![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\")
Gibt heute noch ein zweites Datenleck zu vermelden. Beim Autovermieter Buchbinder ist es zu einem Datenleck gekommen, bei dem pers\u00f6nliche Daten von drei Millionen Kunden auf einem offenen Server lagen. <\/p>\nGibt heute noch ein zweites Datenleck zu vermelden. Beim Autovermieter Buchbinder ist es zu einem Datenleck gekommen, bei dem pers\u00f6nliche Daten von drei Millionen Kunden auf einem offenen Server lagen. <\/p>\n
<\/p>\n
Buchbinder ist einer der gr\u00f6\u00dften deutschen Autovermieter \u2013 man sieht deren Kleinlaster h\u00e4ufig, wenn Leute umziehen. Und bei diesem Unternehmen gab es das wohl eines der gr\u00f6\u00dften Datenlecks in der Geschichte der Bundesrepublik: Pers\u00f6nliche Daten von drei Millionen Kunden der Autovermietung Buchbinder standen wochenlang ungesch\u00fctzt im Netz, darunter Adressen und Telefonnummern von Prominenten und Politikern. Zug\u00e4nglich waren au\u00dferdem Unfallberichte sowie Mails und Zugangsdaten von Mitarbeitern der Buchbinder-Gruppe. <\/p>\n
Den Hinweis auf den offenen Server erhielten c't und DIE ZEIT von dem IT-Sicherheits-Experten Matthias Nehls. Dessen Firma \u201eDeutsche Gesellschaft f\u00fcr Cybersicherheit\" war bei Routine-Scans auf den offenen SMB-Port gesto\u00dfen. Nehls wandte sich zun\u00e4chst zwei Mal per Mail an Buchbinder, erhielt nach eigenen Angaben jedoch keine Antwort. Daraufhin informierte der IT-Experte sowohl den zust\u00e4ndigen Landesdatenschutz-beauftragen in Bayern als auch c't und DIE ZEIT. <\/p>\n
Die zehn Terabyte an Daten, die \u00fcber den offenen Server erreichbar waren, enthielten \u00fcber f\u00fcnf Millionen Dateien. Darunter Dateien mit umfangreicher Firmenkorrespondenz samt eingescannter Rechnungen, Vertr\u00e4ge, Mails und Schadensbilder von Autos. In den neun Millionen Mietvertr\u00e4gen des Datensatzes fanden sich neben den Namen der Mieter auch die der Fahrer, Adressen, Geburtsdaten, F\u00fchrerscheinnummern und -ausstellungsdaten. <\/p>\n
Viele Kunden haben zudem Mobilfunknummern und E-Mail-Adressen angegeben. Kreditkartennummern fanden sich nicht in der Datenbank, wohl aber Zahlungsinformationen und Bankverbindungen auf PDF-Scans von Rechnungen. <\/p>\n
Zudem konnte man dem Augenschein nach auf die komplette MSSQL-Firmendatenbank ohne Passwortabfrage zugreifen. <\/p>\n
c't und DIE ZEIT informierten Buchbinder am 20. Januar 2019 \u00fcber das Datenleck: \u201eSofort nach Kenntnisnahme des Sachverhalts haben wir unverz\u00fcglich die Schlie\u00dfung der entsprechenden Ports durch unseren mit der Betreuung und Absicherung der Server beauftragten Vertragspartner veranlasst\", schrieb die zur Buchbinder-Gruppe geh\u00f6rende Terstappen Autovermietung GmbH. <\/p>\n
Aus juristischer Sicht ist ein derart offener Server ein geradezu katastrophaler Versto\u00df gegen die Vorgaben der DSGVO, so die c't in ihrer Presseinformation. Sollten die zust\u00e4ndige Aufsichtsbeh\u00f6rden einen Versto\u00df gegen die DSGVO feststellen, w\u00e4re ein sehr hohes Bu\u00dfgeld f\u00e4llig. <\/p>\n