Daten-Leak bei Autovermietung Buchbinder:
3 Millionen Kundendaten offen im Netz

Hannover, 22. Januar 2020 – Es ist wohl eines der größten Datenlecks in der Geschichte der Bundesrepublik: Persönliche Daten von drei Millionen Kunden der Autovermietung Buchbinder standen wochenlang ungeschützt im Netz, darunter Adressen und Telefonnummern von Prominenten und Politikern. Zugänglich waren außerdem Unfallberichte sowie Mails und Zugangsdaten von Mitarbeitern der Buchbinder-Gruppe. Das ergab eine gemeinsame Recherche von Europas größtem IT-und Tech-Magazin c’t und der Wochenzeitung DIE ZEIT.

Buchbinder ist einer der größten deutschen Autovermieter. Den Hinweis auf den offenen Server erhielten c’t und DIE ZEIT von dem IT-Sicherheits-Experten Matthias Nehls. Dessen Firma „Deutsche Gesellschaft für Cybersicherheit“ war bei Routine-Scans auf den offenen SMB-Port gestoßen. Nehls wandte sich zunächst zwei Mal per Mail an Buchbinder, erhielt nach eigenen Angaben jedoch keine Antwort. Daraufhin informierte der IT-Experte sowohl den zuständigen Landesdatenschutz-beauftragen in Bayern als auch c’t und DIE ZEIT.

Die zehn Terabyte an Daten enthielten über fünf Millionen Dateien mit umfangreicher Firmenkorrespondenz samt eingescannter Rechnungen, Verträge, Mails und Schadensbilder von Autos. In den neun Millionen Mietverträgen fanden sich neben den Namen der Mieter auch die der Fahrer, Adressen, Geburtsdaten, Führerscheinnummern und -ausstellungsdaten. Viele haben zudem Mobilfunknummern und E-Mail-Adressen angegeben. Kreditkartennummern fanden sich nicht in der Datenbank, wohl aber Zahlungsinformationen und Bankverbindungen auf PDF-Scans von Rechnungen. Zudem konnte man dem Augenschein nach auf die komplette MSSQL-Firmendatenbank ohne Passwortabfrage zugreifen.

c’t und DIE ZEIT informierten Buchbinder am 20. Januar über das Datenleck: „Sofort nach Kenntnisnahme des Sachverhalts haben wir unverzüglich die Schließung der entsprechenden Ports durch unseren mit der Betreuung und Absicherung der Server beauftragten Vertragspartner veranlasst“, schrieb die zur Buchbinder-Gruppe gehörende Terstappen Autovermietung GmbH. Aus juristischer Sicht ist ein derart offener Server ein geradezu katastrophaler Verstoß gegen die Vorgaben der DSGVO. Sollten die zuständige Aufsichtsbehörden einen Verstoß gegen die DSGVO feststellen, wäre ein sehr hohes Bußgeld fällig.

Wer wissen will, ob seine Informationen in der Datenbank gespeichert und von dem Leck betroffen sind, kann dies bei Buchbinder erfragen. c’t stellt dafür eine für private Zwecke kostenlos verwendbare Vorlage bereit.

Für die Redaktionen: Den vollständigen Artikel finden Sie bei c’t online: https://heise.de/-4643015.