Press "Enter" to skip to content

Buchbinder-Datenleck: Wie man rausfindet, ob man betroffen ist

Rund drei Millionen Kundendatensätze der Autovermietung Buchbinder waren wochenlang im Netz zugänglich – darunter auch Daten von Politikern oder Angehörigen von Botschaften. Wie man herausfindet, ob man betroffen ist – und was man dann tun kann.

Es ist wohl eines der größten Datenlecks in der Geschichte in der Bundesrepublik: Wochenlang waren mehr als zehn Terabyte an Kundendaten von der Autovermietung Buchbinder offen im Netz zugänglich. Das haben das Computermagazin “c’t” und die Wochenzeitung “Die Zeit” in einer gemeinsamen Recherche herausgefunden.

Zu den öffentlich einsehbaren Daten gehörten demnach Adressen, Telefonnummern, Geburtsdaten, eingescannte Rechnungen, Unfallberichte, Verträge, Schadensbilder von Autos, Mails und Zugangsdaten von Mitarbeitern. Die Daten stammen zum größten Teil wohl aus neun Millionen Mietverträgen aus dem Jahr 2003 bis heute. Insgesamt kamen wohl 2,5 Millionen der Kunden aus Deutschland und etwa 400.00 aus Österreich

Daten von prominenten Kunden wie Robert Habeck

Auch Mobilfunknummern und Mailadressen von Kunden waren in der Datenbank zu finden. Immerhin: Kreditkartennummern fanden sich dort nicht, dafür allerdings sensible Daten wie Zahlungsinformationen und Bankverbindungen.

Besonders brisant ist, dass sich unter den Kunden von Buchbinder auch einige Prominente finden – aus Sport, Unterhaltung und Politik. So soll laut der Recherche auch die Privatadresse, Handynummer und Mail-Adresse von Grünen-Politiker Habeck unter den Daten gewesen sein, aber auch auch Daten von Spitzenpolitikern von CSU und AfD. Darüber hinaus waren in der Datenbank mehrere hundert Angehörige verschiedener Botschaften aufgelistet – unter anderem aus Deutschland, Österreich, den USA, Russland, Iran oder Nord-Korea.

Und auch wer selbst nie dein Auto bei Buchbinder gemietet hat, könnte mit seinen Daten dort zu finden sein: Laut der Recherchen finden sich auch Unfallgegner, Unfallopfer oder Zeugen eines Unfalls mit einem Buchbinder-Fahrzeug in der Datenbank.

Auch Polizei und Bundeswehr betroffen

Die Recherchen von “c’t” und “Zeit” legen auch offen, dass es viele Einträge in der Datenbank gab, die zu Mitarbeitern verschiedener Ministerien führen. Darunter sei ein ehemaliger hochrangiger Beamter des Verfassungsschutzes und der Präsident des Bundesamtes für Sicherheit in der Informationstechnik (BSI) Arne Schönbohm. Der “Zeit” sagte Schönbohm:

“Der Fall zeigt leider, dass auch sehr sensible personenbezogene Daten immer wieder nur unzureichend geschützt werden. Egal ob ich – wie in diesem Fall – persönlich betroffen bin oder nicht, solche Fälle ärgern mich sehr, weil sie vermeidbar wären.” Arne Schönbohm, Präsident BSI

Aber auch Mitarbeiter von Polizei und Bundeswehr sind von dem Datenleck betroffen. Demnach hatte 2008 aus Österreich ein Mitglied des “Einsatzkommando Cobra Süd” ein Auto bei Buchbinder gemietet, eine Art Pendant zur GSG 9 in Deutschland.

Wie kam es zum Datenleck?

Grund für das riesige Datenleck war laut den Recherchen von “c’t” und “Zeit” ein Konfigurationsfehler bei einem Backup-Server. Auf dem Server stand ein Port offen, der Zugriffe über das Netzwerkprotokoll SMB erlaubt.

So konnte jeder die Dateien von dem Server herunterladen, es war kein Passwort dafür nötig. Laut den Redakteuren musste man lediglich die IP-Adresse des Servers im Windows-Datei-Explorer eingeben, große Festplatten und ein paar Stunden Zeit zum Download investieren.

Folgen für Buchbinder

Die Folgen für Buchbinder – das in Regensburg seine Hauptsitz hat und mit über 160 Mietstationen als einer der größten deutschen Autovermieter gilt – dürften nicht unerheblich sein. Da wäre zum einen der Vertrauensverlust seitens der Kunden. Hinzu kommen mögliche Bußgelder wegen Verstößen gegen die DSGVO sowie gegebenenfalls Schadenersatzforderungen.

Dass Buchbinder beispielsweise Daten für mehr als zehn Jahre gespeichert hat, ist ein kritischer Punkt. Denn unter Datenschutz-Aspekten sollten solche Daten nach zehn Jahren gelöscht werden. “Ich brauche eine gute Erklärung, wenn ich solche Daten länger aufbewahre”, sagt Jörg Heidrich, der Justiziar von Heise Medien, zu denen “c’t” gehört. Buchbinder hat sich bislang dazu nicht geäußert.

Abgesehen davon ist nicht absehbar, ob und wer die Daten runtergeladen hat, als sie frei zugänglich waren. Fest steht aber: Die Menge an Informationen, die sie bergen, lassen sich leicht missbrauchen beispielsweise für Phishing, Einkäufe im fremden Namen oder Identitätsdiebstahl.

Wie das Leck öffentlich wurde

Die “c’t” und die “Zeit” erhielten nach eigenen Angaben von dem IT-Sicherheits-Experten Matthias Nehls einen Hinweis auf den offenen Server. Nehls Firma – die “Deutsche Gesellschaft für Cybersicherheit” – war demnach bei Routine-Checks auf die Sicherheitslücke gestoßen.

Nehls sagt, er habe sich zwei Mal per Mail an Buchbinder gewandt, jedoch keine Antwort erhalten. Daraufhin wandte er sich an den zuständigen Landesdatenschutzbeauftragen in Bayern und die “c’t” und die “Zeit”.

Laut dem Bericht informierten “c’t” und “Zeit” Buchbinder am 20. Januar über das Datenleck. Von der zur Buchbinder-Gruppe gehörende Terstappen Autovermietung GmbH kam dann eine schriftliche Antwort: “Sofort nach Kenntnisnahme des Sachverhalts haben wir unverzüglich die Schließung der entsprechenden Ports durch unseren mit der Betreuung und Absicherung der Server beauftragten Vertragspartner veranlasst.”

Wie lange das Datenleck existierte und wie viele Zugriffe es von außen darauf gab, darauf ging Buchbinder laut der Recherchen nicht ein.

Wie man herausfindet, ob man betroffen ist

Um herauszufinden, ob auch die eigenen Informationen in der Datenbank gespeichert und von dem Leck betroffen sind, kann direkt bei Buchbinder nachfragen. “c’t” und “Zeit” haben für solche Fälle ein Formular vorbereitet, das man an die Adresse [email protected] schicken kann.