Beim Autovermieter „Buchbinder“ hat es ein massives Datenleck gegeben. So sollen insgesamt 3.000.000 Datensätze von Kunden für eine Dauer von mehreren Wochen im Internet frei zugänglich gewesen sein. In Summe handelt es sich dabei um fünf Millionen Dateien mit einer Gesamtgröße von ca. 10 Terabyte.
Was ist passiert?
Im Internet war über Wochen hinweg eine Datenbank mit insgesamt 10 Terabyte Kundendaten frei zugänglich. Was ursprünglich als ein kleiner Fauxpas von Buchbinder betitelt wurde, entwickelt sich mittlerweile zu einem handfesten Datenskandal. Dieser wird nicht nur einen schmerzhaften Imageverlust, sondern auch schwere finanzielle Folgen für den Autovermieter mit sich bringen. Einem Bericht von der Redaktion der „Zeit“ und dem Technik-Portal „Heise Online“ förderte den Skandal zu Tage. Für die beiden Redaktionen ist es nichts geringeres als einer der größten Datenlecks in der deutschen Geschichte.
Welche Daten sind betroffen?
Die frei zugänglichen Daten umfassen empfindliche persönliche Kundenangaben. Hierzu zählen nicht nur Adressen, Telefondaten, Rechnungen und E-Mails. Auch Namen, Adressen, Bankverbindungen und Geburtsdaten waren unter den Informationen. Einzig die Kreditkartendaten der Kunden konnten nicht eingesehen werden. Betroffen waren etwa 2.500.000 deutsche Kunden von „Buchbinder“. Da auch Unfalldaten frei zugänglich waren, konnten auch Informationen von Personen eingesehen werden, die niemals ein Fahrzeug bei „Buchbinder“ gemietet haben. Auch Daten von Kunden, die über das Portal billiger-mietwagen.de vermittelt wurden seien betroffen.
Es handelt sich um einen Verstoß gegen die DSGVO
Nun ist es an „Buchbinder“, das Datenleck zu erklären. Wieso konnte ohne Passwort auf die empfindliche Datenbank zugegriffen werden? Es ist davon auszugehen, dass der Autovermieter gegen die geltende DSGVO verstoßen hat. Schließlich handelte es sich um Daten, die seit 2003 gesammelt wurden. Gemäß datenschutzrechtlichen Bestimmungen hätten die Daten nach zehn Jahren gelöscht werden müssen. Sollte sich dies als wahr herausstellen, wäre ein hohes Bußgeld die Folge.
Leichtes Spiel für Kriminelle
Das Erschreckende an dem Datenleck ist die Tatsache, dass nicht einmal Hacker-Fähigkeiten von Nöten waren. Die Kundendaten konnten ganz einfach abgerufen werden. Auch die strafrechtlichen Konsequenzen dürften für die Unberechtigten vergleichsweise milde ausfallen. Schließlich werden sie sich maximal eines Netzwerkscanners bedient haben, um die fehlende Barriere zu identifizieren. Mittlerweile hat Buchbinder reagiert und das Datenleck gestopft. Die Datenbank ist nun nicht mehr frei zugänglich.
Kundendaten von „VIPs“
Unter den empfindlichen Daten sollen auch Informationen über wichtige Persönlichkeiten zu finden sein. So sind beispielsweise persönliche Daten von Robert Habeck (Bündnis 90/Die Grünen) in der Datenbank gewesen. Empfindliche Information wie Privatadresse, Telefonnummer und E-Mail Adresse waren für die Dauer der offenen Datenbank einsehbar. Dies betraf auch andere Personen aus Politik und Verwaltung. So waren wohl auch Mitarbeiter von Bundesministerien, Polizei und Bundeswehr betroffen. Das Problem betrifft jedoch nicht nur Deutsche. Auch Mitarbeiter von in Deutschland befindlichen Botschaften waren vom Datenleck betroffen.
So geht Datenschutz nicht!
Mit mehr als 160 Mietstationen gehört Buchbinder zu den größten Autovermietern Deutschlands. Es handelt sich hierbei also keinesfalls um einen kleinen Fisch. Umso verwunderlicher ist es, dass Buchbinder einen ausdrücklichen Warnhinweis eines IT-Sicherheitsexperten schlichtweg ignorierte. Matthias Nehls wandte sich nach eigenen Angaben mehrfach an die Autovermietung, um auf die Missstände hinzuweisen. Erfolg hatte er dabei nicht. Er ist auch die Person, die „Zeit“ sowie „Heise Online“ auf die Datenpanne hinwies.
Bin ich selbst betroffen?
Die brennendste Frage ist sicherlich, ob man vom Datenleck persönlich betroffen ist. Mithilfe einer Abfrage bei Buchbinder selbst lässt sich diese Fragen beantworten. Leider wird es noch eine Weile dauern, bis eine Prüfung auf den einschlägigen Portalen möglich ist. Schließlich müssen die Betriebe von „haveibeenpwned“ und der Datenbank des Hasso Plattner Instituts (HPI) die Daten erst einmal einspeisen.
Schwere Folgen für Buchbinder
Der Schaden für den Autovermieter kann zum jetzigen Zeitpunkt noch nicht abgesehen werden. Schließlich bleibt abzuwarten, was Kriminelle mit den ergaunerten Daten nun anstellen. So kann es zu Phishing-Attacken kommen. Klassischerweise werden hierbei Kreditkartendaten angefordert. Das Gefährliche an diesem Datenleck ist die Tatsache, dass alle verwendeten Daten echt sind. Schließlich kann niemand mit einer Fake-Email oder einem erfundenen Namen ein Auto mieten. Dies öffnet Tür und Tor für eine Menge Betrugsszenarien.
Wer nach Abfrage Kenntnis darüber erlangt, unter den Betroffenen zu sein, sollte schnell handeln. Allen voran sollte die Änderung diverser Passwörter stattfinden. Unter Umständen kann es auch ratsam sein, seine Telefonnummer zu wechseln. Eines steht jedoch jetzt schon fest. Die Folgen für Buchbinder werden wohl gravierend ausfallen. So werden nicht nur eingehende Schadensersatzforderungen für Unmut sorgen. Der Autovermieter wird sich auch mit einem großen Imageverlust konfrontiert sehen. Außerdem hat die Konkurrenz dank der Daten die Möglichkeit zur umfassenden Auswertung. Unfallstatistiken, Kaufpreise und andere Zahlen werden von den anderen Autovermietern sicherlich mit großem Interesse unter die Lupe genommen.
