Leck bei Bremer Firma: Corona-Daten von Restaurantbesuchern im Netz

  • Millionen Gästedaten waren offen zugänglich
  • Laut Unternehmen sind die Sicherheitsprobleme inzwischen behoben
  • Auch Daten von Bundesgesundheitsminister Spahn (CDU) lagen offen
Jemands scannt mit seinem Smartphone einen QR-Code in einem Restaurant.
Das Unternehmen räumte ein, dass das System anfällig gewesen sei. (Symbolbild) Bild: DPA | Jean-Marc Loos/MAXPPP

Sicherheitslücken bei einem Bremer Dienstleister für Restaurants haben dazu geführt, dass Millionen persönliche Daten nicht ausreichend geschützt im Internet standen. Darunter waren auch Zehntausende digitale Corona-Kontaktverfolgungs-Formulare. Die Sicherheitslücken bestanden in den Systemen der Firma Gastronovi, eines großen deutschen Anbieters für Gastronomie-Software mit Sitz in Bremen. Davon betroffen sind auch Spitzenpolitiker wie Bundesgesundheitsminister Jens Spahn (CDU).

Die sensiblen Daten lassen teilweise Einblicke in Bewegungs- und Aufenthaltsprofile der betroffenen Gäste zu. Entdeckt hat die Lücken der Chaos Computer Club (CCC). Reporterinnen und Reporter von NDR und BR konnten die Erkenntnisse des CCC durch Stichproben verifizieren. Die Firma Gastronovi mit Sitz in Bremen bietet Restaurants, Bars und Hotels unter anderem Web-Lösungen für Tisch-Reservierungen, Bestellungen und auch die Kontakt-Verfolgung im Zuge der Corona-Vorkehrungen an. Nach eigenen Angaben wickelt die Software der Firma jeden Monat 600.000 Reservierungen ab.

Mehr als vier Millionen Einträge

Der CCC fand insgesamt mehr als vier Millionen Adress- und Reservierungseinträge aus den vergangenen neun Jahren vor. Darunter waren nach Angaben des CCC mehr als 87.000 Einträge, die der Kontaktverfolgung im Falle einer Corona-Infektion dienen sollen.

In dem Datensatz tauchen auch die Namen zahlreicher Politikerinnen und Politiker auf. So lässt sich zum Beispiel nachvollziehen, dass sich ein SPD-Abgeordneter der Hamburgische Bürgerschaft am 15. Juli um 12.33 Uhr mit einer Parteigenossin in einem Café traf, seine Wohnanschrift und E-Mailadresse sind ebenfalls zu finden. Auch Reservierungen von Gesundheitsminister Jens Spahn und SPD-Generalsekretär Lars Klingbeil tauchen in den Daten auf. Die Politiker wollten sich zu dem Vorfall nicht weiter äußern.

Laut Unternehmen wurden Sicherheitsprobleme inzwischen behoben

Gastronovi hat auf Anfrage bestätigt, dass die Systeme anfällig gewesen seien. Es habe sich um "Sicherheitsschwachstellen" gehandelt, diese seien zwischenzeitlich geschlossen. Gastronovi erklärte, dass "kein unautorisierter Zugriff" auf die Daten stattgefunden habe.

Laut CCC sei es mit einfachen Mitteln möglich gewesen, "administrativen Vollzugriff" zu erhalten – also Zugriff auf alle Daten und zudem die Möglichkeit, Nutzerkonten und deren Berechtigungen zu verändern. "Ein Teil der Lücken waren so eklatant, dass jeder Nutzer das hätte herausfinden können", sagte Sophie Bertsch vom CCC. Sie hat gemeinsam mit anderen IT-Experten die Systeme von Gastronovi überprüft. Gerade die digitale Corona-Kontaktverfolgung hält sie für problematisch. "Nachdem die Gastronomie wieder geöffnet wurde, wurden hier schnell gestrickte Lösungen eingeführt, die nicht dem Stand der Technik entsprechen", so Bertsch. Sie rät zu Stift und Papier und dazu, die Unterlagen nach Ablauf der Fristen zu schreddern.

Firma sieht Restaurants in der Verantwortung

Gastronovi betonte, die "Datenhoheit" liege "ausschließlich bei unseren Kunden". Die Restaurants seien auch dafür verantwortlich, alte Einträge zu löschen. Als "Auftragsdatenverarbeiter erheben, speichern oder verarbeiten wir keinerlei globale Gästeprofile", teilte ein Sprecher der Firma mit.

Bremens Datenschutzbeauftragte hat sich eingeschaltet

Die Bremer Landesdatenschutzbeauftragte, Imke Sommer, prüft die Vorfälle. Sie will erfahren, wie es zu den Lücken kommen konnte und wer dafür verantwortlich ist, dass zum Teil 9 Jahre alte Einträge nicht gelöscht wurden. Denn eigentlich sind die Gastronomen in der Pflicht, diese Daten nach einer vorgeschriebenen Zeit zu löschen. Derzeit ist noch unklar, ob Gastronovi diesen Dienst für die Restaurantbetreiber übernommen hat. Die Datenschutzbeauftragte will nun die Verträge zwischen dem Unternehmen und den Gaststätten daraufhin kontrollieren.

Dieses Thema im Programm: Bremen Zwei, Nachrichten, 28. August 2020, 9 Uhr