2530433

Corona-Daten-Leck: Restaurant-Listen frei im Netz verfügbar

28.08.2020 | 13:10 Uhr | Hans-Christian Dirscherl

Rund 5 Millionen Daten von Restaurantbesuchern waren für Fremde zugänglich im Web. Darunter auch Corona-Kontaktverfolgungsdaten. Sicherheitsexperten raten auf den Besuch von Restaurants mit digitalen Corona-Kontaktverfolgungslisten zu verzichten.

Die Tagesschau berichtet , dass im Internet die Daten von Restaurantbesuchen einsehbar waren, darunter auch Corona-Kontaktverfolgungsdaten. Das sei durch mehrere Sicherheitslücken bei Gastronovi, einem Dienstleister für Restaurants möglich geworden. Die Schwachstelle entdeckte der Chaos Computer Club CCC, der sie hier ausführlich beschreibt.

Gastronovi stellt Restaurants, Bars und Hotels Web-Lösungen für Tischreservierungen und Bestellungen zur Verfügung. Seit Gäste in Restaurants und Bars ihre Kontaktdaten hinterlassen müssen, damit man eventuelle Covid-19-Infektionen nachverfolgen kann, stellt Gastronovi auch dafür eine Lösung auf seinen Servern bereit.  

Der CCC fand nun auf den Servern von Gastronovi "4,8 Mio. Personendatensätze aus über 5,4 Mio. Reservierungen". Diese stammten aus den vergangenen zehn Jahren. Darunter befanden sich auch über 87.000 Einträge von 180 Restaurants zur Kontaktverfolgung im Falle einer Corona-Infektion. Diese stammten von Restaurants, die statt auf Papierlisten oder Papierzetteln eine Online-Lösung von Gastronovi zur Erfassung der Besucherdaten nutzten. Die Gäste mussten hierzu einen QR-Code mit ihrem Smartphone scannen und dann ihre Daten eintragen. Unter den vom CCC gefunden Daten befanden sich auch Reservierungen, die bereits länger zurückliegen und längst hätten gelöscht werden müssen.

Dem CCC zufolge sei es Angreifern mit einfachen Mitteln möglich gewesen "administrativen Vollzugriff" auf alle Daten zu bekommen. Viele Passwörter seien unzureichend geschützt gewesen. Und Restaurants konnten auf die Corona-Kontaktverfolgungsdaten anderer Retaurants zugreifen. Gerade die Cloud-Lösungen für die Corona-Kontaktverfolgung kritisiert der CCC: "Viele digitale Corona-Listen wurden mit der heißen Nadel gestrickt und machen schwer zu haltende Datenschutzversprechen. Die Sicherheit eines Papiersystems ist hingegen auch für Laien leicht zu beurteilen."

Gastronovi bestätigte NDR und BR, dass seine Systeme anfällig waren. Diese “Sicherheitsschwachstellen" seien mittlerweile geschlossen. Gastronovi erklärt, dass "kein unautorisierter Zugriff" auf die Daten stattgefunden habe.

Der CCC rät ausdrücklich dazu zur Corona-Kontakterfassung Papier zu verwenden und die Daten nur vor Ort zu sammeln. Auf Clouddienste solle man dafür verzichten, wie der CCC betont . Die gastronomischen Betriebe müssten diese Unterlagen nach Fristablauf dann nur noch schreddern und die Datensicherheit sei gewährleistet.

Sollte ein Restaurant auf die Erfassung der Corona-Kontaktverfolgungsdaten in der Cloud bestehen, so rät der CCC zu einem Wechsel des Restaurants.

Autovermietung Buchbinder: Leak-Opfer werden nicht direkt informiert

PC-WELT Marktplatz

2530433