Covid-19

CCC hackt Corona-Kontaktlisten aus beliebter Restaurantsoftware

Erst griff die Polizei auf die Listen in Restaurants zurück und jetzt haben Hacker:innen die digitale Form solcher Listen gehackt. Gefunden haben sie auch Reservierungen von Spitzenpolitikern wie Gesundheitsminister Jens Spahn.

Barmann mit Computer
Cloud-basierte Gastro-Systeme sind immer weiter verbreitet. (Symbolbild) Gemeinfrei-ähnlich freigegeben durch unsplash.com Nathan Dumlao

Mitglieder des Chaos Computer Clubs (CCC) haben mehrere Schwachstellen bei Gastronovi entdeckt, einem Cloud-System für gastronomische Betriebe. Laut dem CCC seien in Corona-Listen und Reservierungen mehrere Millionen sensible Datensätze einsehbar gewesen. Vor der Veröffentlichung hat der CCC die Softwarefirma kontaktiert, damit diese die Lücken schließen konnte.

Herausgekommen war die Sicherheitslücke nach einem gemeinsamen Restaurantbesuch von Mitgliedern des CCC, nachdem diese sich in eine digitale „Corona-Liste“ eintragen sollten. Die vollmundigen Sicherheitsversprechen hätten den Argwohn der Hacker:innen erregt, heißt es in der Pressemitteilung.

87.000 Corona-Kontakte und fast 5 Millionen Personendatensätze

Verschiedene Schwachstellen ermöglichten den Zugriff auf insgesamt 87.313 Corona-Kontakterhebungen von 180 Restaurants, die das System aktiv nutzten. Im betroffenen System wurden jedoch nicht nur Corona-Kontaktlisten, sondern auch Reservierungen, Bestellungen und Kassenumsätze gespeichert. Gastronovi wirbt damit, monatlich über 96 Millionen Euro Umsatz von 7,7 Millionen Kund:innen sowie 600.000 Reservierungen über das System abzuwickeln. Laut der Referenzen zählen unter anderem die Berliner Filiale des Hofbräu München und das luxuriöse Carlton Hotel in St. Moritz zu den Kund:innen der Firma.

Persönliche Daten von Besucher:innen werden vor allem bei Reservierungen und Corona-Registrierungen erfasst. Hier konnte der CCC insgesamt Zugriff auf 4,8 Millionen Personendatensätze aus über 5,4 Millionen Reservierungen erlangen. Dabei reichten die dort vorliegenden Daten fast zehn Jahre zurück. Gastronovi versteht sich als „Auftragsverarbeiter“. Das heißt, dass die Verantwortung zur Löschung bei den Gastronom:innen liegen soll. Das Unternehmen bestätigte eine Sicherheitslücke in einem Blog-Eintrag auf seiner Website, eine Presseanfrage von netzpolitik.org am frühen Freitagmorgen blieb bislang unbeantwortet.

Update: Gastronovi hat netzpolitik.org am Freitagnachmittag ein Statement (PDF) geschickt.

Gastronovi gibt an, den Vorfall den Datenschutzbehörden gemeldet zu haben. Zwei Stunden, nachdem der CCC das Unternehmen über die Sicherheitslücke informiert habe, sei diese geschlossen worden. Weiter schreibt Gastronovi auf seiner Website: „Die Sicherheitslücken wurden ausschließlich von den Hackern des CCC entdeckt. Die Daten unserer Kunden sowie die Daten deren Gäste wurden daher zu keinem Zeitpunkt unsachgemäß verwendet!“ Zum Ausmaß des Datenlecks verliert die Firma indes kein Wort.

Gesundheitsminister Spahn auch in den Daten

Unter den betroffenen Personen sind auch Spitzenpolitiker, berichtet tagesschau.de. So seien unter anderem Reservierungen der Büros von Gesundheitsminister Jens Spahn und SPD-Generalsekretär Lars Klingbeil in den Daten aufgetaucht.

Bei der Überprüfung der Software fielen den Hacker:innen gleich mehrere Schwachstellen auf. So konnte durch eine fehlerhafte Prüfung der Zugriffsrechte administrativer Vollzugriff auf sämtliche im System gespeicherten Daten erlangt werden. Andere Fehler in einer Programmierschnittstelle (API) ermöglichten Nutzer:innen auch ohne besondere Rechte den Zugriff auf schützenswerte Daten. So konnte zum Beispiel Restaurant A auf die Corona-Daten von Restaurant B zugreifen, schreibt der CCC.

Zudem waren die Passwörter unzureichend geschützt, sie konnten mittels einfacher API-Abfrage abgerufen werden. Teilweise waren die Passwörter im Klartext verfügbar. Für neuere Accounts sei „immerhin eine zeitgemäße Hashing-Methode verwendet“ worden. Dennoch hätten in einer Stichprobe über 25 Prozent der Passwörter aus ihren Hashes geborgen werden können. Triviale Passwörter wie „1234“ deuteten auf das Fehlen einer angemessenen Passwortrichtlinie hin, etwa im Hinblick auf Mindestlänge und Komplexität.

CCC rät vom Eintragen in digitale Listen ab

„Viele digitale Corona-Listen wurden mit der heißen Nadel gestrickt und machen schwer zu haltende Datenschutzversprechen“, sagt CCC-Sprecher Linus Neumann. Etablierte Cloud-Services hätten bestehende Systeme oft nur hastig „umfunktioniert“, statt sich spezifisch mit den Sicherheits- und Datenschutzanforderungen des Contact-Tracings auseinanderzusetzen. „Die sensiblen Daten landen dann nicht etwa beim Restaurant, sondern auf einem großen Haufen irgendwo im Internet, wo sie die nächsten Jahre auf interessierte Hacker:innen warten.“

Der CCC rät davon ab, sich in digitale Listen einzutragen. Auch bei papierbasierter Erfassung empfiehlt der CCC das Einrichten einer gesonderten pseudonymen E-Mail-Adresse nur für diesen Zweck. Viele kostenlose Dienstanbieter ermöglichen zum Beispiel eine Weiterleitung von eingehenden Nachrichten an die eigentliche E-Mail-Adresse. Fünfzehn Minuten Aufwand gewährleisten Datensparsamkeit ohne das Risiko, eine wichtige Warnung zu verpassen.

Vom Gesetzgeber erwartet sich der CCC eine klare gesetzliche Regelung, um das Vertrauen der Bürger:innen nicht zu verspielen. Hierbei kritisiert der Club auch die Nutzung der Corona-Kontaktlisten aus Restaurants für polizeiliche Ermittlungen.

2 Ergänzungen
  1. Die spezielle glaubwürdige E-Mail kann man sehr leicht mit Realdaten von Restaurants einrichten und dann auch gleich in zu neugierigen Listen verwenden. ;)

  2. Betroffene können ggf. Schadenersatz nach DSGVO geltend machen – entweder direkt, via Anwalt oder über Dienstleister.

    [Anm. der Moderation: Wir haben hier einen Link herausgenommen, weil er auf einen kommerziellen Anbieter führte.]

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.