Datenleck bei Buchbinder

Im Rahmen eines Datenleckes bei der deutschen Autovermietung Buchbinder gelangten personenbezogene Daten von über 3.1 Millionen Kunden ins Netz.

Die Autovermietung Buchbinder agiert mit ihrem Netzwerk von über 5000 Niederlassungen verteilt auf über 100 Länder auf globaler Ebene. Vergangene Woche wurde bekannt, dass durch ein Datenleck Informationen von über 3,1 Millionen frei im Internet zugänglich waren. Die Deutsche Gesellschaft für Cybersicherheit unter Leitung von Matthias Nehls hatte die ungeschützte Datenbank im Rahmen eines Routinechecks identifiziert. 

Welche Daten landeten im Internet? 

Insgesamt wurden über fünf Millionen Datensätze an die Öffentlichkeit getragen. Darunter befinden sich Daten, die bis zu dem Jahr 2003 zurückreichen. Die personenbezogenen Daten, welche zugänglich wurden, setzen sich unter Anderem aus Vor- und Nachnamen, E-Mail Adresse, Telefonnummer, Adresse, Geburtsdatum und Kennzeichen zusammen.

Offenbar keine Kreditkarteninformationen im Netz

Doch auch Bankinformationen der Kunden sind offenbar betroffen, da diese eingescannten Rechnungen zu entnehmen war. Glücklicherweise beinhalteten diese keinerlei Kreditkarteninformationen oder weitere Daten, die Dritten den direkten Zugriff auf Bankkonten ermöglichen würde. 

Wer ist vom Buchbinder Datenleck betroffen? 

Doch es handelt sich nicht nur um Kundendaten, die beeinträchtigt wurden. Das Datenleck betrifft auch Passwörter von Buchbinder Mitarbeitern. Insgesamt 3.000 der 170.000 Passwörter waren in einfacher Textform zu lesen.

Auch bekannte Personen unter Betroffenen

Hinzu kommen sensible Daten zahlreicher Diplomaten, Polizeibeamten und Mitgliedern der Bundeswehr. Auch Politiker und Prominente, sowie der Präsident des Bundesamten für Sicherheit in der Informationstechnik (BSI), Arne Schönbohm, sind von dem Datenleck betroffen (vgl. bleepingcomputer.com, „Buchbinder Car Renter Exposes Info of Over 3 Million Customers“, 23.01.2020).

Kunden mehrerer Länder betroffen 

Ca. 2.5 Millionen der 3.1. Millionen betroffenen Kunden stammen aus Deutschland. In Österreich sind 400.000 Kunden betroffen. In der Slowakei, Italien und Ungarn trifft das Datenleck kollektiv ca. 114.000 Kunden. 

Datenleck inzwischen behoben 

Laut Angaben von Buchbinder wurde die Schwachstelle unmittelbar nach Bekanntwerden adressiert und geschlossen. Verantwortlich für Instandhaltung und Sicherheit der betroffenen Server war ein Vertragspartner der Buchbinder Rent-a-Car.

Wie kam es zum Zwischenfall?

Doch wie konnte es überhaupt dazu kommen, dass vertrauliche, personenbezogene Kundendaten im Netz landeten? Tatsächlich handelt es sich um Datenbackups der Autovermietung, welche über eine Schwachstelle der Server für jeden frei zugänglich wurden, der ausreichend Geduld für den Download des extensiven Datenpaketes aufgebracht hat.

DSGVO Verstoß? 

Experten zufolge muss sich das Unternehmen zukünftig aufgrund eines DSGVO Verstoßes verantworten. Dies betrifft nicht nur die Schwachstelle in der Serversicherheit, sondern auch die Tatsache, dass Passwörter unverschlüsselt, ein einfacher Textform abgelegt wurden.

Art. 32 DSGVO definiert, dass Unternehmen, welche mit personenbezogenen Daten arbeiten, dazu verpflichtet sind, entsprechende technische und organisatorische Maßnahmen (TOM) zu treffen, um die Sicherheit der Daten zu gewährleisten (vgl. bleepingcomputer.com). Inwieweit die IT-Infrastruktur unzureichend gesichert war, ist bislang noch unklar. Seit dem Jahr 2017 ist Buchbinder Teil der französischen Europcar Mobility Group.