Einer der größten Autovermieter Deutschlands, Buchbinder Rent-a-Car, hat mit einer Datenpanne zu kämpfen.
Was ist passiert?
Eine ca. zehn Terabyte große Datenbank, welche Daten von rund 3 Millionen Kunden enthält, war über einen Zeitraum von mehreren Wochen im Internet für jedermann frei zugänglich. Dies recherchierte das Computermagazin c’t in Zusammenarbeit…
mit der Zeitung DIE ZEIT, nachdem Hinweise eines IT-Sicherheits-Experten eingegangen waren. Grund für dieses Datenleck war ein falsch konfigurierter Backup-Server bei einem für die Betreuung und Absicherung der Server zuständigen Vertragspartner, wodurch Zugriffe über das Netzwerkprotokoll SMB möglich waren. Durch diesen Fehler konnten Nutzer die Datenbank ohne Eingabe eines Passworts einsehen und die in der Datenbank abgelegten Daten Herunterladen.
Was für Daten sind betroffen?
Die Datenbank enthält eine Vielzahl von personenbezogenen Daten darunter Namen, Privatadressen, Geburtsdaten, Arbeitgeberinformationen bei geschäftlichen Buchungen, Telefonnummern, Zahlungsinformationen, Bankverbindungen, E-Mail-Adressen, Firmenkorrespondenzen inklusive eingescannter Rechnungen, Verträge seit dem Jahr 2003 sowie Führerscheinnummern und Ausstellungsdaten. Darüber hinaus wurden In der Datenbank auch Informationen über ca. 500.000 Unfälle abgelegt inklusive Kennzeichen und Adressen über Unfallgegner und Zeugen samt Kontaktdaten. Auch einzelne Namen und Kontaktdaten von verletzten oder verstorbenen Unfallteilnehmern fanden sich in der Datenbank.
Auch wer über Vermittlungsportale wie „Car del Mar“ oder „Billiger-Mietwagen.de“ ein Auto mietete, und somit keinen direkten Bezug zu Buchbinder hatte, kann in der Datenbank vertreten sein.
Des Weiteren konnten in der, inzwischen nicht mehr frei zugänglichen Datenbank, auch eine Vielzahl privater Daten von Politikern, Mitarbeitern etlicher Bundesministerien, der Polizei, der Bundeswehr, ausländischer Botschaften und des Bundesamtes für Sicherheit in der Informationstechnik gefunden werden.
Verstöße gegen die DSGVO
Der Sachverhalt liegt aktuell bei der zuständigen Aufsichtsbehörde und wird geprüft. ein wichtiges Augenmerk wird seitens der Aufsichtsbehörde mit großer Sicherheit auf die nicht ordnungsgemäß abgesicherte Datenbank gelegt werden. Des Weiteren wird das Thema Löschfristen eine große Rolle spielen, da in der Datenbank Unterlagen und Informationen rückwirkend bis 2003 abgelegt sind und hier fraglich ist, ob für eine so lange Aufbewahrung die entsprechen Rechtsgrundlagen vorliegen.