Unsere Freunde von Buchbinder machen Schlagzeilen. Leider nicht weil deren Unfall-Betrugsmodell aufgeflogen ist, sondern weil in naiver Weise mit Daten umgegangen wurde, die jetzt im Netz herumschwirren und vielen Menschen schaden können. Und wenn Buchbinder etwas schlecht macht, dann gleich richtig:
10 Terabyte sensibler Kundendaten der Autovermietung Buchbinder waren wochenlang für jedermann im Netz zugänglich.
Laut Heise-Verlag ist das wohl einer der größten Datenleck-Skandale in der Geschichte der Bundesrepublik Deutschland. Persönliche Daten von drei Millionen Kunden der Autovermietung Buchbinder waren wochenlang ungeschützt im Netz kinderleicht abrufbar. Darunter Adressen und Telefonnummern von Prominenten und Politikern wie zum Beispiel „Mr. Sorglos“ Robert Habeck von den Grünen, dessen Namen in solchen Fällen immer genannt wird.
Zugänglich waren außerdem Unfallberichte sowie Mails der Mitarbeiter der Buchbinder-Gruppe. Die Unternehmensgruppe mit Hauptsitz in Regensburg beschäftigt mehr als 2500 Mitarbeiter und betreibt rund 165 Mietstationen in Europa. Da kommen eine ganze Menge Mails zusammen. Auch bei der Zahl der Unfälle und Fahrzeugschäden prügelt Buchbinder mit linken Mitteln die Zahlen nach oben.
Der selbsternannte „Marktführer im Privatkundensegment“ Buchbinder gehört seit 2017 zum französischen Europcar-Konzern. Kunden von Europcar dürfen also auch zittern. Die Kerngesellschaft der Gruppe, die Charterline Fuhrpark Service GmbH, machte 2018 laut Jahresabschluss einen Umsatz von ca. 350 Mio. Euro. Zum Unternehmensgeflecht gehören laut Datenschutzerklärung die Carpartner Nord GmbH sowie die Terstappen Autovermietung GmbH in Duisburg.
Entdeckt wurde der frei zugängliche Server vom IT-Sicherheitsexperten Matthias Nehls. Dieser informierte die Firma Buchbinder auch sofort über die Fakten, was dort aber niemanden interessierte. Wer jeden Tag mit dem Betrug von Kunden und Versicherungen beschäftigt ist, hat dafür ganz sicher keinen Kopf mehr. Nehls wandte sich daraufhin an die Redaktionen von c´t und DIE ZEIT, die dann die Geschichte publik gemacht haben.
Und jetzt?
Die bei Buchbinder geleakten Daten sind für Cyber-Verbrecher besonders kostbar, denn es handelt sich dabei um valide Informationen von Millionen Bürgern – einschließlich Name, Firmenzugehörigkeit, Anschrift, Geburtsdatum, Telefon- und Führerscheinnummer. Was die Daten besonders wertvoll macht, ist die Tatsache, dass die bei Buchbinder hinterlegten Daten echt und verifiziert sein müssen, damit es zum Abschluss eines Mietvertrages überhaupt kommen kann.
Aus juristischer Sicht ist ein derart offen zugänglicher Server ein katastrophaler Verstoß gegen die Vorgaben der DSGVO. Sollten die zuständige Aufsichtsbehörden einen Verstoß gegen die DSGVO feststellen, wäre ein sehr hohes Bußgeld fällig.
Wer wissen will, ob seine Informationen in der Datenbank gespeichert sind, er also vom Datenleck betroffen ist, kann dies bei Buchbinder erfragen. Die c´t hat für eine solche Anfrage ein Formular vorbereitet, das man an die Charterline Fuhrpark Service GmbH, Kulmbacher Str. 8-10, 93057 Regensburg adressieren und per E-Mail an datenschutz@buchbinder.de schicken kann. Die für private Zwecke kostenlos verwendbare Vorlage ist unter ct.de/ycyu abrufbar.
