Massive Sicherheitslücke bei Hotels und Jugendherbergen
von André Westphal | 12 Kommentare
Aktuell sorgt eine massive Sicherheitslücke im Bereich der Hotel-Software für Aufruhr. Durch einen recht simplen Fehler ließen sich Millionen von Buchungsdaten aus den letzten 10 Jahren abrufen. Betroffen gewesen ist davon die Software SIHOT.WEB bzw. SIHOT.GO!. Unbefugte konnten sich leicht Zugriff auf die Reservierungs- und Gästedaten im System verschaffen. Betroffen gewesen sind neben der Kette Motel One unter anderem auch die DJH-Jugendherbergen in Mecklenburg-Vorpommern, Rheinland-Pfalz und dem Saarland, die Arbeiterwohlfahrtstochter AWO SANO, der DeHoGa-Campus und eine Reihe von Hotelketten mit Namen wie Fidelis und GSH.
Laut dem Portal Zerforschung geht es um schätzungsweise 35,5 Mio. Reservierungen und 48,5 Mio. Gästeprofile. Betroffen sind auch Gästeprofile von z. B. Spitzenpolitikern. Abrufbar gewesen sind neben dem Namen der Gäste auch teilweise deren Ausweisdaten und die Kreditkartendetails. Auch Privatadressen der Gäste sind einsehbar gewesen. Immerhin: Anhaltspunkte auf die tatsächliche Ausnutzung der Sicherheitslücken, sieht man von den Forschern ab, welche sie entdeckt haben, gibt es bislang noch nicht, so erklären es etwa die Jugendherbergen und Motel One.
Kriminelle hätten aber ohne viel Aufwand ein wahres Festmahl an Daten abgreifen können. Auch Telefonnummern, Buchungszeiträume, Sonderwünsche der Gäste und mehr waren mit überschaubarem Aufwand einsehbar. Es konnten zum Teil gar Buchungen nachvollzogen werden, die schon mehr als 20 Jahre zurückliegen. Geschlampt hatte hier offenbar der Anbieter der Buchungssoftware, die Gubse AG. Letzterer zuckt bisher wohl eher mit den Schultern. Sicherheitsforscher kritisieren das Unternehmen hingegen scharf und werfen der Gubse AG bewusste Nachlässigkeit vor. Es seien alte und bekannte Schwachstellen in der Webanwendung nie geschlossen worden.
Gubse AG spielt die Probleme herunter
Die verantwortliche Gubse AG scheint eher genervt abzuwinken, anstatt das eigene Vorgehen zu reflektieren. So erklärt das Unternehmen, zur Ausnutzung der Lücke seien tiefgehende technische Kenntnisse erforderlich gewesen. Das Unternehmen sieht vermutlich sein Image in Gefahr, denn auf der eigenen Website wirbt man pikanterweise mit „höchster Datensicherheit“. Die sei laut Zerforschung aber keinesfalls gegeben gewesen. Wenige Klicks hätten ausgereicht, um an Millionen von Gästedaten zu gelangen.
Inzwischen sind die Sicherheitslücken geschlossen worden. Zudem hat man die zuständigen Datenschutzbehörden pflichtgemäß alarmiert. Was bleibt, ist natürlich wieder mal ein bitterer Beigeschmack: Wenn es um Kundendaten geht, scheinen viele Unternehmen nach außen hin mit Datensicherheit zu werben, intern dann aber so wenig wie möglich zu machen, weil die Prioritäten doch anderswo liegen – Leidtragende sind im Zweifelsfall die Nutzer.
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Wird geladen ...
Auf welcher Rechtsgrundlage wohl zwanzig Jahre alte Buchungsdaten aufbewahrt werden?
Das dachte ich mir auch….allein schon dass die Daten länger als bis zur ggfs weiteren Belastung der Kreditkarte im System bleiben verschließt sich meiner Erklärung.
Das ist mit DATEV, einer Software für Steuerberater für Kanzleien, die die Buchhaltung von KMU erledigen, schnell erklärt: Hier gibt es keine zentrale Retention Policy, die automatisiert alle Daten älter als 14 Jahre löscht. Hier muss die Kanzlei einzeln pro Mandat = KMU mühsam manuell von Hand löschen. Die Zeit hat aber kaum eine Kanzlei heutzutage. Solch eine Policy wird DATEV auch nicht anbieten, weil DATEV nicht die Daten der KMU löschen darf. Auch nicht mit Rechtsgrundlage. Da geht DATEV auf Nummer sicher. Auch Lohnabrechnungen älter als 14 Jahre löscht DATEV nicht automatisiert, sondern berechnet den Kanzleien die Mülldaten auch noch. Auch hier muss man manuell von Hand löschen.
Thema ist allerdings ein ziemlich unbekanntes Buchungsprogramm, bei dem es weder gesetzliche noch irgendeine andere Grundlage für solche Aufbewahrungszeiträume dieser Daten gibt.
Wäre die SW für rechtsicher vorgeschriebene Dokumentation gemacht, gäbe es wohl so ein Problem nicht; dieses ungeschützte Sammelsurium verschiedenster Daten ist aber ganz einfach nur ein Skandal, vorschnelle Rechtfertigungsnebelkerzen hin oder her.
Wenn irgendwas für den Zweck ungeeignet ist, sollte man unabhängig vom Preis die Finger davon lassen, oder Konsequenzen bzgl. Mitschuld tragen.
Ich bin hauptsächlich beruflich in Hotels, oft in den selben. Finde das schon sehr angenehm, wenn die alle Daten von mir parat haben, auch z.B. was für ein Zimmer ich gerne hätte.
Nachvollziehbar, aber dein vorheriger Besuch war ja sicher nicht 10-20 Jahre (je nach Löschfrist) her, oder?
Den Komfort würdest du ja ohnehin nicht verlieren.
Sind eventuell die Strafen für solch ein leichtsinniges Verhalten zu gering?
Unternehmen, die Daten einfach weiter speichern und verarbeiten, obwohl sie laut DSGVO gelöscht werden müssen, drohen Geldbußen von bis zu 20 Mio. Euro oder bis zu 4% des weltweiten Jahresumsatzes des Vorjahres, je nachdem, welcher Betrag höher ist. Das ist schon relevant, vor allem, weil damit auch Verarbeitungsverbote einhergehen können. Und das musst Du Dir nur vorstellen, was das für Hotels und Jugendherbergen bedeutet, wenn sie über eine gewisse Zeit keine Kundendaten mehr verarbeiten dürfen, weil ihr System als unzureichend geprüft wurde.
Dennoch: unseren täglichen Sicherheitsvorfall gib und heute! Es ist zum Mäusemelken (komischer Spruch…).
Diese Lücke setzte aber voraus, dass die Daten zentral beim Softwareanbieter in der Cloud gespeichert sind? Oder jeweils bei allen? Hotels in deren Cloud und dann bei allen? aus dem Internet erreichbar? Weil: innerhalb des jeweiligen Hotels wäre der „Skandal“ dann wohl eine Nummer kleiner?
Im übrigen kenne ich von solchen Übernachtungsanbietern nur ASSD und eine andere Software (deren Name mir gerade nicht einfällt); von der im Artikel genannten und deren Anbieter habe ich noch nie gehört.
„Die verantwortliche Gubse AG scheint eher genervt abzuwinken…“
Mit Erfahrungen in der Software-Branche kann ich sagen: Kunden reagieren sehr sensibel auf empfundene Bevormundung oder mangelnde Wertschätzung. Das Ding wird für Gubse ein Bumerang, wenn es geht.
Da fehlt jetzt noch ein Mitarbeiter, der mit „Aaaach, mal wieder so Spinner mit ihrem konstruierten Quatsch. Alles sicher!“ lapidar abwinkt, dann nimmt das seinen Lauf.
Welche rechtlichen Möglichkeiten hat man denn da so als Betroffener? Hier sind ja gleich mehrere Sachen, die nicht so ganz in Ordnung sind: Fristen von Datenaufbewahrung weit überschritten, wichtige persönliche Daten verloren gegangen.
hinsichtlich verlorene Daten hat man als Außenstehender gar keine Chance, weil die einfach behaupten werden. Es sind gar keine Daten abgeflossen.
Hinsichtlich der Speicherung der Daten kannst du hingehen und schlicht fordern, dass alle Daten, die ohne zwingende Rechtsgrundlage gespeichert werden, gelöscht werden sollen. Dieses Rechtergibt sich aus der Datenschutz Grundverordnung