Mitglieder des Chaos Computer Clubs (CCC) haben mehrere Schwachstellen in einem weit verbreiteten Cloud-System für gastronomische Betriebe entdeckt und gemeldet. In Corona-Listen und Reservierungen waren mehrere Millionen sensible Datensätze einsehbar. Der Datenbestand reichte bis zu zehn Jahre zurück. Der Cloud-Service wurde informiert und hat die Schwachstellen nach eigenen Angaben beseitigt. Der CCC empfiehlt den Verzicht auf Cloud-Lösungen und rät dazu, Daten da zu sammeln, wo sie benötigt werden – in den Restaurants.

Das Chaos Emergency Response Team (CERT) ist vielen bekannt als das Sanitäts- und Brandschutz-Team auf Veranstaltungen des CCC. Doch auch in der veranstaltungsfreien Zeit engagiert sich das CERT stets für die Sicherheit seines Umfelds.

Digitale Corona-Listen

Bei einem gemeinsamen Restaurantbesuch wurden Mitglieder des CERT gebeten, sich in eine digitale "Corona-Liste" einzutragen. Die gastgebenden Gastronominnen wollten die verpflichtende Datenerfassung offenbar modern und unkompliziert gestalten – mit Hilfe einer Cloud-Software.

Deren vollmundige Versprechen über die Sicherheit der erfassten Daten weckten Argwohn und Altruismus des CERT-Teams. Wie erwartet hatte das System akuten Bedarf an Sanitäts- und Brandschutzmaßnahmen durch Spezialkräfte des CCC.

Über 87.000 Corona-Datensätze und 5,4 Mio. Reservierungen

Verschiedene Schwachstellen ermöglichten den Zugriff auf insgesamt 87.313 Corona-Kontakterhebungen von 180 Restaurants, die das System aktiv nutzten*.

Im betroffenen System wurden jedoch nicht nur Corona-Listen, sondern auch Reservierungen, Bestellungen und Kassenumsätze gespeichert. Der Cloud-Service wirbt damit, monatlich über 96 Mio. Euro Umsatz von 7,7 Mio. Kundinnen sowie 600.000 Reservierungen über das System abzuwickeln*. Persönliche Daten von Besucherinnen werden vor allem bei Reservierungen und Corona-Registrierungen erfasst.

Insgesamt war der Zugriff auf 4,8 Mio. Personendatensätze aus über 5,4 Mio. Reservierungen möglich, wie der Cloud-Service bestätigt*.

Daten reichen über ein Jahrzehnt zurück

Erstaunt stellte das CERT fest, dass im System personenbezogene Daten gespeichert sind, die teilweise ein ganzes Jahrzehnt zurückreichen. Der Cloud-Service versteht sich als "Auftragsverarbeiter" und verortet die Verantwortung zur Löschung bei den Gastronominnen. Die wiederum schienen sich dessen oft nicht bewusst zu sein und vertrauten verständlicherweise auf die Full-Service-Cloud.

Mehrere Schwachstellen

Mangelndes Rechte-Management

Durch eine fehlerhafte Prüfung der Zugriffsrechte konnte im Handumdrehen administrativer Vollzugriff auf sämtliche im System gespeicherten Daten erlangt werden. Andere Fehler in der API ermöglichten Nutzerinnen auch ohne besondere Rechte den Zugriff auf schützenswerte Daten, die nicht für Ihre Augen bestimmt waren. So konnte zum Beispiel Restaurant A auf die Corona-Daten von Restaurant B zugreifen.

Unzureichend geschützte Passwörter

Auch unzureichend geschützte Passwörter konnten mittels einfachem API-Request abgerufen werden. Dabei fielen dem Katastrophenschutz des CCC nicht nur Hashes, sondern auch Passwörter im Klartext auf. Für neuere Accounts wurde immerhin eine zeitgemäße Hashing-Methode verwendet. Dennoch hätten in einer Stichprobe über 25% der Passwörter aus ihren Hashes geborgen werden können. Triviale Passwörter wie "1234" deuteten auf das Fehlen einer angemessenen Passwortrichtlinie hin.

Das Risiko schlecht geschützter Passwörter geht über den betroffenen Dienst hinaus, weil Nutzerinnen oft dazu neigen, das gleiche Passwort für mehrere Accounts zu verwenden.

Großzügiges Bestellsystem

Haben Sie in der Vergangenheit einmal vergeblich auf Ihr bestelltes Essen gewartet? Oder wurde Ihnen in einer Hamburger Eck-Kneipe mit 42 Litern Bier eine spontane Freude bereitet? Vielleicht hatte einfach nur eine brasilianische Teenagerin Spaß an der offenen API… Diese hat es ohne weitere Hindernisse ermöglicht,

  • die Speisekarten aller Restaurants einzusehen und damit
  • für Dritte Bestellungen auszulösen oder zu stornieren

Selbstverständlich unter Umgehung sämtlicher gesetzter Einschränkungen. Weltweiter, grenzenloser Service!

Schnelle Reaktion des Cloud-Anbieters

Alle gefundenen Schwachstellen wurden durch die CERT-Mitglieder Sophie, Martin, cwoomio,
deinkoks, Lady_Raven, Metal_Warrior,
Wellenformer, blubbel und cbro

schriftlich dokumentiert und dem Betreiber gastronovi mit der Bitte um Behebung mitgeteilt.

In einer zügigen Reaktion bestätigte gastronovi alle gemeldeten Schwachstellen und machte sich an die umgehende Behandlung. Den lebensrettenden Sofortmaßnahmen folgt auf Rat des CCC nun auch eine ausführliche Diagnostik des Systems durch geschultes Fachpersonal.

CCC rät von digitalen "Corona-Listen" ab

Laut gastronovi sind die gemeldeten Schwachstellen inzwischen kuriert. Doch auch in den Systemen anderer Cloud-Services wurden bereits ähnliche Schwachstellen gefunden.

"Denken first, digital second", kommentiert Linus Neumann, Sprecher des Chaos Computer Clubs. "Viele digitale Corona-Listen wurden mit der heißen Nadel gestrickt und machen schwer zu haltende Datenschutzversprechen. Die Sicherheit eines Papiersystems ist hingegen auch für Laien leicht zu beurteilen."

So haben etablierte Cloud-Services bestehende Systeme oft nur hastig "umfunktioniert", statt sich spezifisch mit den Sicherheits- und Datenschutzanforderungen des Contact-Tracings auseinanderzusetzen.

"Die sensiblen Daten landen dann nicht etwa beim Restaurant, sondern auf einem großen Haufen irgendwo im Internet, wo sie die nächsten Jahre auf interessierte Hackerinnen warten."

Empfehlungen für Besucherinnen

Sollte Ihr präferiertes Restaurant auf Cloud-Erfassung bestehen, raten wir zu neuen kulinarischen Abenteuern in anderen Etablissements.

Doch auch bei papierbasierter Erfassung empfiehlt der CCC das Einrichten einer gesonderten pseudonymen E-Mail-Adresse nur für diesen Zweck. Viele kostenlose Dienstanbieter ermöglichen zum Beispiel eine Weiterleitung von eingehenden Nachrichten an die eigentliche E-Mail-Adresse.

Fünfzehn Minuten Aufwand gewährleisten Datensparsamkeit ohne das Risiko, eine wichtige Warnung zu verpassen.

Empfehlungen für die sichere Erfassung

Der Chaos Computer Club rät grundsätzlich von digitalen Corona-Listen ab – erst recht, wenn diese ihre Daten in einer Cloud speichern, statt im Restaurant.

Auch in unseren eigenen Hackspaces verwenden wir folgendes Papier-System:

  1. Jede Besucherin oder Gruppe erhält einen gesonderten Zettel zur Erfassung, damit nicht die Daten anderer Gäste eingesehen werden können.
  2. Der ausgefüllte Zettel wird in einen verschlossenen Briefkasten geworfen, um ihn dort vor neugierigen Blicken zu schützen.
  3. Dieser wird am Ende des Tages in einen Umschlag geleert, welcher mit dem Datum des erfassten Tages beschriftet und versiegelt wird.
  4. Die versiegelten Umschläge werden an einem sicheren Ort aufbewahrt.
  5. Täglich wird ein Umschlag sicher vernichtet, dessen Frist abgelaufen ist – und ein neuer kommt hinzu.

Empfehlungen an den Gesetzgeber

Das Ziel, Besucherinnen im Falle eines Falles schnell informieren zu können, ist legitim und wichtig. Dennoch wurden dem Unterfangen eine Reihe unnötiger Probleme in den Weg gelegt

  1. Es häufen sich die Fälle, in denen die Listen für Polizei-Ermittlungen zweckentfremdet wurden. Derartige Maßnahmen motivieren Besucherinnen, falsche Daten in die Listen einzutragen.
  2. Der Gesetzgeber sieht keinen Anlass, diesem Datenmissbrauch ein Ende zu setzen. Damit wird das geringe verbliebene Vertrauen weiter untergraben.
  3. In vielen Einrichtungen liegen die Listen offen aus, was die Sorge vor unerwünschtem Kontakt durch andere Gäste weckt.

Leichtfertig verspieltes Vertrauen kann jetzt nur noch durch eine klare gesetzliche Regelung zurückgewonnen werden.

* Markierte Angaben wurden durch gastronovi schriftlich bestätigt oder konkretisiert