Server-Leck Nach Buchbinder-Datenpanne Auskunft verlangen

Hannover · Wegen eines fehlerhaft konfigurierten Servers waren Millionen Kundendaten der Autovermietung Buchbinder über das Internet aufrufbar. Sind Betroffene nun in Gefahr?

 Nach der Datenpanne bei Buchbinder dürften die Aufsichtsbehörden das Unternehmen verpflichten, betroffene Kunden zu Informieren - darauf muss aber niemand warten. Foto: Felix Kästle/dpa/dpa-tmn

Nach der Datenpanne bei Buchbinder dürften die Aufsichtsbehörden das Unternehmen verpflichten, betroffene Kunden zu Informieren - darauf muss aber niemand warten. Foto: Felix Kästle/dpa/dpa-tmn

Foto: Felix Kästle

Über eine zeitweise offen per Internet zugängliche Datenbank der Autovermietung Buchbinder könnten unzählige persönliche Kundendaten in falsche Hände gelangt sein. Die betroffenen Daten reichten bis ins Jahr 2003 zurück, wie das Fachmagazin „c't“ erklärt.

Es hatte gemeinsam mit der Wochenzeitung „Die Zeit“ zuerst über den Vorfall berichtet. Beide waren von einer IT-Sicherheitsfirma über das Leck informiert worden.

In der Datenbank fanden sich neben Namen, Adressen, Handynummern, Geburts-, Führerschein- und Zahlungsdaten auch Verträge, Rechnungen, E-Mails, Auto-Schadensfotos und -infos sowie Passwörter im Klartext - und das allein von 2,5 Millionen aus Deutschland stammenden Kunden. Dazu zählen nicht nur Kunden, die direkt bei Buchbinder reserviert haben, sondern auch solche von Vergleichsportalen und Vermittlern, die oft nicht wissen, dass sie ein Buchbinder-Fahrzeug gefahren sind.

Proaktiv Daten-Selbstauskunft einholen

Die „c't“ schätzt das Missbrauchspotenzial dieser Daten und der ebenfalls entdeckten Firmeninterna und -korrespondenz als hoch ein. Sollte die zuständige Aufsichtsbehörden einen Verstoß gegen die Datenschutzgrundverordnung (DSGVO) feststellen, wäre ein Bußgeld in erheblicher Höhe fällig. Zudem gehen die Experten davon aus, das Buchbinder die die betroffenen Kunden dann auch informieren muss.

Wer darauf nicht warten möchte, kann sofort seinen grundsätzlichen Auskunftsanspruch nutzen und detaillierte Informationen über die zu seiner Person gespeicherten Daten bei Buchbinder anfordern. Ein entsprechendes Musterschreiben hat die „c't“ online gestellt.

Auf der Hut vor Phishing-Mails sein

Immerhin: Kreditkartennummern haben die Experten in den Daten nicht gefunden. Wohl aber eingescannte Rechnungen mit Kontoverbindungen und Zahlungsinformationen. Betroffene sollten deshalb vor Trickbetrügern auf der Hut sein, die gezielte Phishing-Mails verschicken und darin unter Bezug auf Mietwagenbuchungen auffordern, auf einen Link zu klicken, um neue Zahlungsinformationen zu hinterlegen.

Wer ein Online-Konto bei Buchbinder hat, läuft Gefahr, dass seine Anmeldeinformationen samt E-Mail-Adresse und Passwort veröffentlicht wurden. Deshalb sollten solche Passwörter geändert werden. Auch hier warnen die Experten vor Phishing-Mails, die ebenso über Links zur Eingabe neuer Passwörter auffordern.

Bewegungsmuster und Unfalldaten

Zu jedem Kunden ist den Angaben zufolge in der Datenbank auch vermerkt, wann und wo er einen Wagen abgeholt und wann und wo er ihn wieder zurückgebracht hat - inklusive gefahrener Kilometer. Für gewisse Dauerkunden könne das kritisch sein, weil sich so grobe Bewegungsmuster erstellen ließen.

Die in den Daten gefundene Unfalldatenbank reicht laut „c't“ bis ins Jahr 2006 zurück und umfasst 500 000 Crashs oder Schäden. Vermerkt seien nicht nur die Fahrerinformationen, sondern zuweilen auch die Namen, Adressen, Telefonnummern von Unfallgegnern sowie Zeugen.

BSI hält Folgen für kaum abschätzbar

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bezeichnet die möglichen Folgen des Buchbinder-Datenlecks für „kaum abschätzbar“. Noch Jahre danach könnten Spam- und Phishingwellen oder andere Formen von Identitätsdiebstahl die Folge sein. Auf seinen Internetseiten erklärt das BSI, wie man sich vor Identitätsdiebstahl schützt - und was Betroffene tun können.

(dpa)
Meistgelesen
Neueste Artikel
Zum Thema
Aus dem Ressort