Durch eine riesige Datenpanne beim Autovermieter Buchbinder standen Millionen von Datensätzen zu Kunden, aber auch Mitarbeitern und weiteren Personen, frei zugänglich im Netz. Mittlerweile ist der Fehler zwar behoben, der Vorfall dürfte allerdings erhebliche Konsequenzen für das Unternehmen nach sich ziehen.
Erst vor wenigen Wochen hatten Datenschutzbehörden angekündigt, dass man künftig bei Verstößen gegen die DSGVO härter durchgreifen wolle und auch von den Möglichkeiten für deutlich höhere Bußgelder Gebrauch machen wolle (Datenschutzbehörden verabschieden einheitliches Bußgeldkonzept). Auf die Autovermietung Buchbinder, eine der größten Anbieter hierzulande, könnte damit somit einiges zukommen, denn das Unternehmen musste jetzt eine der größten Datenpannen der bundesdeutschen Geschichte einräumen.
Ungesicherter Server ermöglicht Blick auf Millionen Kunden- und Mitarbeiterdaten
Durch einen wohl fehlerhaft konfigurierten Backup-Server waren persönliche Daten von rund 3 Millionen Kunden über das Internet frei zugänglich. Insgesamt umfasste die Datenbank ca. 10 Terabyte an Daten. Vor allem Kundendaten wie Mietwagenverträge waren hier zu finden, wobei neben Namen, Geburtsdatum und Anschrift der Kunden auch E-Mail-Adressen und Telefonnummern sowie Führerscheindaten enthalten waren.Besonders brisant ist an der Datensammlung auch, dass viele Prominente zu den Kunden gehören, deren Daten nun ebenfalls bekannt wurden. Nicht weniger gravierend dürfte der Umstand sein, dass auch Beschäftigungsverhältnisse sichtbar werden, wenn Mietwagen beruflich genutzt wurden.Schließlich lassen sich aus den Daten auch Rückschlüsse auf sehr sensible Informationen ziehen, wenn etwa Personen aus Parteien, Vereinen oder bestimmten Glaubensgemeinschaften Autos angemietet haben.
Frei zugänglich gewordene Daten reichen weit zurück
Insgesamt fanden sich der Datenbank mehr als neun Millionen Mietverträge, die bis zum Jahr 2003 zurückreichen. Daneben waren aber beispielsweise auch Daten zu rund 500.00 Unfällen enthalten, wodurch auch Informationen zu weiteren Personen (Unfallbeteiligte, Zeugen, Autowerkstätten) oder zusätzliche Angaben, etwa zu polizeilichen Ermittlungen, einsehbar wurden.
Von dem Datenleck können nicht nur Mietwagen-Nutzer betroffen sein, die ihr Auto direkt bei Buchbinder angemietet haben, da das Unternehmen auch mit Vergleichsportalen und Vermittler zusammenarbeitet, können auch die Daten von Nutzern solcher Angebote, wie etwa billiger-mietwagen.de, in dieser Datenbank enthalten sein.
Unternehmen entschuldigt sich für die Datenpanne
Der ungesicherte Server wurde von einem privaten IT-Sicherheitsfachmann entdeckt, der daraufhin den Autovermieter zwei Mal per E-Mail kontaktierte, jedoch keine Antwort erhielt und sich daraufhin an die für das Unternehmen zuständige bayerische Landesdatenschutzbehörde sowie an die Presse wandte. Nach Recherchen der Wochenzeitung "Die Zeit" und des Computermagazins "c’t" stand der Server wochenlang völlig ungeschützt im Internet, und tauchte auch in einschlägigen Listen bzw. Suchdiensten auf, die sich auf das Aufspüren solcher Schwachstellen spezialisiert haben. Es ist daher gut möglich, dass die Datenbank mittlerweile in die Hände von Cyberkriminellen geraten ist.
Erst nachdem die informierten Redaktionen sich am 20. Januar an das Unternehmend gewendet hatten, wurde die Sicherheitslücke noch am selben Tag geschlossen. Das Unternehmen hat sich mittlerweile in einem Statement bei allen Betroffenen entschuldigt und sich verpflichtet, alles zu unternehmen, um das Datenschutz- und Sicherheitsniveau künftig auf das Niveau zu bringen, das man den Kunden schulde.
Zudem werde man die Betroffenen über den Vorfall und die daraus entstehenden Risiken noch informieren, wie es in Art. 34 der DSGVO vorgeschrieben ist (Wann muss man eine Datenpanne melden).
Datenpanne bringt erhebliche Risiken für die Betroffenen
Die Folgen für die Betroffenen durch einen möglichen Datendiebstahl können erheblich sein.
- Mit den erbeuteten Informationen sind beispielsweise gezielte Phishing-Attacken (Spear-Phishing) möglich, bei denen die Angreifer unter falschen Identitäten Kontakte herstellen.
- Generell können die umfangreichen Datensätze auch für einen Identitätsdiebstahl verwendet werden.
- Für prominente Kunden oder auch Kunden, die beispielsweise in der Sicherheitsbranche arbeiten, kann das Bekanntwerden persönlicher Daten wie Rufnummer oder Adresse größere Nachteile nach sich ziehen.
Zu erwartende Konsequenzen bei größerer Sicherheitspanne
Auf den Autovermieter dürften trotz der Bemühungen um Schadensbegrenzung erhebliche Konsequenzen zukommen. So wird man wohl nicht umhinkommen, einen ungeschützten, über das Internet zugänglichen Server mit personenbezogenen Daten als besonders gravierenden Verstoß gegen die DSGVO zu werten.
- Da es sich bei diesen Informationen teilweise auch um besonders sensible personenbezogene Daten nach Art. 9 DSGVO handelt, dürften die Versäumnisse sogar noch schwerer wiegen.
- Auch wenn die Ermittlungen der zuständigen bayerischen Datenschutzbehörde erst am Anfang stehen, dürfte aller Voraussicht nach in einem solchen Fall schwerlich ein Bußgeld verhängt werden, das allzu sehr unter der maximal möglichen Höhe liegt, die bei 20 Millionen Euro oder bis zu 4 Prozent des weltweiten Jahresumsatzes liegt.
- Hinzu kommen mögliche Schadensersatzforderungen betroffener Personen sowie der bereits entstandene Imageschaden.
- Falls die Daten in die Hände von konkurrierenden Unternehmen gelangen, drohen schließlich noch erhebliche Wettbewerbsnachteile.
Ursache: Beim Backup-Server stand der Port 445 offen
Umso ärgerlich dürfte es für das betroffene Unternehmen sein, dass der dem Datenleck zugrundeliegende Fehler recht banal war. Bei dem Backup-Server mit den Daten stand der Port 445 offen, so dass Zugriffe über das Netzwerkprotokoll SMB auch aus dem Internet für jedermann möglich waren. Die Daten konnten daher ganz ohne spezielle Kenntnisse oder Hacker-Tools heruntergeladen werden.
Weitere News zum Thema:
Tipps zur Vermeidung von Datenschutzpannen
Zahl gemeldeter Datenpannen steigt nach gut einem Jahr DSGVO an
Schon wieder Datenbank mit gehackten E-Mail Adressen gefunden
Hintergrund: Welche Datenschutzpannen müssen gemeldet werden?
Nicht in jedem Fall muss eine Verletzung des Schutzes personenbezogener Daten gemeldet werden. Entscheidend für die Pflicht zur Meldung ist, ob die Datenschutzverletzung zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Für nähere Erläuterungen dieses Tatbestands und weitere allgemeine Informationen zur Meldepflicht verweist der LfDI auf die Leitlinien des Europäischen Datenschutzausschusses, die dazu auch zahlreiche anschauliche Praxisbeispiele enthalten.
Download mit Vorgaben zur DSGVO-Meldepflicht bei Datenpannen
Die vom Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg zur Verfügung gestellten Leitlinien stehen auf der Website des LfDI zum Download bereit.
Als Beispiel für einen meldepflichtigen Vorfall wird hier etwa der Verlust eines USB-Sticks genannt, auf dem sich unverschlüsselte personenbezogene Daten befinden. Auch wenn sich nicht feststellen lässt, ob Unbefugte tatsächlich Zugang zu diesen Daten haben, muss so ein Vorfall gemeldet werden.
Gemeldet werden muss es, wenn ein Dritter einem Verantwortlichen mitteilt, dass er versehentlich personenbezogene Daten eines Kunden des Verantwortlichen erhalten hat und dabei Belege für diese unbefugte Offenbarung vorlegt.
Wurde ein Angriff auf das Computernetzwerk bemerkt und festgestellt, dass gespeicherte Daten beeinträchtigt wurden, muss eine Meldung erfolgen.
Ein erfolgreicher Angriff durch eine Verschlüsselungssoftware (Ransomware) mit anschließender Lösegeldforderung ist ebenfalls ein meldepflichtiger Vorfall.
Die Vorfälle müssen gemeldet werden, sobald sie den Verantwortlichen bekannt werden. Die Meldung muss dabei unverzüglich oder maximal 72 Stunden danach erfolgen. Gibt es zunächst Hinweise auf einen meldepflichtigen Vorfall, kann zunächst eine „kurze“ Untersuchung zur Überprüfung durchgeführt werden. Während des Zeitraums dieser Überprüfung gilt die Datenschutzverletzung noch nicht als „bekannt“.