CCC findet Sicherheitslücken in Gastronomie-Cloud
Insgesamt konnten die CCC-Mitglieder auf 87.313 Datensätze aus digitalen Corona-Listen zugreifen. Außerdem ließen sich 4,8 Millionen Personendatensätze aus Reservierungen abrufen. Die Daten reichten bis zu 10 Jahre zurück, berichtet der CCC.
Die Mitglieder des CCC waren bei einem Restaurantbesuch auf das System aufmerksam geworden. Sie wurden aufgefordert, ihre Daten zur Corona-Kontaktverfolgung über ihr Smartphone in eine digitale Liste einzutragen. Das verwendete Cloud-System speichert die Daten auf Servern im Internet. Die CCC-Mitglieder schauten sich das System aufgrund der versprochenen Datensicherheit genauer an – und fanden verschiedene Sicherheitslücken.
Der Anbieter Gastronovi wirbt damit, monatlich 600.000 Reservierungen über das System abzuwickeln. Laut Anbieter seien die Restaurants selbst für die Löschung der Daten verantwortlich. “Die wiederum schienen sich dessen oft nicht bewusst zu sein”, schreibt der CCC. Der CCC empfiehlt den Verzicht auf Cloud-Lösungen und rät dazu, die Daten lokal in den Restaurants zu sammeln.
Ein Fehler bei der Prüfung der Zugangsdaten, habe “im Handumdrehen” den Administrator-Zugriff auf sämtliche im System gespeicherten Daten ermöglicht. Außerdem hätten Restaurants die Daten anderer Gastronomen auslesen können. Durch diese Sicherheitslücken hätten Angreifer auch Bestellungen für Dritte aufgeben und stornieren können.
Unverschlüsselte Passwörter
Auch die Passwörter der einzelnen Nutzer waren nicht ausreichend gesichert und konnten abgerufen werden. Bei älteren Benutzerkonten seien dabei Passwörter sogar im Klartext gespeichert gewesen.
Der Anbieter Gastronovi bestätigte die Sicherheitslücken, nachdem der CCC ihn informiert hatte. Nach eigenen Angaben will Gastronovi die Sicherheitslücken geschlossen und den Vorfall an die zuständige Datenschutzbehörde gemeldet haben.
Digitale Corona-Listen nicht verwenden
Der CCC rät generell von digitalen Corona-Listen ab: “Viele digitale Corona-Listen wurden mit der heißen Nadel gestrickt und machen schwer zu haltende Datenschutzversprechen. Die Sicherheit eines Papiersystems ist hingegen auch für Laien leicht zu beurteilen,” sagte CCC-Sprecher Linus Neumann. “Die sensiblen Daten landen dann nicht etwa beim Restaurant, sondern auf einem großen Haufen irgendwo im Internet, wo sie die nächsten Jahre auf interessierte Hacker und Hackerinnen warten.” Wenn Restaurants darauf bestehen, sich in ein digitales Formular zur Kontaktverfolgung einzutragen, empfiehlt der CCC stattdessen ein anderes Lokal zu besuchen.
Bundesdatenschutzbeauftragter: Daten hätten gelöscht werden müssen
“Es ist inakzeptabel, dass nicht mehr benötigte Daten nicht gelöscht werden”, kommentierte der Bundesdatenschutzbeauftragte Ulrich Kelber den CCC-Bericht auf Twitter. “Wenn man über Monate nachvollziehen kann, wer mit wem wo im Restaurant gegessen hat, dann hat das Züge eines Überwachungsstaats”, sagte der Grünen-Bundestagsabgeordnete Dieter Janecek dem NDR. Datenschutzverstöße müsse man hart ahnden.
Im Juli hatte die Schweizer Firma Modzero bereits Sicherheitslücken in einem anderen Gastronomiesystem gefunden, das ebenfalls für Corona-Listen verwendet wurde. Wie viele Personen von diesen Schwachstellen betroffen waren, hatte die Firma nicht angegeben. (js)