Daten-Leak bei Autovermietung Buchbinder: 3 Millionen Kundendaten offen im Netz

Es ist wohl eines der größten Datenlecks in der Geschichte der Bundesrepublik: Persönliche Daten von drei Millionen Kunden der Autovermietung Buchbinder standen wochenlang ungeschützt im Netz, darunter Adressen und Telefonnummern von Prominenten und Politikern. Zugänglich waren außerdem Unfallberichte sowie Mails und Zugangsdaten von Mitarbeitern der Buchbinder-Gruppe. Das ergab eine gemeinsame Recherche vom IT-und Tech-Magazin c’t und der Wochenzeitung DIE ZEIT.

Buchbinder ist einer der größten deutschen Autovermieter. Den Hinweis auf den offenen Server erhielten c’t und DIE ZEIT von dem IT-Sicherheits-Experten Matthias Nehls. Dessen Firma »Deutsche Gesellschaft für Cybersicherheit« war bei Routine-Scans auf den offenen SMB-Port gestoßen. Nehls wandte sich zunächst zwei Mal per Mail an Buchbinder, erhielt nach eigenen Angaben jedoch keine Antwort. Daraufhin informierte der IT-Experte sowohl den zuständigen Landesdatenschutz-beauftragen in Bayern als auch c’t und DIE ZEIT.

Die zehn Terabyte an Daten enthielten über fünf Millionen Dateien mit umfangreicher Firmenkorrespondenz samt eingescannter Rechnungen, Verträge, Mails und Schadensbilder von Autos. In den neun Millionen Mietverträgen fanden sich neben den Namen der Mieter auch die der Fahrer, Adressen, Geburtsdaten, Führerscheinnummern und -ausstellungsdaten. Viele haben zudem Mobilfunknummern und E-Mail-Adressen angegeben. Kreditkartennummern fanden sich nicht in der Datenbank, wohl aber Zahlungsinformationen und Bankverbindungen auf PDF-Scans von Rechnungen. Zudem konnte man dem Augenschein nach auf die komplette MSSQL-Firmendatenbank ohne Passwortabfrage zugreifen.

c’t und DIE ZEIT informierten Buchbinder am 20. Januar über das Datenleck: »Sofort nach Kenntnisnahme des Sachverhalts haben wir unverzüglich die Schließung der entsprechenden Ports durch unseren mit der Betreuung und Absicherung der Server beauftragten Vertragspartner veranlasst«, schrieb die zur Buchbinder-Gruppe gehörende Terstappen Autovermietung GmbH. Aus juristischer Sicht ist ein derart offener Server ein geradezu katastrophaler Verstoß gegen die Vorgaben der DSGVO. Sollten die zuständige Aufsichtsbehörden einen Verstoß gegen die DSGVO feststellen, wäre ein sehr hohes Bußgeld fällig.

Wer wissen will, ob seine Informationen in der Datenbank gespeichert und von dem Leck betroffen sind, kann dies bei Buchbinder erfragen. c’t stellt dafür eine für private Zwecke kostenlos verwendbare Vorlage bereit.

Den vollständigen Artikel finden Sie bei c’t online: https://heise.de/-4643015.

 

190 Artikel zu „Datenleck“

Millionenschäden: Die Kosten eines Datenlecks

Best Practices der Data Security für Unternehmen. Cyberkriminelle haben es häufig auf lukrative Daten abgesehen – mit oft beträchtlichem finanziellem Schaden für das gehackte Unternehmen: In Deutschland kostet ein Datenverstoß eine Organisation durchschnittlich umgerechnet 4,32 Mio. Euro (4,78 Mio. US-Dollar), so das Ergebnis des aktuellen Cost of a Data Breach Report des Ponemon Institute und…

IT-Sicherheitsverantwortliche halten Datenlecks für unvermeidbar

Im Kampf gegen Cyberkriminalität sind vielen IT-Sicherheitsverantwortlichen und Chief Information Security Officern (CISOs) die Hände gebunden. Sie haben in ihren Unternehmen zu wenig Einfluss auf die Entscheidungen der Vorstandsebene und können Budgetwünsche nur bedingt durchsetzen. Das Problem: Unternehmen werden dadurch anfälliger für Cyberangriffe. Das ergibt eine weltweite Kaspersky-Studie [1] über die Rolle und Aufgaben von…

Cathay Pacific: Der Umgang mit dem Datenleck ist fast schlimmer als das Datenleck selbst

  Innerhalb weniger Wochen ist eine weitere Fluggesellschaft Opfer eines Cyberangriffs geworden: Nachdem im September etwa 380.000 Datensätze von British-Airways-Kunden entwendet wurden, meldet nun Cathay Pacific den Diebstahl von bis zu 9,4 Millionen Passagierdaten, inklusive Namen, Nationalitäten, Geburtsdaten, Telefonnummern, E-Mail-Adressen, Adressen sowie Pass- beziehungsweise Ausweisnummern. Immerhin wurden im Bereich der Zahlungsmittel »nur« Nummern von 403…

Report zur IT-Sicherheit: Rekordhöhe an Datenlecks und Schwachstellen in 2016

Anstieg der Cyberkriminalität in 2016 durch Nutzung unstrukturierter Daten. Spam als Verbreitungsweg für Ransomware steigt um 400 Prozent an. Finanzsektor erneut beliebtes Angriffsziel. Investitionen in Schutzmaßnahmen lohnen sich.   IBM Security hat die Ergebnisse des IBM X-Force Threat Intelligence Index 2017 veröffentlicht. Der Report analysiert IT-Sicherheitsdaten von rund 8.000 IBM-Kunden in mehr als 100 Ländern…

Gefahr von Datenlecks gerade zum Jahreswechsel: Vollständige Datenvernichtung fast unmöglich

Der Jahreswechsel wird in vielen Unternehmen zum Anlass genommen, PCs und Laptops auszutauschen und den Mitarbeitern neue Geräte zur Verfügung zu stellen. Die ausrangierten Exemplare werden an den Hersteller oder das Systemhaus zurückgesendet oder an eigene Mitarbeiter weitergegeben. Was dabei oft zu kurz kommt, falsch durchgeführt oder gar vergessen wird, ist die korrekte Datenlöschung der…

GDPR: Unternehmen erkennen Datenlecks viel zu spät

44 Prozent der Unternehmen sind nicht in der Lage, Datenschutzverletzungen innerhalb von 72 Stunden zu erkennen und zu melden. Das ergab der aktuelle CSI-Report [1]. Diese Meldefrist tritt jedoch mit der neuen Datenschutz-Grundverordnung (General Data Protection Regulation) in Kraft und gilt für Mitgliedsstaaten der EU. Bei Verstoß riskieren sie Strafen in Höhe von bis zu…

Studie: Weltweit steigende Kosten bei Datenlecks

Eine Datenpanne kostet Unternehmen im Schnitt bis zu vier Millionen US-Dollar. Weltweite Steigerung von 29 Prozent seit 2013. Rund 3,61 Millionen Euro fallen pro Datenleck in Deutschland an. Der Verlust oder Diebstahl von kritischen Daten kostet Unternehmen weltweit Millionen. Eine einzige Datenpanne schlägt im Schnitt mit bis zu vier Millionen US-Dollar zu Buche – eine…

Tragbares Datenleck: Viele Smartphones sind potenzielle Datenbomben

Erst kürzlich haben Forscher der Universität Cambridge im Rahmen einer Studie [1] herausgefunden, dass mehr als 500 Millionen Android-Smartphones tickende Datenbomben sind. Denn selbst nach einem Reset auf die Werkseinstellungen lassen sich bei diesen Geräten noch persönliche Daten wiederherstellen. Betroffen sind dabei nahezu die Hälfte (48,8 %) aller Android-Smartphones auf dem Markt, denn diese laufen…

Vielfalt in der Cybersicherheit: ein strategisches Muss

In einer Zeit, in der sich der IT-Markt in einem tiefgreifenden Wandel befindet (Aufkauf europäischer Technologien durch amerikanische Unternehmen, Angst vor der Entstehung von Monopolen, insbesondere in den Bereichen Cloud und Daten usw.), ist Umsicht wichtiger denn je. Diese Marktentwicklung kann insofern problematisch sein, als Monopole die Freiheit der Nutzer einschränken, indem sie deren Wahlmöglichkeiten…

Fünf Trends schrauben die Anforderungen an das Krisenmanagement weiter nach oben

Welche Entwicklungen werden im Jahr 2020 die Krisen- und Notfallmanager von Unternehmen vor neue Herausforderungen stellen?  Die Anforderungen an das Krisenmanagement von Unternehmen sind bereits von jeher hoch. Da die Grenzen zwischen der virtuellen und physischen Welt zunehmend verschwimmen, sind Unternehmen wie auch Behörden zusätzlich gefordert. Sie müssen die richtigen Werkzeuge einsetzen und proaktiv planen,…

Fünf IT-Trends im neuen Jahrzehnt

Die Zukunft beginnt jetzt. Künstliche Intelligenz, Automatisierung und Container-Technologien wurden im aktuellen Jahrzehnt Standard in der IT-Landschaft vieler Unternehmen. Auch im neuen Jahrzehnt bleibt die Digitalisierung treibende Kraft für zahlreiche Entwicklungen. Fünf Experten von Micro Focus geben einen Ausblick auf die Trends, die das erste Jahr im neuen Jahrzehnt gestalten werden:   Digitale Transformation der…

24 Millionen Deutsche haben schlaflose Nächte

Über ein Viertel der Bevölkerung in Deutschland hat Probleme beim Einschlafen, wenn sie vor dem Schlafengehen zu viel Zeit mit dem Handy verbringen. Je jünger der Nutzer, desto seltener legt er das Smartphone weg und leidet unter Schlafstörungen. Das blaue Licht des Displays steht unter dem Verdacht, das Schlafhormon Melatonin zu reduzieren.   Mehr als…