Buchbinder: Datenleck bei Autovermieter

Mehr als 3 Millionen Kunden Opfer einer Datenpanne

Von in Aktuelles
24
Jan
'20

Buchbinder ist einer der größten Kfz-Vermieter in Deutschland. Jetzt wurde bekannt, dass 10 Terabyte persönliche Kundendaten öffentlich zugänglich waren. Und es kommt noch schlimmer: Auch Nutzer anderer Miet- und Vergleichsportale sind betroffen. 

Experten sprechen schon von der größten Datenpanne in der Geschichte der Republik. Alle Hintergründe und was Betroffene tun sollten, jetzt bei uns.

buchbinder datenleck

Mehr als 3 Millionen Kundendaten sind betroffen.
Bild: Pixabay/JanBaby

Buchbinder – einer der größten Autovermieter

Eigenen Angaben zufolge handelt es sich um den größten deutschen Autovermieter und Marktführer im Bereich PKW und LKW Vermietung (ja, noch vor Sixt, Avis und Co.). Hinter Buchbinder steckt wiederum der Großkonzern Europcar aus Frankreich, der vor knapp drei Jahren die Anteile erwarb. Mehr als 2.500 Mitarbeiter betreiben über 160 Mietstationen in Europa, der Umsatz der Unternehmensgruppe lag zuletzt bei fast 350 Millionen Euro.

Berichten zufolge wurde das Unternehmen per E-Mail von der „Deutschen Gesellschaft für Cybersicherheit“, der das Datenleck bei einem Routine-Scan aufgefallen war, über die Lücke informiert, reagierte aber nicht. Daraufhin schalteten die Security Experten den Landesdatenschutzbeauftragten in Bayern und die Medien ein.

Buchbinder Datenleck – mehr als 3 Millionen Kunden betroffen

Von Unfallberichten, Rechnungen und Mietverträgen über Adressen und Geburtsdaten bis hin zu Telefonnummern – sensible Daten von mehr als drei Millionen Kunden sollen wochenlang öffentlich zugänglich gewesen sein. Darunter sind sogar die Angaben von prominenten Personen wie dem Bundesvorsitzenden der Grünen, Robert Habeck, der ebenso wenig erfreut sein dürfte wie der Chef der deutschen Cyber-Sicherheitsbehörde, der ebenfalls zu den Opfern zählt.

Aber es geht noch weiter: Auch Login-Daten der eigenen Buchbinder-Mitarbeiter schwirrten frei im Netz herum. Veröffentlicht haben das die Zeitung „Die Zeit“ und das Fachmagazin „c’t“. Das gigantische Ausmaß des Datenskandals ist bislang noch nicht absehbar. Fest steht: Betroffene sollten jetzt schnell handeln – und den Anbieter erwartet wohl ein Rekord-DSVGO-Bußgeld.

Sind Sie Opfer des Datenlecks?

Eine (halb-)gute Nachricht gibt es: Kreditkartendaten waren kein Teil des Datenlecks. Dafür aber Bankverbindungen und Zahlungsinformationen auf Rechnungen. Wichtig ist, dass Sie jetzt genau überlegen, ob Sie privat oder beruflich Buchbinder-Fahrzeuge genutzt haben – und zwar von 2003 bis heute.

Tückisch dabei: Es sind auch die Daten von Kunden betroffen, die Buchbinder-Fahrzeuge über Vergleichs- und andere Mietportale gebucht haben und im Zweifel gar nicht im Detail wissen, welcher Anbieter dahintersteckte. Der Anbieter hat zwar vor, alle Betroffenen zu kontaktieren, das kann aber allein durch Umzüge und Telefonnummern-Wechsel nicht in Gänze gelingen.

Tipps für Betroffene der Buchbinder-Datenpanne

Fest steht: Rund 2,5 Millionen Daten stammen von Kunden aus Deutschland. Sollten Sie dazu gehören, geben wir folgende Handlungsempfehlung:

  • Nutzen Sie Ihren Auskunftsanspruch gemäß DSGVO, falls Sie nicht auf eine Info durch den Anbieter warten wollen. Eine entsprechende Vorlage finden Sie hier.
  • Ändern Sie Ihre Passwörter und Zugangsdaten, sofern Sie sie nicht nur bei Mietportalen und Buchbinder selbst, sondern auch auf anderen Websites eingesetzt haben.
  • Beobachten Sie Ihre Konten. Ein pauschales Sperren der Kreditkarte ist aufgrund des Fehlens dieser Datenart unserer Meinung nach aber nicht nötig.
  • Richten Sie ggf. ein neues E-Mail Postfach ein, falls Sie in nächster Zeit mit Spam-Nachrichten überschüttet werden.

Server-Konfigurationsfehler schuld an Datenleck

Die Ursache des Lecks war übrigens schnell gefunden. Durch einen Konfigurationsfehler bei einem Backup-Server stand der Port 445 offen. Selbiger erlaubt Zugriffe über das Netzwerkprotokoll. Bedeutet auf Deutsch: Jeder Besucher der Buchbinder-Website war theoretisch in der Lage, ohne Passwort oder sonstige Zugangsdaten sämtliche Dateien herunterzuladen, die auf dem Server abgelegt waren. Einzige Hürde war die Eingabe der Server-IP-Adresse in den Windows-Datei-Explorer – dafür muss man noch nicht einmal von Berufswegen Hacker sein. Wer dann noch große Festplatten und einige Stunden Zeit erübrigen konnte, gelangte ohne Umstände in den Besitz der Daten.

Bleibt nur die Hoffnung, dass die Anbieter aus dieser Datenpanne lernen und Ihre Server künftig besser schützen.

Lena Klaus

Lena Klaus arbeitet seit 2018 als freie Autorin und SEO-Expertin für das IT-SERVICE.NETWORK. Seit 2013 kennt sie die IT-Branche und hat sich in diesem Zusammenhang auf B2C- und B2B-orientierte Content-Plattformen spezialisiert.

Fragen zum Artikel? Frag den Autor

Schreiben Sie einen Kommentar

Ihre E-Mail Adresse wird nicht veröffentlicht.


* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.