Die Absicherung von IT-Systemen ist eine nicht gerade triviale Aufgabe, der in Firmen oft zu wenig Bedeutung zukommt. Welch verheerende Auswirkungen dies haben kann, zeigt nun ein aktueller Vorfall.

Die Daten von Millionen Kunden der Autovermietung Buchbinder standen wochenlang komplett ungeschützt im Netz, berichten das Computermagazin "c't" und die Wochenzeitung "Die Zeit" in einer gemeinsamen Recherche. Und dabei geht es nicht bloß um Name oder Adresse von aktuellen Vermietungen, die Daten reichen 18 Jahre zurück – und gehen weit über die Stammdaten hinaus. Insgesamt zehn Terabyte an Informationen sollen so in Summe zusammengekommen sein.

Alles mit dabei

So spricht der Bericht von fünf Millionen Dateien, darunter Firmenkorrespondenz samt Verträgen, eingescannte Rechnungen oder auch Fotos von Fahrzeugschäden. Aus diesen lassen sich wiederum viele private Details ablesen, so waren zum Teil auch Zahlungsinformationen abgebildet. Neben den Vermietern konnten auch die Details der Fahrer eingesehen werden, und zwar inklusive Name, Adresse, Geburtsdatum, Füherscheinnummer und Ausstellungsdatum. Auch Mobilfunknummern und E-Mail-Adressen fanden sich zahlreich.

Besonders pikant ist, dass sich in der Datenbank Informationen zu 500.000 Unfällen fanden – samt Angaben zu Verletzten und tödlich Verunglückten. Nicht minder problematisch: Über die Liste könnten Dritte auch die Namen von jenen, die für politische Vereine oder Parteien ein Fahrzeug angemietet haben, herausfinden. In der Datenbank fanden sich laut dem Bericht etwa Einträge zu jüdischen Gemeinden oder auch Schwulen- und Lesben-Vereinen.

Österreich und mehr

Das Leck ist dabei keineswegs auf Deutschland beschränkt. Laut der Auswertung der beiden Medien fanden sich in der Datenbank etwa auch 400.000 Mieter aus Österreich. Weitere 114.000 stammen aus Italien, der Slowakei und Ungarn.

Spurensuche

Der entscheidende Fehler dürfte der IT-Abteilung von Buchbinder bei der Konfiguration eines Backup-Servers passiert sein. Bei diesem stand nämlich der Port 445 für das Netzwerkprotokoll SMB komplett ungeschützt offen. Ohne jede Autorisierung konnte sich so jeder die Firmendatenbank sowie zugehörige Log-Dateien herunterladen – so man denn die richtige Adresse wusste.

Entdeckt hat das Problem die Firma "Deutsche Gesellschaft für Cybersicherheit" des Sicherheitsexperten Matthias Nehls. Diese hatte den offenen Server durch Routine-Scans entdeckt. Anschließen hat er nach eigenen Angaben mehrfach versucht, mit Buchbinder Kontakt aufzunehmen, erhielt aber keine Antwort. Anschließend informierte er die beiden Medien sowie den Landesdatenschutzbeauftragen in Bayern.

Offene Fragen

Ob sich bereits Kriminelle an dem Datenschatz bedient haben, lässt sich von außen natürlich nicht sagen. Auszuschließen ist es jedenfalls nicht. Immerhin konnte der offene SMB-Share auch über beliebte Tools wie die Spezialsuchmaschine Shodan sehr einfach aufgespürt werden. Wer hier laufend Scans zum Aufspüren von leichten Opfern durchführt, müsste eigentlich auf den Server gestoßen sein.

Nach der Information durch "c't" und "Zeit2 reagierte Buchbinder dann doch noch. Umgehend – in diesem Fall am 20. Jänner – sei die Fehlkonfiguration und somit der Zugriff für Dritte deaktiviert worden, heißt es.

Datenschutzgrundverordnung

Damit dürfte die Angelegenheit aber nicht so einfach erledigt sein. Immerhin stelle diese einen "geradezu katastrophalen Verstoß gegen die Vorgaben der DSGVO" dar. Sollten sich die Behörden dieser Meinung anschließen, könnte auf Buchbinder angesichts des Ausmaßes des Datenlecks ein hohes Bußgeld zukommen. Wer selbst wissen will, ob er von dem Leck betroffen ist, für den bietet c't ein passendes Formular an, mit dem man eine entsprechende Auskunft an den Autovermieter schicken kann. (apo, 22.1.2020)