Der Autovermieter Buchbinder im Daten-Dilemma

Daten von Kunden des Autovermieters Buchbinder waren im Internet für geraume Zeit frei einsehbar, von sage und schreibe zehn Terabytes Daten war die Rede.

Die Datenbank umfasste unter anderem vollständige Adressen und Telefonnummern, zu denen auch die von bekannten Politikern, aber auch von Polizisten und Verfassungsschützern gehören. Zudem konnte jeder, der wollte, Unfallberichte einsehen sowie die Mail-Korrespondenzen und Zugangsdaten von Buchbinder-Mitarbeitern. Da stellt sich berechtigterweise die Frage, wie so etwas passieren konnte.

Sicherheitsexperten hatten eine Warnung formuliert

Glaubt man den Medien, so hat schon 2019 ein Sicherheitsforscher auf Missstände aufmerksam gemacht. Matthias Nehls, so war zu lesen, hatte einen Konfigurationsfehler registriert und das Unternehmen aus Regensburg darauf hingewiesen. Doch bei Buchbinder reagierte niemand. So stand der Port 445 über Tage und Wochen offen, und das Netzwerkprotokoll SMB war ungeschützt Zugriffen ausgesetzt. Wer es darauf anlegte, konnte ohne Passwort vom Buchbinder-Server sensible Daten downloaden. Das war selbst für technische Laien ein Kinderspiel: Es genügte vollkommen, im eigenen Windows-Explorer die Server-IP-Adresse einzugeben, schon vollzog sich der Datentransfer, vorausgesetzt es stand beim „Datendieb“ genügend Speicher zur Verfügung.

Über drei Millionen Datenstämme von Kunden ungeschützt im Netz

Dem Experten Nehls genügten einfache Checks, um die Lecks zu offenbaren. Da das Unternehmen auf seine Hinweise nicht einging, schaltete der IT-Kenner sowohl den bayerischen Landesdatenschutz sowie ausgewählte Medien ein.

Die fraglichen Backups betrafen über fünf Millionen Dateien zu 3,1 Millionen Kunden aus neun Millionen Mietverträgen der Jahre ab 2003. Dazu gehörten Angaben wie Name, Adresse, Geburtsdatum, Daten zum Führerschein, Mobilfunknummern, Zahlungsinformationen von Kreditkarten und auch E-Mail-Adressen. Die Kunden kommen aus Deutschland und der ganzen Welt. Unter ihnen auch viele Prominente. Mit nur ein wenig Aufwand war es möglich, in den Kundendaten gezielt nach Mietern mit sensiblen Arbeitgebern, von Bundesministerien oder Botschaften zu suchen – also ein Horrorszenario für Datenschützer. Aber nicht nur das erschreckte: Auch die Passwörter von Buchbinder-Angestellten sowie geschäftlich verbundenen Firmenpartnern waren unverschlüsselt einsehbar. Ebenso sensible Details zu Unfällen mit medizinischen Infos, beispielsweise zu Blutuntersuchungen von Unfallfahrern.

Krimineller Zugriff nicht ausgeschlossen

Mit der Erkenntnis des Datenlecks stand Experte Nehls allerdings nicht allein. Auch Shodan.io, eine Datenleck-Suchmaschine, hatte den Daten-Lapsus bei Buchbinder schnell aufgedeckt. Daher besteht der begründete Verdacht, dass findige Übeltäter im Zeitraum des Datenlecks Zugang zu den Daten des größten deutschen und österreichischen Privat-Autovermieters hatten und sich dort nach Lust und Laune bedient haben könnten. Buchbinder gehört seit 2017 zum Europcar-Konzern und nutzt angemietete Cloud-Rechner der Kölner Plusserver GmbH. Bei dem Autovermieter werden nun alle Signale auf Alarm stehen. Es ist nicht bekannt, wer außer den Cybersheriffs noch Zugang auf die Millionen an Kundendaten hatte. Vielleicht haben sich Wettbewerber aus erster Hand über den Konkurrenten informiert? Datendiebe könnten sich mit erbeuteten Mitarbeiterdaten in die Unternehmensstruktur einschleichen. Erpressungen sind möglich. Oder eine groß angelegte Phishing-Attacke auf alle Buchbinderkunden, um diese zu Zahlungen zu verleiten. Was aber noch schwerer wiegt, ist der enorme Verlust an Vertrauen, der treue Buchbinder-Kunden sicher ebenso zum Nachdenken anregen wird, wie potenzielle Kunden.

Das hat mit Datenschutz im Sinne der DSGVO nichts zu tun

Ausdrücklicher als im Buchbinder-Fall kann man kaum gegen die DSGVO verstoßen. Daher wäre alles andere als ein Millionen Euro schweres Bußgeld verwunderlich, nachdem sich die Datenschutzbehörden mit der Causa Buchbinder befasst haben. Einen zusätzlichen Grund für ein kerniges Bußgeld liefert zudem die Tatsache, dass besonders sensible Daten nach Art. 9 DSGVO unzureichend geschützt waren. Der außergewöhnlich lange Speicherzeitraum wirft ebenfalls Fragen auf. Auch Schadenersatzforderungen stehen im Raum. Die ganze Affäre ist also noch längst nicht auf ihrem Höhepunkt angekommen. Neben dem ideellen Schadengehen Experten davon aus, dass ein Bußgeld sich in einer Größenordnung von bis zu 60 Millionen Euro bewegen könnte.