Transporter des Autoverleihers Buchbinder | Bildquelle: imago/Manfred Segerer

Millionen Kundendaten im Netz Riesiges Datenleck bei Autovermieter

Stand: 22.01.2020 14:23 Uhr

Persönliche Daten von Millionen Kunden des Autovermieters Buchbinder haben wochenlang ungeschützt im Internet gestanden. Das zeigen Recherchen von "c't" und der "Zeit". Auch Grünen-Chef Habeck und die Polizei sollen betroffen sein.

Wer in der jüngeren Vergangenheit bei der Autovermietung Buchbinder oder auf einer Vermittler-Internetseite ein Auto gemietet hat oder einen Unfall mit einem solchen Auto hatte, muss sich eventuell Sorgen um seine persönlichen Daten machen. Denn dem Unternehmen ist eine große Panne bei der Datenspeicherung passiert: Persönliche Informationen von drei Millionen Kunden standen wochenlang ungeschützt im Netz. Das ergab eine gemeinsame Recherche des Computermagazins "c't" und der Wochenzeitung "Die Zeit".

Unter den öffentlich einsehbaren Daten sind den Angaben zufolge auch Adressen und Telefonnummern von Prominenten und Politikern - etwa die Privatadresse, eine Handynummer und eine E-Mail-Adresse von Grünen-Chef Robert Habeck. Darüber hinaus sollen auch die Daten von Hunderten Angehörigen verschiedener Botschaften gelistet sein - darunter aus den USA, Russland, China, Iran, Saudi-Arabien oder auch Nordkorea.

Robert Habeck | Bildquelle: FELIPE TRUEBA/EPA-EFE/REX
galerie

Robert Habeck: Auch seine privaten Daten sind durch das Daten-Leck bei Buchbinder im Internet gelandet.

Auch die Daten von Mitarbeitern aus verschiedenen Bundesministerien sollen dem Bericht zufolge öffentlich einsehbar gewesen sein - darunter die von einem ehemaligen hochrangigen Beamten des Verfassungsschutzes. Zu den Betroffen zählt den Angaben zufolge auch der Präsident des Bundesamtes für Sicherheit in der Informationstechnik, Arne Schönbohm. Mitarbeiter der Polizei und der Bundeswehr sollen ebenfalls vom Datenleck betroffen sein.

Offener Port auf dem Server

Grund für die Panne war dem Bericht zufolge ein Konfigurationsfehler bei einem Backup-Server. Buchbinders IT-Abteilung nutzte laut Who-is-Abfrage einen angemieteten Cloud-Rechner. Auf diesem wurden an jedem Wochentag riesige Backup-Dateien gespeichert.

Das Problem: Auf dem Server stand den Recherchen zufolge ein Port offen, der Zugriffe über das Netzwerkprotokoll SMB erlaubt. So konnte jeder Internetnutzer die von Buchbinder auf dem Server abgelegten Dateien herunterladen. Ein Passwort war dafür nicht nötig. Man musste den Redakteuren zufolge lediglich die IP-Adresse des Servers im Windows-Datei-Explorer eingeben, große Festplatten und ein paar Stunden Zeit zum Download investieren.

Offenbar Millionen Kunden von Datenleck bei Buchbinder betroffen
tagesschau 20:00 Uhr, 22.01.2020, Svea Eckert, NDR

Download der Videodatei

Wir bieten dieses Video in folgenden Formaten zum Download an:

Hinweis: Falls die Videodatei beim Klicken nicht automatisch gespeichert wird, können Sie mit der rechten Maustaste klicken und "Ziel speichern unter ..." auswählen.

Video einbetten

Nutzungsbedingungen Embedding Tagesschau: Durch Anklicken des Punktes „Einverstanden“ erkennt der Nutzer die vorliegenden AGB an. Damit wird dem Nutzer die Möglichkeit eingeräumt, unentgeltlich und nicht-exklusiv die Nutzung des tagesschau.de Video Players zum Embedding im eigenen Angebot. Der Nutzer erkennt ausdrücklich die freie redaktionelle Verantwortung für die bereitgestellten Inhalte der Tagesschau an und wird diese daher unverändert und in voller Länge nur im Rahmen der beantragten Nutzung verwenden. Der Nutzer darf insbesondere das Logo des NDR und der Tageschau im NDR Video Player nicht verändern. Darüber hinaus bedarf die Nutzung von Logos, Marken oder sonstigen Zeichen des NDR der vorherigen Zustimmung durch den NDR.
Der Nutzer garantiert, dass das überlassene Angebot werbefrei abgespielt bzw. dargestellt wird. Sofern der Nutzer Werbung im Umfeld des Videoplayers im eigenen Online-Auftritt präsentiert, ist diese so zu gestalten, dass zwischen dem NDR Video Player und den Werbeaussagen inhaltlich weder unmittelbar noch mittelbar ein Bezug hergestellt werden kann. Insbesondere ist es nicht gestattet, das überlassene Programmangebot durch Werbung zu unterbrechen oder sonstige online-typische Werbeformen zu verwenden, etwa durch Pre-Roll- oder Post-Roll-Darstellungen, Splitscreen oder Overlay. Der Video Player wird durch den Nutzer unverschlüsselt verfügbar gemacht. Der Nutzer wird von Dritten kein Entgelt für die Nutzung des NDR Video Players erheben. Vom Nutzer eingesetzte Digital Rights Managementsysteme dürfen nicht angewendet werden. Der Nutzer ist für die Einbindung der Inhalte der Tagesschau in seinem Online-Auftritt selbst verantwortlich.
Der Nutzer wird die eventuell notwendigen Rechte von den Verwertungsgesellschaften direkt lizenzieren und stellt den NDR von einer eventuellen Inanspruchnahme durch die Verwertungsgesellschaften bezüglich der Zugänglichmachung im Rahmen des Online-Auftritts frei oder wird dem NDR eventuell entstehende Kosten erstatten
Das Recht zur Widerrufung dieser Nutzungserlaubnis liegt insbesondere dann vor, wenn der Nutzer gegen die Vorgaben dieser AGB verstößt. Unabhängig davon endet die Nutzungsbefugnis für ein Video, wenn es der NDR aus rechtlichen (insbesondere urheber-, medien- oder presserechtlichen) Gründen nicht weiter zur Verbreitung bringen kann. In diesen Fällen wird der NDR das Angebot ohne Vorankündigung offline stellen. Dem Nutzer ist die Nutzung des entsprechenden Angebotes ab diesem Zeitpunkt untersagt. Der NDR kann die vorliegenden AGB nach Vorankündigung jederzeit ändern. Sie werden Bestandteil der Nutzungsbefugnis, wenn der Nutzer den geänderten AGB zustimmt.

Einverstanden

Zum einbetten einfach den HTML-Code kopieren und auf ihrer Seite einfügen.

Passwörter im Klartext gefunden

Die auf dem Server liegenden Backups enthielten dem Bericht zufolge über fünf Millionen Dateien mit umfangreicher Firmenkorrespondenz samt eingescannter Rechnungen, Verträge, Mails und Schadensbilder von Autos. Zudem war auf dem Server augenscheinlich die komplette Microsoft-Firmendatenbank gesichert. Sie umfasste laut den Analysen von "c't" und "Zeit" über neun Millionen Mietverträge, von 2003 bis heute.

Neben den Mietern sind dem Bericht zufolge auch die Fahrer mit Namen, Adresse, Geburtsdatum, Führerscheinnummer und -Ausstellungsdatum aufgeführt. Viele haben zudem Mobilfunknummern und E-Mail-Adressen angegeben. Kreditkartennummern sollen sich nicht in der Datenbank befunden haben, wohl aber Zahlungsinformationen und Bankverbindungen auf PDF-Scans von Rechnungen.

Server
galerie

Angemieteter Server: Buchbinder soll darauf an jedem Wochentag riesige Backup-Dateien gespeichert haben.

Nicht nur direkte Buchbinder-Kunden betroffen

In der ungeschützten Firmendatenbank ließen sich Kunden und Fahrer nach sensiblen Arbeitgebern, Ministerien oder auch Botschaften ausfiltern, wie die beiden Medien berichten. Auch über 3000 Passwörter im Klartext konnten demnach gefunden werden.

Und: Von dem Datenleck sind offenkundig nicht nur Kunden betroffen, die direkt bei Buchbinder ein Auto gemietet haben. Ein "Zeit"-Redakteur, der ein Auto über billiger-mietwagen.de und Car-Del-Mar gemietet hatte, fand dem Bericht zufolge seine persönlichen Informationen ebenfalls in der Datei - obwohl er selbst nicht wissentlich Kunde von Buchbinder war.

Daten von Verletzten und Toten

Außerdem gab es laut dem Bericht eine Datenbank mit über 500.000 Unfällen, die bis ins Jahr 2006 zurückreichen. Auch diese Datenbank ist durch das Leck öffentlich geworden. Sichtbar wurden dadurch neben Informationen über die Fahrer der gemieteten Autos auch Namen, Adressen und Kennzeichen von Unfallgegnern sowie eventueller Zeugen samt Telefonnummern. Vereinzelt fanden die Journalisten auch Namen und Kontaktdaten von Verletzten und tödlich Verunglückten. Auch vermerkt war dem Bericht zufolge, ob eine Blutprobe von der Polizei angeordnet worden war.

Selbst betroffen? So finden Sie es heraus:

Wer wissen will, ob seine Informationen in der Datenbank gespeichert und von dem Leck betroffen sind, kann dies dem Bericht zufolge bei Buchbinder erfragen. Die c't-Redaktion hat nach eigenen Angaben für eine solche Anfrage ein eigenes Formular vorbereitet, das Sie an die Charterline Fuhrpark Service GmbH, Kulmbacher Str. 8.10, 93057 Regensburg adressieren und per E-Mail an datenschutz@buchbinder.de schicken können. Die von der Redaktion für private Zwecke kostenlos verwendbare Vorlage soll unter ct.de/ycyu abrufbar sein.

Die Authentizität der Kundendatenbank verifizierte "c't" nach eigenen Angaben anhand der Informationen von einem Dutzend Buchbinder-Kunden aus dem Kreis der Angestellten von Heise-Medien.

Buchbinder reagierte erst nicht auf Hinweis

Den Hinweis auf das Datenleck erhielten "c't" und "Zeit" nach eigenen Angaben von dem IT-Sicherheitsexperten Matthias Nehls. Dessen Firma "Deutsche Gesellschaft für Cybersicherheit" war demnach bei Routine-Scans auf den offenen Port gestoßen. Nehls wandte sich dem Bericht zufolge zunächst zwei Mal per E-Mail an Buchbinder, erhielt nach eigenen Angaben jedoch keine Antwort. Daraufhin informierte der IT-Experte sowohl den zuständigen Landesdatenschutzbeauftragten in Bayern als auch die genannten Medien.

Die beiden Redaktionen wendeten sich dann nach eigenen Angaben noch einmal selbst an Buchbinder - am 20. Januar. Sie erhielten eine Antwort des Unternehmens: "Sofort nach Kenntnisnahme des Sachverhalts haben wir unverzüglich die Schließung der entsprechenden Ports durch unseren mit der Betreuung und Absicherung der Server beauftragten Vertragspartner veranlasst", schrieb die zur Buchbinder-Gruppe gehörende Terstappen Autovermietung GmbH.

Auf Fragen, wie lange das Datenleck bestanden und wie viele Zugriffe es von außen gegeben habe, sei das Unternehmen ebenso wenig eingegangen wie auf die Rechtsgrundlage, auf der Kunden- und Unfalldaten weit über zehn Jahre gespeichert worden seien.

Buchbinder ist dem Bericht zufolge einer der größten deutschen Autovermieter und nach eigenen Angaben "Marktführer im Privatkundensegment PKW und LKW in Deutschland und Österreich". Die Unternehmensgruppe mit Hauptsitz in Regensburg beschäftigt mehr als 2500 Mitarbeiter und betreibt rund 165 Mietstationen in Europa. Seit 2017 gehört Buchbinder zum französischen Europcar-Konzern.

Über dieses Thema berichtete die tagesschau am 22. Januar 2020 um 17:00 Uhr.

Darstellung: