Corona-Listen: Daten von Restaurantbesuchen waren durch Sicherheitslücken einsehbar

Das sind schlechte Nachrichten, die der Chaos Computer Club (CCC) überbringt. Mitglieder des CCC haben laut eigener Aussagen mehrere Schwachstellen in einem weit verbreiteten Cloud-System für gastronomische Betriebe entdeckt und gemeldet. Was man dort fand? Unter anderem sogenannten Corona-Listen und Reservierungen, die für Gastro-Unternehmen derzeit ja verpflichtend sind. Allerdings handelte es sich nicht nur um aktuelle Daten, die aktuell seit der wieder erlaubten Öffnung der Betriebe gesammelt werden. In Corona-Listen und Reservierungen waren mehrere Millionen sensible Datensätze einsehbar. Der Datenbestand reichte bis zu zehn Jahre zurück. Verschiedene Schwachstellen ermöglichten laut CCC den Zugriff auf insgesamt 87.313 Corona-Kontakterhebungen – also Personendaten –  von 180 Restaurants, die das System aktiv nutzten. Durch Lücken sei es auch möglich gewesen, Bestellungen für andere Personen auszulösen.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

caschy

Hallo, ich bin Carsten! Ich bin gelernter IT-Systemelektroniker und habe das Blog 2005 gegründet. Seit 2008 ist es Beruf(ung). Baujahr 1977, Dortmunder im Norden, BVB-Fan und Vater eines Sohnes. Auch zu finden bei LinkedIn, Twitter, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

30 Kommentare

  1. Und dann wollen Sie mit der elektronischen Patientenakte an den Start gehen. Sehe es schon jetzt bei uns mit der Telematik Infrastruktur. Hauptsache schon Strafzahlungen durchsetzen wollen, aber noch nicht einmal geeignete Lösungen für Krankenhäuser anbieten. Jetzt skaliert man die Arztpraxen Variante einfach und in den nächsten Monaten wird eine Lösung für größere Bedürfnisse vorgestellt.

    Ein Hoch auf diese Karnevalsvereine.

    • Steckt auch bestimmt der gleiche Entwickler dahinter….

      Die Lösungen für die Gastronomie waren Schnellschussentwicklungen, dass es hierbei solche Probleme geben kann und wird war doch zu erwarten.

      • Das Corona-Modul war vielleicht eine „Schnellschussentwicklung“, aber den Dienst als solches gab es schon deutlich länger, schließlich waren Reservierungsdaten von bis vor 10 Jahren betroffen.
        Die Schwachstellen lassen sich also nicht einfach damit abtun, dass man schnell etwas auf die Beine stellen musste und man deswegen nicht so sauber gearbeitet hat, wie man es eigentlich hätte tun sollen.

  2. Habe ich heute Morgen auch schon in den Nachrichten gehört. Ehrlich gesagt wundert mich das nicht. Mit den Daten wurde bereits seitens der Polizei Schindluder getrieben:

    https://www.tagesschau.de/inland/corona-gaestelisten-polizei-103.html

    Und wie die Betreiber der Gaststätten mit den Listen umgehen, ist auch irre. Meist kann ich auf den Listen beim Eintragen selber sehen, wer alles so da war und mir sämtliche Daten abschauen.

    Mich ärgert so etwas. Da ist man in einer absoluten Ausnahmesituation, in der wir alle die Backen zusammenkneifen müssen, damit wir gemeinsam durch diese Situation kommen. Und dann werden die Daten vom Staat zweckentfremdet, die Betreiber gehen nicht sorgsam mit den Daten um und nun wird auch noch der IT-Prozess so dilettantisch aufgesetzt. Da kann ich die Leute schon verstehen, wenn sie die Bereitschaft verlieren, die Maßnahmen entsprechend durchzuhalten.

    Oder, wie einer vom Ordnungsamt kürzlich erwähnt hat: auf der Liste eines vollen Lokals waren fünf Einträge, zwei davon Donald Duck und Batman. Ach was…

    • Das mit der Polizei überrascht mich überhaupt nicht. Wenn Daten vorhanden sind und Behörden darauf Zugriff haben, werden sie auch genutzt.

    • Schindluder ist für mich wirklich was anderes. Wenn die Polizei für polizeiliche Arbeit auf diese Daten zugreift, habe ich damit überhaupt kein Problem, und es ist auch nicht nachzuvollziehen und vor allem dem normalen Bürger auch nicht schlüssig darzulegen, warum es da Beschränkungen und damit auch schlicht Behinderungen der Polizeiarbeit geben sollte.

      • Schindluder ist per Definition eine Bezeichnung für den Missbrauch einer Sache. Die Daten, die im Rahmen des Infektionsschutzgesetzes erhoben werden, sind gemäß mehrerer Gesetze auf deutscher und europäischer Ebene zweckbezogen. D.h. auch wenn der Kaiser von China (voll wichtig!) 2000 Kinder (ach wie unschuldig…) damit retten könnte, ist eine Verwendung der Daten für andere Zwecke als den der Erhebung unzulässig und damit nicht rechtens ergo missbräuchlich. Das sieht zum Glück u.a. auch das Innenministerium in BW so.

  3. Bei mir steht auch nach wie vor Kevin Söder wohnhaft in Narnia. Und wenn ich das hier lese, hab ich ja alles richtig gemacht.

    • Ja, ganz genau. Hast du. *ironie off*
      Wenn sowieso keiner seine echten Daten einträgt, wozu dann das ganze Drama? Tja, Idioten gibt es eh überall.

      • Das ganze Drama hat wenigstens zwei Gründe. Einerseits das mit dem tatsächlichen contact tracing im Falle einer Infektion und andererseits sind politische Prozesse darauf angewiesen in ihren Entscheidungen fortwährend Legitimation zu stiften. Man kann also nicht von jedem beliebigen Zustand zu einem anderen beliebigen Zustand wechseln ohne Gefahr zu laufen unglaubwürdig zu wirken. Jede Form der Lockerung wird deshalb vorsichtshalber mit irgendeinem Verhaltensgebot verknüpft welches mitwirkt die Lockerung zu rechtfertigen ohne das bisherige Verbot zu delegitimieren.

        … Ist auch nicht zynisch gemeint. Legitimität ist super wichtig, selbst wenn es bloß Theater wäre.

    • Höre auch von vielen das die nicht die echte Daten beim Restaurantbesuch eintragen und wenn ich so auf die Listen schaue (sind fast überall locker einsehbar ) so sind die Infos auch noch total unleserlich.

  4. Ich denke du solltest dir andere Formen des Protestes suchen. Wenn auf den Listen ungültige Kontaktdaten stehen, funktionieren sie logischerweise nicht zur Nachverfolgung von Infektionsketten, wodurch im schlimmsten Fall Menschen sterben können.

    • Wenn man vom schlimmsten Fall ausgeht, sollte niemand seine vier Wände verlassen dürfen, denn im schlimmsten Fall kann jeder einen Unfall auslösen etc. und auch dann wird es keine 100% Sicherheit geben! So lange sich Politiker selber nicht an geltende Regeln halten gibt es für Bürger keinen Grund dies zu tun!

  5. Ich checke eh in den Restaurants mit Swarm ein, daher ist mir das eigentlich egal, da ja dort lediglich meine Adresse mit Telefonnummer steht, die jeder im Telefonbuch nachlesen kann. Ärgerlich, aber ich sehe die Brisanz nicht.

  6. Handelt es sich bei dem Anbieter um gastronovi?
    Ich mache mir Sorgen, dass das Ordnungsamt bei Tandeki meine Batcave leaken könnte.

  7. Gebe auch immer Fakedaten an. Wer weiß was die mit meinen Daten machen. Geht niemanden was an wo ich was gegessen habe.

    • Doch geht es im Falle von Corona, damit man Infektionsketten effetkiv vermeiden kann. Ein wenig mehr soziales Verständnis täte uns allen ganz gut.

      Die Schindluderei der Polizei mit den Daten und dieser Datenleck sind unschöne Nebeneffekte, aber sollte die Sache an sich hier nicht verderben. Konsequent sollte man als Rechtsstaat diese Datenlecks trocken legen, aber an der Sache an sich festhalten.

      Wenn sie keine Lust auf den Datensammelei haben, dann gehen sie nicht auswärts essen.

      • Oder – plot twist – er geht weiter normal essen und trägt halt was falsches ein. …ich glaube jedenfalls nicht, dass sich jemand von einem moralisierenden Internetkommentar davon abhalten lässt, insbesondere wenn der keines der Probleme aus der Welt schafft.

        Die Polizei wird die Daten weiter nutzen können und es wird weiter mit den Daten umgegangen werden als gäbe es so etwas wie Datenschutz gar nicht. Wieso? Weil Leute denen Datenschutz wichtig ist da eh nichts sensibles eintragen und die anderen, die da ihre richtigen Daten eintragen sind zu verschreckt um sich zu beschweren, wenn man sie mit ihren Daten über den Tisch zieht.

    • Mega und dann wird Thomas Müller benachrichtigt, dass jemand mit Corona zeitgleich im Rstaurant war und Hendrik erfährt nichts davon und teilt Corona weiter mit allen Menschen in seiner Umgebung.

      • therealThomas says:

        Teilen ist doch was schönes!

        /s

        • drei, zwei, eins Massenmord. Hendrik der Vollstrecker. Es besteht eine sehr geringe Chance größer Null, dass Hendrik aus dem Beispiel am Ende mehr Tote zu verantworten hat als Hitler.

          Können wir das riskieren? Ich sage nein! 😀

  8. @Caschy: Normalerweise wird bei Sicherheitslücken bei euch auch das entsprechende Unternehmen genannt, in diesem Fall Gastronovi. Die Überschrift in der Form erweckt auf den ersten Blick den Eindruck, es handele sich um alle Corona-Listen, dabei sind ja nicht die Listen an sich das Problem, sondern der Umgang von einzelnen Firmen damit. Es gibt sicher auch Restaurants und Dienstleister, die das besser handhaben.

  9. Die Lösung ist Papier zu verwenden. Papier ist sicher, schnell und bequem. Und selbst ein Datenleck ist dann nicht sonderlich schlimm, falls mal wer die Adresse von den Leute davor sieht. Stattdessen dient IT oft dem Selbstzweck der Umsatzgenerierung, dann kommen so Sachen wie Smartwatches als Uhren, Apple Pay statt ein Zwei-Euro-Stück und Gästedaten in der Cloud heraus.

    Im Privaten:
    Wenn ich die Uhrzeit wissen möchte, ist eine Smartwatch falsch. Die braucht ständig ein USB Kabel, und Software und Updates und die Batterie stirbt nach drei Jahren.
    In der Politik:
    Lasst uns doch mal irgendwelche Computer mit Windows „Fachanwendung“ kaufen, Tablets mit iOS für Schüler oder eine Cloud von Google anschaffen. Dann sind wir modern! Und dabei lassen wir uns noch auf Jahrzehnte festnageln.
    In Geschäftsfeld:
    Coronalisten in die Cloud! Das nehmen wir…

    Zunächst sollte man wissen was man wie erreichen will und dann kann man eine Lösung anstreben.

    [bong]
    > Wenn sie keine Lust auf den Datensammelei haben, dann gehen sie nicht auswärts essen.

    Lieferando amüsiert das.

    • Papier ist schon deshalb keine Lösung, weil sie eine haptische ist. Bei einer Pandemie, die sich über Schmier- und Tröpfcheninfektion verbreitet, ist eine digitale und damit kontaktlose Lösung daher durchaus ein probateres Mittel zur Zielerreichung als die beleghafte. Zudem bedeutet die schlechte Umsetzung nicht per se, dass eine Lösung falsch ist. Man sollte sie nur in der Folge richtig oder zumindest sorgfältiger umsetzen.

      • Das ist übrigens alles bloß hörensagen. Nichts davon ist belegt.

        Das ist wie die Legende vom gefährlichen Bargeld, die alle nachplappern.

  10. Ein Grund warum ich nur Fake Daten eintrage.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.