Tracing in RestaurantsHacker legen Kundendaten von Corona-Listen offen
Wegen eines Sicherheitslecks konnte ein Hacking-Team auf digitale Corona-Listen von Gastrobetrieben zugreifen. Auch Schweizer Unternehmen nutzen die Systeme des betroffenen Anbieters.
Aufgrund der Corona-Pandemie sind Restaurants in vielen Kantonen derzeit verpflichtet, die Kontaktdaten von Gästen aufzunehmen: Sei es auf einem Blatt Papier oder digital.
KEYSTONEDarum gehts
- Eine Hackergruppe hatte in Deutschland auf digitale Corona-Gästelisten Zugriff.
- Dies, weil der entsprechende Cloud-Anbieter Sicherheitslücken aufwies.
- Der entsprechende Cloud-Anbieter gehört zu einer Coop-Tochtergesellschaft.
- Allfällige Sicherheitslücken seien nun wieder geschlossen worden, heisst es.
Aufgrund der Corona-Pandemie sind Restaurants in vielen Kantonen derzeit verpflichtet, die Kontaktdaten von Gästen aufzunehmen. Zuletzt hat etwa der Kanton Zürich seine Richtlinien dahingehend verschärft. Die Daten können auf einem Blatt Papier oder digital aufgenommen werden. So können die Gastronomen die Datenerfassung mithilfe einer Cloud-Software unkompliziert gestalten.
Nun haben jedoch Mitglieder des Chaos Computer Club (CCC, siehe unten) in Deutschland mehrere Schwachstellen im Cloud-System des Anbieters Gastronovi entdeckt. Das Unternehmen bietet unter anderem Kassensysteme für Gastrobetriebe an. Die Software der Firma wickelt nach eigenen Angaben jeden Monat 600’000 Reservierungen ab und verarbeitet 96 Millionen Euro an Restaurantumsätzen – auch in der Schweiz gehören Restaurants und Hotels zu den Kunden, wie den Referenzen auf der Unternehmenshomepage zu entnehmen ist.
Wie der CCC in einer Mitteilung schreibt, konnten über mehrere Schwachstellen im System die Daten von 5,4 Millionen Reservierungen und mehr als 87’000 Corona-Kontakterhebungen von 180 Restaurants abgegriffen werden. Die Hacker hätten «erstaunt festgestellt», dass die Daten von Reservierungen teilweise über zehn Jahre alt gewesen seien.
Gravierende Sicherheitslücken
Wie es in der Mitteilung vom Freitag weiter heisst, konnten die Hacker durch eine fehlerhafte Prüfung der Zugriffsrechte im Handumdrehen administrativen Vollzugriff auf sämtliche im System gespeicherte Daten erlangen. Auch unzureichend geschützte Passwörter konnten die Hacker einsehen – teilweise nicht verschlüsselt, sondern im Klartext.
Das birgt laut dem CCC auch ausserhalb des Cloud-Systems der Gastrobetriebe Gefahren, weil Nutzer oft dazu neigten, das gleiche Passwort für mehrere Accounts zu verwenden. Triviale Passwörter wie «1234» würden zudem auf das Fehlen einer angemessenen Passwortrichtlinie hindeuten.
Der Chaos Computer Club
Der 1981 gegründete Chaos Computer Club befasst sich mit Sicherheits- und Datenschutzaspekten der Technologie im deutschsprachigen Raum. Der gemeinnützige Verein hat circa 5000 Mitglieder. Die Mitglieder analysieren auf eigene Initiative immer wieder die Angebote und Systeme von verschiedenen Unternehmen und Organisationen. Im Fokus steht dabei stets, Nutzer vor potenziellen Sicherheitslücken in Systemen zu schützen. Jährlich veranstaltet die Organisation zudem den Chaos Communication Congress, an dem auch internationale Gäste teilnehmen.
«Lücken waren eklatant»
Sophie Bertsch vom CCC, welche die Systeme von Gastronovi überprüft hat, sagte gegenüber der ARD: «Ein Teil der Lücken war so eklatant, dass jeder Nutzer das hätte herausfinden können.» Die digitale Corona-Kontaktverfolgung hält sie für problematisch: «Als die Gastronomie wieder geöffnet wurde, wurden hier schnell gestrickte Lösungen eingeführt, die nicht dem Stand der Technik entsprechen.»
Laut Tagesschau.de hat Gastronovi auf Anfrage bestätigt, dass die Systeme anfällig gewesen seien. Es habe sich um «Sicherheitsschwachstellen» gehandelt, diese seien zwischenzeitlich geschlossen. Gastronovi erklärte zudem, dass «kein unautorisierter Zugriff» auf die Daten stattgefunden habe.
Cloud-Anbieter gehört zu Coop-Untergruppe
Auch in der Schweiz nutzen Gastronomiebetriebe für ihre Administration die Lösungen von Gastronovi. Das Unternehmen ist Teil der Transgourmet Holding, welche wiederum der Coop-Genossenschaft gehört, schreibt der Schweizer Ableger von CCC auf Twitter.
Coop-Mediensprecher Patrick Häfliger sagt auf Anfrage von 20 Minuten: «Das Angebot von Gastronovi ist sicher. IT-Spezialisten haben die Systeme geprüft, allfällige Sicherheitslücken wurden geschlossen.» Wie viele Schweizer Firmen die Angebote von Gastronovi nutzen und im Zuge der Corona-Krise Kundendaten in der Cloud einlagern, sagt Häfliger nicht.
Das empfiehlt der CCC bei den Corona-Listen
Der Chaos Computer Club rät laut der Mitteilung grundsätzlich von digitalen Corona-Listen ab – erst recht, wenn diese Daten in einer Cloud gespeichert werden statt im Restaurant. Stattdessen empfiehlt der CCC folgendes Tracking-System:
- Jede Besucherin oder Gruppe erhält einen gesonderten Zettel zur Erfassung, damit nicht die Daten anderer Gäste eingesehen werden können.
- Der ausgefüllte Zettel wird in einen verschlossenen Briefkasten geworfen, um ihn dort vor neugierigen Blicken zu schützen.
- Dieser wird am Ende des Tages in einen Umschlag geleert, welcher mit dem Datum des erfassten Tages beschriftet und versiegelt wird.
- Die versiegelten Umschläge werden an einem sicheren Ort aufbewahrt.
- Täglich wird ein Umschlag sicher vernichtet, dessen Frist abgelaufen ist – und ein neuer kommt hinzu.