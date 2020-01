Profi IT

Hans-Christian Dirscherl

Die sensiblen Daten von 3 Millionen Kunden der Autovermietung Buchbinder und von Auto-Vermittlern waren wochenlang im Internet frei zugänglich. Inklusive genauer Adresse, Telefonnummer, Zahlungsdaten und Unfallberichten. Auch Prominente sind betroffen.

Vergrößern Autovermietung Buchbinder: Sensible Daten von 3 Millionen Kunden frei im Netz © buchbinder.de/

Riesen-Datengau bei der Autovermietung Buchbinder: 10 Terabyte an vertraulichen Kundendaten waren laut einem Medienbericht bis zu diesem Montag für mehrere Wochen lang frei zugänglich. Das berichten heise.de und zeit.de nach gemeinsamen Recherchen. Den Hinweis auf die offenliegenden Kundendaten lieferte der IT-Sicherheits-Experte Matthias Nehls. Nehls hatte Buchbinder laut eigenen Angaben schon im Dezember 2019 informiert, doch Buchbinder habe damals nicht reagiert. Das änderte sich erst nach dem Bericht von Heise und Die Zeit.

Die Daten aus der Kundendatenbank (dabei handelt es sich um eine MSSQL-Datenbank) von Buchbinder waren wegen eines falsch konfigurierten Backup-Servers ohne Passwortschutz offen im Web. Über den offenstehenden Port 445 (der für das Netzwerkprotokoll SMB genutzt wird) konnte jeder Internet-Nutzer die sensiblen Kundendaten (insgesamt 10 Terabyte) von der IP-Adresse des Servers herunterladen. In der Datenbank waren aber nicht nur die Daten von Buchbinder-Kunden gespeichert, sondern darin befanden sich auch die sensiblen Daten von Personen, die bei Buchbinder überhaupt noch kein Auto ausgeliehen hatten. Anscheinend handelt es sich hierbei um Kunden, die bei einem anderen Vermittler ein Fahrzeug angemietet haben, das dann aber von Buchbinder zur Verfügung gestellt wurde.

Die offenliegenden Backup-Dateien umfassen die Namen, Adressen, Geburtsdaten, Telefonnummern, Mailadressen, Führerscheinnummern und -Ausstellungsdaten von Kunden, dazu Mietverträge und Rechnungen. Die erfassten Mietverträge reichen von 2003 bis heute. Zahlungsinformationen und Bankverbindungen befinden sich im PDF-Format als Scans von Rechnungen in der Datenbank. Kreditkartennummern sollen sich nicht in der Datenbank befinden.

Cybergangster können diese Daten hervorragend für Phishing-Angriffe nutzen, weil es sich bei den Buchbinder-Daten um verifizierte Datensätze von tatsächlich existierenden Nutzern handelt.

Zu den Kunden- und Vermietungsdaten kommen noch Unfallberichte sowie Mails und Zugangsdaten von Mitarbeitern der Buchbinder-Gruppe. In diesen Unfallberichten sind auch Namen, Adressen und Kennzeichen von Unfallgegnern sowie eventueller Zeugen samt Telefonnummern enthalten, wie Heise schreibt. Ebenso befinden sich darin Informationen über polizeilich durchgeführte Blutproben und über Verletzte und Tote.

Unter den Buchbinder-Kunden befinden sich auch Prominente wie Robert Habeck von den Grünen. Auch diese Daten waren frei verfügbar. Auch der Präsident des Bundesamtes für Sicherheit in der Informationstechnik (BSI), Arne Schönbohm, gehört zu den betroffenen Kunden. Ebenso befindet sich ein Mitglied der österreichischen Anti-Terroreinheit "Einsatzkommando Cobra Süd" unter den Kunden.

Insgesamt enthält der Datenschatz die Daten von drei Millionen Buchbinder-Kunden, davon 2,5 Millionen aus Deutschland und 400.000 aus Österreich. Die übrigen rund 114.000 Kunden stammen aus Italien, der Slowakei und Ungarn. Die Autovermietung Buchbinder ist einer der größten Autovermieter Deutschlands. Das deutsche Unternehmen mit Hauptsitz im bayerischen Regensburg gehört zur französischen Europcar Mobility Group.



Auf Nachfrage von c't und "Die Zeit" erklärte die zur Buchbinder-Gruppe gehörende Terstappen Autovermietung GmbH nur, dass die Lücke sofort nach Bekanntwerden geschlossen worden sei. Doch das Buchbinder-Unternehmen sagte nicht, wie lange die Lücke bestanden habe und wie viele Zugriffe von außen es darauf gegeben habe.

Interessant wäre aus juristischer Sicht aber auch, weshalb Buchbinder Kundendaten speichert, die bis 2003 zurückreichen. Eine weitere Frage ist, wie diese offenstehende Kundendatenbank in Bezug auf die DSGVO zu bewerten ist. Denkbar wären Bußgelder gegen Buchbinder wegen eines Verstoßes gegen die DSGVO. Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) ist bereits eingeschaltet.



Das können Sie tun: Sie haben seit 2003 ein Auto bei Buchbinder ausgeliehen oder vermuten, dass Sie bei einem anderen Vermieter/Vermittler ein Fahrzeug ausgeliehen haben, das von Buchbinder stammt? Dann können Sie über dieses von Heise zur Verfügung gestellte Formular eine DSGVO-Auskunft von Buchbinder verlangen. Schicken Sie dieses Formular ausgefüllt an: Charterline Fuhrpark Service GmbH, Kulmbacher Str. 8.10, 93057 Regensburg. Oder per E-Mail an: datenschutz@buchbinder.de.