Tracing von Infektionsketten:Hacker konnten Corona-Kontaktdaten aus 180 Restaurants einsehen

Kellner mit Mund- und Nasenschutzmaske trägt auf der Alte n Brücke in Würzburg ein Tablett mit vollen Weingläsern zu den

Das neuartige Coronavirus ist eine Herausforderung für die Gastronomie.

(Foto: imago images/Ralph Peters)

Der Chaos Computer Club fand eine Schwachstelle bei einem Software-Anbieter für Gastronomen - und hatte Zugriff auf Millionen Daten von Restaurantgästen. Er empfiehlt statt Computertechnik Stift und Papier.

Von Jannis Brühl

Wenn Hacker essen gehen, kann das Überraschendes zutage fördern. Mitglieder des Chaos Computer Clubs (CCC), des großen deutschen Hacker-Vereins, waren bei einem Restaurantbesuch misstrauisch geworden, nachdem sie Namen und Kontaktdaten digital hinterlegen mussten. Behörden versuchen anhand dieser Daten Covid-19-Infektionsketten zurückzuverfolgen. Die Corona-Verordnungen verpflichten Gastronomen, sie zu erfassen. Aber wie sicher werden die Daten aufbewahrt?

Die Hacker setzten sich an ihre Computer und fanden schwere Sicherheitslücken in der Cloud-Software, mit der 180 Restaurants Reservierungen und andere Daten verwalten. Der Fall wirft ein schlechtes Licht auf den Datenschutz der Covid-19-Kontakterfassung. Die Cloud ist von überall aus zugänglich und wird vom Unternehmen Gastronovi aus Bremen angeboten. Nach eigenen Angaben verarbeiten seine Systeme jeden Monat im Schnitt 600 000 Reservierungen. In der Covid-19-Pandemie wirbt das Unternehmen damit, die eigene Software könne "die Daten Ihrer Gäste 100% datenschutzkonform" speichern.

Die Hacker konnten nicht nur auf die Daten eines Lokals zugreifen

Über die Benutzerschnittstelle konnten sich die Hacker einfach Zugriff auf die Daten verschaffen, und zwar nicht nur die aus einem Restaurant. Wer im System sei, könne auch auf die Daten aller anderen Restaurants zugreifen, heißt es in einer Mitteilung des CCC, der 87 000 Corona-Kontakterhebungen fand.

Außerdem konnten die Hacker Reservierungen Wildfremder stornieren.

Auch Passwörter ließen sich demnach unbefugt auslesen, einige sogar im Klartext - in der IT-Sicherheit eine Sünde: "Triviale Passwörter wie 1234 deuteten auf das Fehlen einer angemessenen Passwortrichtlinie hin", hieß es. Man kann davon ausgehen, dass Gastronovi nur eines von vielen Unternehmen ist, die Passwörter ungenügend schützen. Das ist besonders heikel, weil viele Menschen Passwörter mehrfach verwenden. Schlechter Schutz einer Plattform gefährdet deshalb auch Nutzerkonten bei anderen Diensten.

Wie es sich für ethisch saubere Hacker gehört, informierte der CCC zuerst das Unternehmen, bevor er den Fall öffentlich machte - sonst hätten Kriminelle die Sicherheitslücken ausnutzen können. Andreas Jonderko, Geschäftsführer Gastronovi Deutschland, erklärte: Man habe "umgehend reagiert und die gefundenen Sicherheitslücken innerhalb weniger Stunden nach Erhalt des Berichts durch den CCC geschlossen". Betroffene Gastronomen seien informiert worden. Johannes Caspar, Datenschutzbeauftragter des Landes Hamburg, äußerte sich zur Frage nach der Verantwortung: "Für die Einhaltung der Datenschutzvorschriften sind die Gaststättenbetriebe als Auftraggeber verantwortlich. Das betrifft auch die Löschung der Daten, soweit keine anderweitigen Vereinbarungen mit dem Auftragnehmer getroffen wurden."

Die Kontaktdaten, die gegen die Verbreitung von Covid-19 helfen sollen, waren nicht die einzigen Infos, an die der CCC leicht herankam: "Im betroffenen System wurden jedoch nicht nur Corona-Listen, sondern auch Reservierungen, Bestellungen und Kassenumsätze gespeichert" - insgesamt 4,8 Millionen Datensätze, vorwiegend aus Deutschland. Dem CCC zufolge reichen die Reservierungs-Daten sogar ein Jahrzehnt zurück. Covid-19-Kontaktdaten müssen in vielen Bundesländern, darunter Bayern, nach vier Wochen gelöscht werden. Vor allem die lange Speicherung kritisierte der Bundesdatenschutzbeauftragte Ulrich Kelber: "Es ist inakzeptabel, dass nicht mehr benötigte Daten nicht gelöscht werden. Nicht jeder trifft sich einfach mal nur mit einem Kumpel." Whistleblower und Mandanten von Anwälten könnten gefährdet sein. Der Hamburger Datenschützer Caspar erklärte, dass Daten zwar bis zu zehn Jahren gespeichert werden könnten - aber nur zu Abrechnungszwecken.

Der CCC hat einen Tipp für Gäste, die mit digitalen Corona-Listen konfrontiert werden: Sie sollten eine E-Mail-Adresse einrichten, die sie ausschließlich für die Kontaktverfolgung nutzen. Gibt man seine Haupt-E-Mail-Adresse an,könnten Hacker oder Stalker sie missbrauchen. CCC-Sprecher Linus Neumann sagt: "Viele digitale Corona-Listen wurden mit der heißen Nadel gestrickt und machen schwer zu haltende Datenschutzversprechen. Die Sicherheit eines Papiersystems ist hingegen auch für Laien leicht zu beurteilen." Der CCC empfiehlt deshalb, jeder Besuchergruppe einen eigenen Zettel auszuhändigen. Die ausgefüllten Zettel eines Tages sollten dann jeweils in einem Umschlag sicher gelagert werden. Jeden Tag solle der Gastronom einen Umschlag vernichten, dessen Löschfrist abgelaufen sei. So machten die Hacker es auch in ihren eigenen "Hackspaces", wo sie sich zum Tüfteln treffen.

Zur SZ-Startseite
Seibert zu Corona-Warn-App

Covid-19
:Was nutzt die Corona-Warn-App?

Die Software galt als große Hoffnung im Kampf gegen die Pandemie. Doch wie viele positive Testergebnisse werden darüber tatsächlich gemeldet und viele Menschen gewarnt? Die Behörden sagen: Wir wissen es nicht.

Lesen Sie mehr zum Thema

Jetzt entdecken

Gutscheine: