Wegen Fehler im Netz
Riesenleck bei Autovermieter legt Politiker-Daten frei
22.01.2020
Berlin/Wien. Bei der deutschen Autovermietung Buchbinder waren laut Medienberichten wegen eines Fehlers in großem Stil Kundendaten im Netz zugänglich. Die rund fünf Millionen Dateien mit umfangreicher Firmenkorrespondenz enthielten u.a. eingescannte Rechnungen, Verträge, E-Mails sowie Schadensbilder von Autos, wie das Computermagazin "c't" und "Die Zeit" berichteten. Auch Kunden aus Österreich seien betroffen.
Unter den Kunden finde man beispielsweise zahlreiche Prominente aus Sport und Unterhaltung und Spitzenpolitiker mit Privatadresse, Handynummer und E-Mail-Adresse, berichtete "c't" am Mittwoch online. Darüber hinaus seien mehrere hundert Angehörige verschiedener Botschaften gelistet - nicht nur aus Deutschland und Österreich, sondern u.a. auch aus den USA, Russland, China, Saudi-Arabien oder auch Nord-Korea.
Daten zahlreicher Mitarbeiter von SPÖ, ÖVP und FPÖ offen
Betroffen sind demnach auch Mitarbeiter österreichischer Parteien und der Polizei. So hatte 2008 etwa ein Mitglied des "Einsatzkommando Cobra Süd" einen Wagen gemietet. "Der Fahrer ist mit Privatadresse auffindbar", sagte Hartmut Gieselmann, an den Recherchen beteiligter Journalist von "c't" zur APA. "Auch die Daten zahlreicher Mitarbeiter von SPÖ, ÖVP und FPÖ, die Autos gemietet haben, waren zugänglich." Insgesamt seien sensible Daten von mehr als 400.000 Mietern aus Österreich offen gelegen.
"Die Zeit" und "c't" informierten die zur Europcar-Gruppe gehörende Autovermietung am 20. Jänner über das Problem. "Sofort nach Kenntnisnahme des Sachverhalts haben wir unverzüglich die Schließung der entsprechenden Ports durch unseren mit der Betreuung und Absicherung der Server beauftragten Vertragspartner veranlasst", schrieb die zur Buchbinder-Gruppe gehörende Terstappen Autovermietung GmbH in einer von den Medien zitierten Reaktion.
Nach Erkenntnissen von "c't" und "Zeit" war ein Konfigurationsfehler in einem Backup-Server die Ursache. Theoretisch habe jeder Internet-Nutzer ohne Eingabe eines Passworts die Daten herunterladen können - man hätte dafür aber die exakte IP-Adresse kennen müssen oder das Netz nach ungesicherten Servern durchstöbern. Den Hinweis auf den offenen Server erhielten "c't" und "ZEIT" von einem IT-Sicherheitsexperten Matthias Nehls. Die APA hat bei Buchbinder um eine Stellungnahme angefragt.