Zwei von drei Hotels fehlt es an Sicherheit für ihre Kundendaten

Zwei von drei Hotels sollen laut einer Untersuchung von Symantec  Kundendaten durchsickern lassen bzw. freiwillig Daten von Gästen für Dritte zugänglich machen. Dadurch wird es möglich, dass etwa eure Buchungsdaten für Werbetreibende und Marktforschungsunternehmen einsehbar sind. Die Transparenz ist dabei noch gering.

Theoretisch könnten die externen Unternehmen somit sogar eure Reservierung stornieren, wenn sie die entsprechenden Daten erspähen. Symantec stieß laut eigenen Aussagen durch Zufall auf dieses verbreitete Verhalten, als man 1.500 Hotel-Websites aus 54 Ländern untersuchte. 67 % der Hotels tratschten sensible Daten weiter. Das Problem ist dabei, dass die Sites einige Daten, wie Buchungs-Codes, mit anderen Firmen teilen – etwa Werbetreibenden und Marktforschungsunternehmen. Transparent angegeben war das jedoch so gut wie nie.

Damit werde laut Symantec in der EU auch die Datenschutz-Grundverordnung (DSGVO) verletzt. Das Problem erstrecke sich laut den Untersuchungen sowohl auf kleinere als auch auf größere Hotels und ganze Ketten. Während einige Hotels nur das Anreisedatum und einen numerischen Code weitergaben, reichte das Gros leider Informationen weiter, wie ihr sie etwa auf folgendem Screenshot seht.

Diese Daten sind zudem ein relativ leichtes Ziel für Angreifer: 57 % der Hotels bzw. Buchungs-Websites senden nämlich eine Bestätigungs-E-Mail an die Gäste, in der sich auch ein Link zu den Buchungsdaten findet. Das soll es für Gäste leichter machen, auf ihre Reservierungsdaten zuzugreifen, ohne sich einloggen zu müssen. Weil auf den gleichen Sites oft Werbung zu sehen ist, werden die Daten relativ breit zugänglich und leicht abgreifbar.

Das Problem ist, dass die statische URL eben für externe Dienstleister, Werbetreibende oder auch soziale Netzwerke leicht einsehbar wäre. Falls sich jemand für die genauen Umstände interessiert, empfiehlt sich dabei der Blick in den oben verlinkten Post des Symantec-Teams. Schwerwiegend sei laut den Sicherheitsexperten auch, dass die Buchungsdaten auch dann oft noch lange sichtbar sind, wenn die Reservierung gestrichen wurde. Dadurch ergebe sich für Angreifer ein langes Zeitfenster.

Etwas sicherer als die Hotel-eigenen Plattformen sind Vergleichs-Websites und Buchungs-Engines. Hier untersuchte Symantec fünf Dienste. „Nur“ zwei von ihnen ließen Daten durchsickern. Eine Plattform verschickte aber sogar den Buchungs-Login-Link ohne Verschlüsselung. Auch wenn man nun argumentieren könnte, dass die ganze Sache erst einmal kein großes Risiko sei, weil die Daten von den Hotels ja hauptsächlich an seriöse Unternehmen weitergereicht werden, absichtlich oder unabsichtlich, gibt es durchaus realistische Problemszenarien.

So könnten Angreifer sich potentiell einklinken, wenn der Link aus der unverschlüsselten E-Mail geöffnet wird. Das könnte etwa an öffentlichen Hotspots an Flughäfen oder im Hotel geschehen, wo so etwas naturgemäß häufiger der Fall sein dürfte. Und 29 % der Hotels verschicken die erste ID mit dem Link zu den Buchungsdaten unverschlüsselt. Grundsätzlich betrifft dieses Problem zudem nicht nur Hotels, sondern z. B. auch Fluggesellschaften.

Ganz ungefährlich ist das alles nicht, zumal in einigen Fällen manchmal Daten von Buchung zu Buchung übernommen wurden. Wenn ein Angreifer also dann die E-Mail-Adresse oder den Nachnamen eines Reisenden bereits kennt, wird es erleichtert, potentiell Zugriff auf dessen Reservierung zu erhalten. Für bestimmte Reisende, z. B. hochrangige Geschäftsleute oder Berühmtheiten, entstehen weitere Risiken. Potentiell lassen sich deren Trips nachvollziehen oder erkennen, wer mit ihnen reist. Kriminellen könnten die Daten auch den physischen Zugriff erleichtern – im schlimmsten Fall für ein Attentat oder eine Entführung.

Hingewiesen auf die Probleme und auch die Verstöße gegen die DSGVO reagierten viele Hotels gar nicht. Laut Symantec erhielt man etwa von einem Viertel der Verantwortlichen innerhalb von sechs Wochen keinerlei Rückmeldung. Bei den anderen dauerte es im Durchschnitt 10 Tage, bis eine Antwort erfolgte. Die Stellungnahmen waren aber meist enttäuschend. Das Gros bestätigte lediglich den Erhalt der Bedenken und versprach vage eine Überprüfung. Einige dementierten, dass Daten durchsickern könnten und verwiesen auf ein normales Teilen mit Werbetreibenden, was auch in den Hinweisen zum Datenschutz vermerkt sei.

Einige Hotels gaben zu, dass sie immer noch dabei seien ihre Systeme komplett konform zur DSGVO zu gestalten. Nur wenige Hotels nahmen die Bedenken ernst. Das waren in der Regel diejenigen, die externe Dienstleister für den Buchungsprozess nutzten. Sie wollten sich dann bei ihren Partnern beschweren. Hier wird aber auch deutlich, dass wohl seitens der Hotels nur unzureichend geprüft wurde, ob die Partner für die Buchungssysteme sich an die DSGVO halten.

Was könnte Abhilfe schaffen? HTTPS-Links und Methoden, die versichern, dass keine Buchungsdaten für die URL-Zuweisung genutzt werden. Anwender selbst können sich z. B. durch VPN-Verwendung etwas absichern. Möglich wäre es theoretisch auch, Hotels zu meiden, die mit derlei Sicherheitslücken aufwarten. In der Praxis dürfte das die Auswahl aber arg einschränken. Na ja, oder man müsste auf Offline-Buchungen zurückgreifen und sich Bestätigungen und Co. rein postalisch senden lassen. Ob das aber im Alltag immer möglich und praktisch ist, bleibt eine andere Frage.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

André Westphal

Hauptberuflich hilfsbereiter Technik-, Games- und Serien-Geek. Nebenbei Doc in Medienpädagogik und Möchtegern-Schriftsteller. Hofft heimlich eines Tages als Ghostbuster sein Geld zu verdienen oder zumindest das erste Proton Pack der Welt zu testen. Mit geheimniskrämerischem Konto auch bei Facebook zu finden. PayPal-Kaffeespende an den Autor.

Das könnte dir auch gefallen…

Mit dem Absenden eines Kommentars willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

Ein Kommentar

  1. Das macht booking.com auch so. Meine Freundin hat gebucht, sie schickt mir den Link weiter und ich könnte dann damit wieder stornieren. Jeder der die Mail lesen kann, der kann das ändern.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.
Wir benutzen Cookies um die Nutzerfreundlichkeit der Webseite zu verbessern. Durch Deinen Besuch stimmst Du dem zu.