Autovermietung Buchbinder mit gigantischem Datenleck

Kaum bekannt geworden, war gleich die Rede vom größten Datenleck in der Geschichte der Bundesrepublik. Zehn Terabyte an Kundendaten der Autovermietung Buchbinder waren im Januar über Wochen frei zugänglich im Internet abrufbar.

Die Datenbank umfasste unter anderem vollständige Adressen und Telefonnummern, zu denen auch die von bekannten Politikern, aber auch von Polizisten und Verfassungsschützern gehören. Zudem konnte jeder, der wollte, Unfallberichte einsehen sowie die Mail-Korrespondenzen und Zugangsdaten von Buchbinder-Mitarbeitern. Wie hatte es überhaupt zu diesem Daten-GAU kommen können?

Warnhinweis vom IT-Sicherheitsexperten

Eigentlich war es vorhersehbar: Wenn die Berichterstattung in den Medien korrekt ist, hatte bereits Ende 2019 der IT-Sicherheitsforscher Matthias Nehls den Autoverleih aus Regensburg in zwei E-Mails vor einer offenen Netzwerkstelle bei einem Backup-Server, verursacht von einem Konfigurationsfehler, gewarnt. Doch bei Buchbinder reagierte niemand. So stand der Port 445 über Tage und Wochen offen und das Netzwerkprotokoll SMB war ungeschützt Zugriffen ausgesetzt. Wer es darauf anlegte, konnte ohne Passwort vom Buchbinder-Server sensible Daten downloaden. Das war selbst für technische Laien ein Kinderspiel: Wer die IP-Adresse des Servers im Windows-Datei-Explorer eingab, brauchte lediglich Geduld und Festplatten mit ausreichender Kapazität.

Frei zugängliche Daten von 3,1 Millionen Kunden

Nehls war bei Routinescans auf das Datenleck gestoßen. Als er auf seine Mails keine Antwort erhielt, wandte sich der Sicherheitsexperte an den Landesdatenschutzbeauftragten in Bayern sowie an die Medien. Die fraglichen Backups betrafen über fünf Millionen Dateien zu 3,1 Millionen Kunden aus neun Millionen Mietverträgen der Jahre ab 2003. Dazu gehörten Angaben wie Name, Adresse, Geburtsdatum, Daten zum Führerschein, Mobilfunknummern, Zahlungsinformationen von Kreditkarten und auch E-Mail-Adressen. Die Kunden kommen aus Deutschland und der ganzen Welt. Unter ihnen auch viele Prominente. Mit nur ein wenig Aufwand war es möglich, in den Kundendaten gezielt nach Mietern mit sensiblen Arbeitgebern, von Bundesministerien oder Botschaften zu suchen – also ein Horrorszenario für Datenschützer. Außerdem waren tausende Passwörter von Buchbinder-Mitarbeitern und Geschäftskunden im Klartext einsehbar, auch die Daten von 500000 Unfällen mit Fahrerdaten bis hin zur polizeilich angeordneten Blutprobe.

Waren Cyber-Kriminelle zur Stelle?

Nicht nur Matthias Nehls mit seiner Deutschen Gesellschaft für Cybersicherheit konnte dieses exorbitante Datenleck auffallen – auch beispielsweise die Suchmaschine Shodan.io zum Aufspüren von Sicherheitslücken, war auf die ungewollte SMB-Freigabe gestoßen. Sollte jemand mit finsteren Absichten an den Kundendaten des deutschen und österreichischen Marktführers bei Vermietungen von PKW und LKW im Privatkundensegment interessiert gewesen sein, dürfte er sich mit überschaubaren Mitteln auf deren Servern bedient haben. Buchbinder gehört seit 2017 zum Europcar-Konzern und nutzt angemietete Cloud-Rechner der Kölner Plusserver GmbH. Bei dem Autovermieter werden nun alle Signale auf Alarm stehen. Es ist nicht bekannt, wer außer den Cybersheriffs noch Zugang auf die Millionen an Kundendaten hatte. Vielleicht haben sich Wettbewerber aus erster Hand über den Konkurrenten informiert? Datendiebe könnten sich mit erbeuteten Mitarbeiterdaten in die Unternehmensstruktur einschleichen. Erpressungen sind möglich. Oder eine groß angelegte Phishing-Attacke auf alle Buchbinderkunden, um diese zu Zahlungen zu verleiten. Am schwersten dürfte aber der Vertrauensverlust bei den bestehenden und potenziellen Kunden wiegen.

Zweifelsfreier Verstoß gegen die DSGVO

Ein derart frei zugänglicher Unternehmensserver ist fraglos ein eklatanter Verstoß gegen die DSGVO. Wenn die zuständigen Datenschützer den Fall unter die Lupe genommen haben, dürfte für Buchbinder ein Bußgeld fällig sein, dass dem Millionen-Leck vollauf gerecht würde – zumal auch hochsensible und daher nach Art. 9 DSGVO besonders schützenswerte Daten betroffen waren. Der außergewöhnlich lange Speicherzeitraum wirft ebenfalls Fragen auf. Auch Schadenersatzforderungen stehen im Raum. Die ganze Affäre ist also noch längst nicht auf ihrem Höhepunkt angekommen. Der große Imageschaden wird Buchbinder ohnehin treffen – ein mögliches Bußgeld wegen Datenschutzverstößen könnte am Umsatz von Europcar gemessen rund 60 Millionen Euro betragen.