Corona-Tracing in Restaurants: Datenleck bei Gastronovi aufgedeckt

Die digitale Gästeregistrierung des Softwareanbieters Gastronovi weist mehrere gravierende Sicherheitsmängel auf. Zu diesem Schluss kam eine Analyse des Chaos Computer Clubs (CCC) Deutschland, wie "Heise" berichtet. 180 Restaurants nutzen die Cloudlösung, um die Kontaktdaten ihrer Gäste während der Coronapandemie zu erfassen.

Den CCC-Experten sei es gelungen, auf 87'000 Einträge zuzugreifen. Und das ist nur der Anfang: "Im betroffenen System wurden nicht nur Corona-Listen, sondern auch Reservierungen, Bestellungen und Kassenumsätze gespeichert", heisst es im Bericht des CCC.

Insgesamt sei der Zugriff auf Daten von 4,8 Millionen Personen sowie über 5,4 Millionen Reservierungen möglich gewesen. Darunter fanden sich auch bis zu zehn Jahre alte Datensätze, die von den Gastrobetrieben nicht gelöscht worden seien.

Laut CCC habe die Web-App von Gastronovi die Zugriffsrechte der Benutzer im System nicht ausreichend geprüft, schreibt Heise weiter. Dadurch schafften es die CCC-Mitglieder im Handumdrehen, vollen Administrator-Zugriff zu erlangen und alle im System gespeicherten Daten abzugreifen. Da die Programmierschnittstelle (API) unzureichend gesichert war, hätten Restaurantbetreiber auch problemlos auf die Daten anderer Gastrobetriebe zugreifen können. Schliesslich berichtet der CCC auch noch von unverschlüsselten Passwörtern, die er über die API abrufen konnte.

CCC Schweiz: Pseudonym angeben oder nicht mehr hingehen

Wie oft die Gastronovi-Lösung hierzulande genutzt wird, ist nicht bekannt. Der Schweizer Chaos Computer Club hat jedoch "Spuren in die Schweiz" entdeckt. Die Cloudlösung gehört nämlich der Firma Transgourmet Deutschland; und deren Holding gehöre wiederum zu Coop, zitiert der CCC eine E-Mail auf Twitter.

"Es ist Gastrogästen - auch in der Schweiz - zu empfehlen, sich nur unter Pseudonym und einer speziell dafür eingerichteten E-Mail-Adresse erfassen zu lassen", ergänzt der Verein. So sei die Kontaktierbarkeit im Infektionsfall sicher gegeben. Auf den Einwand eines Twitterers, dass das Angeben eines falschen Namens in bestimmten Kantonen gesetzeswidrig sei, empfiehlt der Club, die Dienste des Betriebes nicht mehr in Anspruch zu nehmen.

Gastrobetrieben rät der CCC Deutschland davon ab, digitale Listen für die Erhebung von Corona-Daten zu nutzen, schreibt Heise. "Viele digitale Corona-Listen wurden mit der heissen Nadel gestrickt und machen schwer zu haltende Datenschutzversprechen. Die Sicherheit eines Papiersystems ist hingegen auch für Laien leicht zu beurteilen", lässt sich Sprecher Linus Neumann zitieren.

Schwachstellen mittlerweile behoben

In einem Blogbeitrag dankt Softwarehersteller Gastronovi derweil dem CCC "dafür, dass er uns auf diese Sicherheitslücken aufmerksam gemacht hat". Das Unternehmen betont, dass die Schwachstellen innerhalb von zwei Stunden nach der Analysebenachrichtigung geschlossen worden seien. Zudem sei das System auf eine eventuelle frühere Ausnutzung dieser Sicherheitslücken geprüft worden. "Das Ergebnis: Die Sicherheitslücken wurden ausschliesslich von den Hackern des CCC entdeckt. Die Daten unserer Kunden sowie die Daten deren Gäste wurden daher zu keinem Zeitpunkt unsachgemäss verwendet!"

Auch die Reservationslösung des Schweizer Anbieters Lunchgate hatte kürzlich mit Schwachstellen zu kämpfen, wie "Watson" schreibt. Auch hier hätte ein Angreifer die persönlichen Daten sämtlicher Gäste abrufen können. Mittlerweile sei auch diese Sicherheitslücke geschlossen, schreibt Watson weiter.

Im Mai veröffentlichte das FBI in Zusammenarbeit mit der Cybersecurity and Infrastructure Security Agency eine Liste der zehn gefährlichsten Sicherheitslücken. Hier erfahren Sie, welche das sind.