet, dann sollte es vielleicht auch Teil der Dienstleistung sein, die Daten danach zu löschen”, so Kelber. In der Corona-Verordnung sei das klar geregelt. “Es sind Daten in der Datenbank gewesen, die längst hätten gelöscht werden müssen”, sagte Kelber. Er spricht von einem “großen Datenschutzproblem” und hofft auf die Signalwirkung von hohen Bußgeldern: “Damit das Teil der Kalkulation aller Anbieter wird. Also nicht nur: Was kostet es mich, die Daten zu speichern, sondern auch, was kostet es mich, wenn ich mich nicht um den Schutz dieser Daten kümmere?”