Auch Grünenchef Habeck betroffen Autovermieter Buchbinder ließ Millionen Kundendaten offen im Netz stehen

Wer irgendwann nach 2003 ein Auto bei Buchbinder gemietet hat, muss davon ausgehen, dass seine Zahlungsdaten, Privatanschrift und Unfallberichte ungeschützt auf einem Server lagen.
Ein Buchbinder-Transporter

Ein Buchbinder-Transporter

Foto: Manfred Segerer/ imago images

Der Autovermieter Buchbinder hat Millionen sensibler Kundendaten ungeschützt in einer von jedermann zugänglichen Datenbank abgelegt. Experten der Deutschen Gesellschaft für Cybersicherheit fanden bei einer Routineprüfung unter anderem Zahlungsdaten, Privatadressen, Geburtsdaten, Handynummern sowie E-Mail-Adressen von zahlreichen Prominenten, wie Grünenchef Robert Habeck, darin, wie „c’t“  und „DIE ZEIT“  berichten.

Insgesamt sollen rund zehn Terabyte Daten wochenlang für jedermann zugänglich gewesen sein. Alles, was man brauchte, um sie zu kopieren, waren laut „c’t“ die IP-Adresse des Servers, viel Speicherplatz „und ein paar Stunden Zeit zum Download“. Aufgrund eines Konfigurationsfehlers war der Server offen aus dem Internet erreichbar. Auffindbar wäre er über spezielle Suchmaschinen wie Shodan gewesen.

Insgesamt rund neun Millionen Mietverträge von drei Millionen Fahrern aus der Zeit von 2003 bis heute sind in der Datenbank enthalten. Selbst Unfallberichte samt Fotos und Zeugenaussagen waren darin gespeichert. Außerdem mehrere Tausend Passwörter von Angestellten und Nutzern der Onlineportale sowie des Flottenmanagements von Buchbinder.

Hohes Bußgeld möglich

Sollte jemand die Daten kopiert haben, könnte er damit zum Beispiel Phishing-Angriffe auf Buchbinders Kunden zuschneiden. Auch Identitätsdiebstahl oder andere Betrugsversuche sind denkbar.

Zu den Betroffenen gehört auch Arne Schönbohm, Präsident des Bundesamtes für Sicherheit in der Informationstechnik (BSI). „DIE ZEIT“ zitiert ihn mit den Worten: "IT-Sicherheit ist keine Raketenwissenschaft, sondern muss das Einmaleins im Geschäftsleben sein. Egal ob ich – wie in diesem Fall – persönlich betroffen bin oder nicht, solche Fälle ärgern mich sehr, weil sie vermeidbar wären“.

Die Reaktion des Unternehmens fiel nach „c’t“-Angaben knapp aus: "Sofort nach Kenntnisnahme des Sachverhalts haben wir unverzüglich die Schließung der entsprechenden Ports durch unseren mit der Betreuung und Absicherung der Server beauftragten Vertragspartner veranlasst", zitiert das Magazin aus der Stellungnahme. Fragen nach der Dauer des Datenlecks und Anzeichen für Zugriffe von außen beantwortete Buchbinder demnach nicht. Das Unternehmen muss nun mit einem hohen Bußgeld rechnen, sollte die zuständige Datenschutzbehörde einen Verstoß gegen die Datenschutz-Grundverordnung (DSGVO) feststellen.

pbe
Die Wiedergabe wurde unterbrochen.