Autovermietung Buchbinder: Sensible Daten von 3 Millionen Kunden frei im Netz

Update 27.1.2020: Stellungnahme von Buchbinder

Buchbinder informiert nicht von sich aus die vom Buchbinder-Datengau betroffenen Kunden. Sondern diese erfahren nur aus der Presse über den leichtfertigen Umgang mit ihren Daten. Auf unsere diesbezügliche Nachfrage bei Buchbinder verwies deren Agentur nur auf die veröffentlichte Pressemitteilung des Unternehmens. Diese ist mittlerweile immerhin auf der Buchbinder-Webseite verlinkt .

Buchbinder hat uns einige Tage nach Bekanntwerden des Datengaus diese Stellungnahme außerdem zugeschickt. Wir geben diese in vollem Wortlaut wieder:

„Wie in der deutschen Presse in dieser Woche berichtet wurde, wurden wir darauf aufmerksam gemacht, dass die Fehlkonfiguration eines Servers dazu führte, dass persönliche Daten einer Vielzahl unserer Kunden offengelegt wurden. Zu diesen Daten, die durch diese Fehlkonfiguration zugänglich wurden, gehörten insbesondere Mietwagenverträge, Namen, E-Mail-Adressen, Telefonnummern und Postanschriften.

Die Lücke, auf die wir aufmerksam gemacht wurden, ist seit Montag, dem 20. Januar 2020 geschlossen.

Wir entschuldigen uns aufrichtig bei all unseren Kunden und verpflichten uns, alle notwendigen technischen und organisatorischen Maßnahmen zu ergreifen, um das Niveau des Datenschutzes und der Sicherheit zu erreichen, das wir ihnen schulden. Wir haben bereits erstklassige Datensicherheitsexperten beauftragt, uns bei der weiteren Untersuchung und Bewertung zu unterstützen, mit dem Ziel, das Niveau unseres Verteidigungs- und Cybersicherheitssystems zu erhöhen.

Zusatz gemäß Artikel 34 der DSGVO: Gemäß der Datenschutzgrundverordnung müssen wir über diese Datenverletzung informieren. Dieser Verstoß betrifft die Identität unserer Kunden, die Kontaktdaten (einschließlich E-Mail- und physischer Adressen), Informationen über ihre Anmietung (einschließlich der Führerscheindaten) sowie die während der Anmietung entstandenen Schäden oder Unfälle. Dokumente im Zusammenhang mit Schäden und Unfällen (einschließlich der beteiligten Personen) wurden ebenfalls der Datenbank beigefügt. Diese Dokumente konnten Bankinformationen der Anbieter wie z.B. die Kontonummer enthalten, insbesondere für Anbieter von Autowartung und -reparatur. Darüber hinaus wurden auch Namen, Logins und Passwörter von Buchbinder-Mitarbeitern gespeichert.

Diese Datenverletzung könnte möglicherweise Folgen für die betroffenen Personen haben: Sie könnten insbesondere unerwünschte oder Phishing-E-Mails erhalten, einige Informationen über sie könnten aufgedeckt und von böswilligen Personen zum Identitätsdiebstahl verwendet werden.

Um die Folgen dieser Datenverletzung zu beheben und abzuschwächen, haben wir folgende Maßnahmen ergriffen: Wir haben die zuständige Datenschutzbehörde benachrichtigt, den Server neu konfiguriert, um jeglichen Zugriff auf die Datenbank zu verhindern, alle Systeme zur Verhinderung jeglicher Schwachstelle gescannt, die entsprechenden Sicherheitsmaßnahmen getroffen und Datensicherheitsexperten beauftragt, uns bei der Verhinderung weiterer Vorfälle zu unterstützen.

Alle Buchbinder-Kunden, die Fragen oder Wünsche bezüglich ihrer persönlichen Daten haben, können uns eine E-Mail an datenschutz@buchbinder.de senden."  Zitat Ende

Sie haben seit 2003 ein Auto bei Buchbinder ausgeliehen oder vermuten, dass Sie bei einem anderen Vermieter/Vermittler ein Fahrzeug ausgeliehen haben, das von Buchbinder stammt? Dann können Sie über dieses von Heise zur Verfügung gestellte Formular eine DSGVO-Auskunft von Buchbinder verlangen. Schicken Sie dieses Formular ausgefüllt an: Charterline Fuhrpark Service GmbH, Kulmbacher Str. 8.10, 93057 Regensburg. Oder per E-Mail an: datenschutz@buchbinder.de.

Update Ende

Ursprüngliche Meldung vom 23.1.: Riesen-Datengau bei der Autovermietung Buchbinder: 10 Terabyte an vertraulichen Kundendaten waren laut einem Medienbericht bis zu diesem Montag für mehrere Wochen lang frei zugänglich. Das berichten heise.de und zeit.de nach gemeinsamen Recherchen. Den Hinweis auf die offenliegenden Kundendaten lieferte der IT-Sicherheits-Experte Matthias Nehls. Nehls hatte Buchbinder laut eigenen Angaben schon im Dezember 2019 informiert, doch Buchbinder habe damals nicht reagiert. Das änderte sich erst nach dem Bericht von Heise und Die Zeit.

Die Daten aus der Kundendatenbank (dabei handelt es sich um eine MSSQL-Datenbank) von Buchbinder waren wegen eines falsch konfigurierten Backup-Servers ohne Passwortschutz offen im Web. Über den offenstehenden Port 445 (der für das Netzwerkprotokoll SMB genutzt wird) konnte jeder Internet-Nutzer die sensiblen Kundendaten (insgesamt 10 Terabyte) von der IP-Adresse des Servers herunterladen. In der Datenbank waren aber nicht nur die Daten von Buchbinder-Kunden gespeichert, sondern darin befanden sich auch die sensiblen Daten von Personen, die bei Buchbinder überhaupt noch kein Auto ausgeliehen hatten. Anscheinend handelt es sich hierbei um Kunden, die bei einem anderen Vermittler ein Fahrzeug angemietet haben, das dann aber von Buchbinder zur Verfügung gestellt wurde.

Die offenliegenden Backup-Dateien umfassen die Namen, Adressen, Geburtsdaten, Telefonnummern, Mailadressen, Führerscheinnummern und -Ausstellungsdaten von Kunden, dazu Mietverträge und Rechnungen. Die erfassten Mietverträge reichen von 2003 bis heute. Zahlungsinformationen und Bankverbindungen befinden sich im PDF-Format als Scans von Rechnungen in der Datenbank. Kreditkartennummern sollen sich nicht in der Datenbank befinden.

Cybergangster können diese Daten hervorragend für Phishing-Angriffe nutzen, weil es sich bei den Buchbinder-Daten um verifizierte Datensätze von tatsächlich existierenden Nutzern handelt.

Zu den Kunden- und Vermietungsdaten kommen noch Unfallberichte sowie Mails und Zugangsdaten von Mitarbeitern der Buchbinder-Gruppe. In diesen Unfallberichten sind auch Namen, Adressen und Kennzeichen von Unfallgegnern sowie eventueller Zeugen samt Telefonnummern enthalten, wie Heise schreibt. Ebenso befinden sich darin Informationen über polizeilich durchgeführte Blutproben und über Verletzte und Tote.

Unter den Buchbinder-Kunden befinden sich auch Prominente wie Robert Habeck von den Grünen. Auch diese Daten waren frei verfügbar. Auch der Präsident des Bundesamtes für Sicherheit in der Informationstechnik (BSI), Arne Schönbohm, gehört zu den betroffenen Kunden. Ebenso befindet sich ein Mitglied der österreichischen Anti-Terroreinheit "Einsatzkommando Cobra Süd" unter den Kunden.

Insgesamt enthält der Datenschatz die Daten von drei Millionen Buchbinder-Kunden, davon 2,5 Millionen aus Deutschland und 400.000 aus Österreich. Die übrigen rund 114.000 Kunden stammen aus Italien, der Slowakei und Ungarn. Die Autovermietung Buchbinder ist einer der größten Autovermieter Deutschlands. Das deutsche Unternehmen mit Hauptsitz im bayerischen Regensburg gehört zur französischen Europcar Mobility Group.

Auf Nachfrage von c't und "Die Zeit" erklärte die zur Buchbinder-Gruppe gehörende Terstappen Autovermietung GmbH nur, dass die Lücke sofort nach Bekanntwerden geschlossen worden sei. Doch das Buchbinder-Unternehmen sagte nicht, wie lange die Lücke bestanden habe und wie viele Zugriffe von außen es darauf gegeben habe.

Interessant wäre aus juristischer Sicht aber auch, weshalb Buchbinder Kundendaten speichert, die bis 2003 zurückreichen. Eine weitere Frage ist, wie diese offenstehende Kundendatenbank in Bezug auf die DSGVO zu bewerten ist. Denkbar wären Bußgelder gegen Buchbinder wegen eines Verstoßes gegen die DSGVO. Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) ist bereits eingeschaltet.

Das können Sie tun: Sie haben seit 2003 ein Auto bei Buchbinder ausgeliehen oder vermuten, dass Sie bei einem anderen Vermieter/Vermittler ein Fahrzeug ausgeliehen haben, das von Buchbinder stammt? Dann können Sie über dieses von Heise zur Verfügung gestellte Formular eine DSGVO-Auskunft von Buchbinder verlangen. Schicken Sie dieses Formular ausgefüllt an: Charterline Fuhrpark Service GmbH, Kulmbacher Str. 8.10, 93057 Regensburg. Oder per E-Mail an: datenschutz@buchbinder.de.