DEMOKRATISCH – LINKS

                      KRITISCHE INTERNET-ZEITUNG

RENTENANGST

CCC hackt Corona

Erstellt von DL-Redaktion am Sonntag 30. August 2020

Kontaktlisten aus beliebter Restaurantsoftware

Zeichnung: Jens Spahn sagt "Hartz 4 bedeutet nicht Armut"; in seiner Hand ein Bündel Scheine (Monatsgehalt), im Hintergrund sind Dienstwagen und freies Zugfahren angedeutet.

Spahn – Jonglierer mit fünf Finger

Quelle       :    Netzpolitik. ORG

Von Markus Reuter

Erst griff die Polizei auf die Listen in Restaurants zurück und jetzt haben Hacker:innen die digitale Form solcher Listen gehackt. Gefunden haben sie auch Reservierungen von Spitzenpolitikern wie Gesundheitsminister Jens Spahn.

Mitglieder des Chaos Computer Clubs (CCC) haben mehrere Schwachstellen bei Gastronovi entdeckt, einem Cloud-System für gastronomische Betriebe. Laut dem CCC seien in Corona-Listen und Reservierungen mehrere Millionen sensible Datensätze einsehbar gewesen. Vor der Veröffentlichung hat der CCC die Softwarefirma kontaktiert, damit diese die Lücken schließen konnte.

Herausgekommen war die Sicherheitslücke nach einem gemeinsamen Restaurantbesuch von Mitgliedern des CCC, nachdem diese sich in eine digitale „Corona-Liste“ eintragen sollten. Die vollmundigen Sicherheitsversprechen hätten den Argwohn der Hacker:innen erregt, heißt es in der Pressemitteilung.

87.000 Corona-Kontakte und fast 5 Millionen Personendatensätze

Verschiedene Schwachstellen ermöglichten den Zugriff auf insgesamt 87.313 Corona-Kontakterhebungen von 180 Restaurants, die das System aktiv nutzten. Im betroffenen System wurden jedoch nicht nur Corona-Kontaktlisten, sondern auch Reservierungen, Bestellungen und Kassenumsätze gespeichert. Gastronovi wirbt damit, monatlich über 96 Millionen Euro Umsatz von 7,7 Millionen Kund:innen sowie 600.000 Reservierungen über das System abzuwickeln. Laut der Referenzen zählen unter anderem die Berliner Filiale des Hofbräu München und das luxuriöse Carlton Hotel in St. Moritz zu den Kund:innen der Firma.

Persönliche Daten von Besucher:innen werden vor allem bei Reservierungen und Corona-Registrierungen erfasst. Hier konnte der CCC insgesamt Zugriff auf 4,8 Millionen Personendatensätze aus über 5,4 Millionen Reservierungen erlangen. Dabei reichten die dort vorliegenden Daten fast zehn Jahre zurück. Gastronovi versteht sich als „Auftragsverarbeiter“. Das heißt, dass die Verantwortung zur Löschung bei den Gastronom:innen liegen soll. Das Unternehmen bestätigte eine Sicherheitslücke in einem Blog-Eintrag auf seiner Website, eine Presseanfrage von netzpolitik.org am frühen Freitagmorgen blieb bislang unbeantwortet.

Update: Gastronovi hat netzpolitik.org am Freitagnachmittag ein Statement (PDF) geschickt.

Gastronovi gibt an, den Vorfall den Datenschutzbehörden gemeldet zu haben. Zwei Stunden, nachdem der CCC das Unternehmen über die Sicherheitslücke informiert habe, sei diese geschlossen worden. Weiter schreibt Gastronovi auf seiner Website: „Die Sicherheitslücken wurden ausschließlich von den Hackern des CCC entdeckt. Die Daten unserer Kunden sowie die Daten deren Gäste wurden daher zu keinem Zeitpunkt unsachgemäß verwendet!“ Zum Ausmaß des Datenlecks verliert die Firma indes kein Wort.

Gesundheitsminister Spahn auch in den Daten

Unter den betroffenen Personen sind auch Spitzenpolitiker, berichtet tagesschau.de. So seien unter anderem Reservierungen der Büros von Gesundheitsminister Jens Spahn und SPD-Generalsekretär Lars Klingbeil in den Daten aufgetaucht.

Bei der Überprüfung der Software fielen den Hacker:innen gleich mehrere Schwachstellen auf. So konnte durch eine fehlerhafte Prüfung der Zugriffsrechte administrativer Vollzugriff auf sämtliche im System gespeicherten Daten erlangt werden. Andere Fehler in einer Programmierschnittstelle (API) ermöglichten Nutzer:innen auch ohne besondere Rechte den Zugriff auf schützenswerte Daten. So konnte zum Beispiel Restaurant A auf die Corona-Daten von Restaurant B zugreifen, schreibt der CCC.

Zudem waren die Passwörter unzureichend geschützt, sie konnten mittels einfacher API-Abfrage abgerufen werden. Teilweise waren die Passwörter im Klartext verfügbar. Für neuere Accounts sei „immerhin eine zeitgemäße Hashing-Methode verwendet“ worden. Dennoch hätten in einer Stichprobe über 25 Prozent der Passwörter aus ihren Hashes geborgen werden können. Triviale Passwörter wie „1234“ deuteten auf das Fehlen einer angemessenen Passwortrichtlinie hin, etwa im Hinblick auf Mindestlänge und Komplexität.

CCC rät vom Eintragen in digitale Listen ab

„Viele digitale Corona-Listen wurden mit der heißen Nadel gestrickt und machen schwer zu haltende Datenschutzversprechen“, sagt CCC-Sprecher Linus Neumann. Etablierte Cloud-Services hätten bestehende Systeme oft nur hastig „umfunktioniert“, statt sich spezifisch mit den Sicherheits- und Datenschutzanforderungen des Contact-Tracings auseinanderzusetzen. „Die sensiblen Daten landen dann nicht etwa beim Restaurant, sondern auf einem großen Haufen irgendwo im Internet, wo sie die nächsten Jahre auf interessierte Hacker:innen warten.“

Vorstellung der Plakatkampagne Henriette Reker zur Oberbürgermeisterinnen-Wahl 2020 -0392.jpg

Endlich: Das Schweigen der Maulwürfe

Der CCC rät davon ab, sich in digitale Listen einzutragen. Auch bei papierbasierter Erfassung empfiehlt der CCC das Einrichten einer gesonderten pseudonymen E-Mail-Adresse nur für diesen Zweck. Viele kostenlose Dienstanbieter ermöglichen zum Beispiel eine Weiterleitung von eingehenden Nachrichten an die eigentliche E-Mail-Adresse. Fünfzehn Minuten Aufwand gewährleisten Datensparsamkeit ohne das Risiko, eine wichtige Warnung zu verpassen.

Vom Gesetzgeber erwartet sich der CCC eine klare gesetzliche Regelung, um das Vertrauen der Bürger:innen nicht zu verspielen. Hierbei kritisiert der Club auch die Nutzung der Corona-Kontaktlisten aus Restaurants für polizeiliche Ermittlungen.

Lizenz: Die von uns verfassten Inhalte stehen, soweit nicht anders vermerkt, unter der Lizenz Creative Commons BY-NC-SA 4.0.

————————————————————————

Grafikquellen      :

Oben     —         Twitter    –  Darth Wutze (@HuWutze)     Wikimedia – Commons

——————————-

Unten     —      Vorstellung der Plakatkampagne Henriette Reker zur Oberbürgermeisterinnen-Wahl 2020 . Zwei Monate vor der Oberbürgermeisterinnenwahl am 13. September 2020 stellte Henriette Reker am 20. Juli 2020 gemeinsam mit Katrin Göring-Eckardt und Jens Spahn ihre Plakatkampagne vor. Ort: Dresenhofweg, nordwestlich von Köln-Blumenberg. Hier soll in den nächsten Jahren der Stadtteil Kreuzfeld entstehen. Foto: Ankunft Jens Spahn, Bundesminister für Gesundheit, in Mercedes-Limousine mit Personenschützern. Begrüßung durch Henriette Reker, Oberbürgermeisterin von Köln

Kommentar schreiben

XHTML: Sie können diese Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>