{"id":316829,"date":"2025-10-10T21:42:17","date_gmt":"2025-10-10T19:42:17","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=316829"},"modified":"2025-10-11T00:26:20","modified_gmt":"2025-10-10T22:26:20","slug":"data-inn-hotelsoftware-mit-datenleck","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2025\/10\/10\/data-inn-hotelsoftware-mit-datenleck\/","title":{"rendered":"Data-Inn: Hotelsoftware mit Datenleck inklusive"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Sicherheit (Pexels, allgemeine Nutzung)\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" alt=\"Sicherheit (Pexels, allgemeine Nutzung)\" width=\"200\" align=\"left\" \/>Es muss mal wieder \u00fcber ein Datenleck bei Hotelsoftware berichtet werden. Die Leute von Zerforschung sind auf eine Reihe von Sicherheitsl\u00fccken <em>SIHOT.WEB <\/em>und <em>SIHOT.GO! <\/em>gesto\u00dfen, die Zugriff auf die Reservierungs- und G\u00e4stedaten im System erlaubten. Betroffen waren potentiell Millionen G\u00e4ste.<br \/>\n<!--more--><\/p>\n<h2>Die Hotelverwaltungssoftware SHIHOT<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg07.met.vgwort.de\/na\/89fa528feeaa439bad2578c5cff8dac6\" alt=\"\" width=\"1\" height=\"1\" \/>Betreiber von Hotels verwalten G\u00e4stebuchungen und weitere Daten mit Hotel-Software. So bietet die <a href=\"https:\/\/sihot.com\/unsere-geschichte\/\" target=\"_blank\" rel=\"noopener nofollow\">GUBSE AG<\/a> aus Schiffweiler im Saarland mit <em>SIHOT<\/em> eine komplette Suite an Software f\u00fcr das Hotelmanagement. Die\u00a0SIHOT Hotelsoftware entstand 1986 in einer ersten Version auf einer Unix-Plattform. Damals wurde die Software mit dem Anspruch weiterentwickelt, alle denkbaren Verwaltungsprozesse im Beherbergungsgewerbe, von der Jugendherberge bis hin zum 5 Sterne Luxushotel, mithilfe einer einzigen innovativen Softwarel\u00f6sung zu leisten.<\/p>\n<p>Die offene Struktur, Modularit\u00e4t und Konfigurierbarkeit soll eine individuelle L\u00f6sung f\u00fcr den Hotelier garantieren. SIHOT war eines der ersten Windows-Produkte auf dem Markt und wurde bis heute konsequent zur kompletten Modulfamilie erweitert, schreibt der Hersteller.\u00a0Diese Suite besteht aus vielen verschiedenen Teilen &#8211; relevant f\u00fcr den aktuellen Beitrag sind nur folgende Module.<\/p>\n<ul>\n<li>\u00dcber die Buchungsplattform <em>SIHOT.WEB <\/em>k\u00f6nnen G\u00e4ste per Web ein Zimmer buchen.<\/li>\n<li>Mit <em>S<\/em><em>IHOT.GO <\/em>k\u00f6nnen G\u00e4ste die Buchung auch mittels einer Web-App bequem auf dem Handy erledigen.<\/li>\n<\/ul>\n<p>Diese Hotelsoftware-Suite wird von einer ganzen Reihe Beherbergungsbetriebe verwendet. Dazu geh\u00f6ren\u00a0die DJH-Jugendherbergen in Mecklenburg-Vorpommern, Rheinland-Pfalz und dem Saarland, aber auch die Arbeiterwohlfahrtstochter AWO SANO. Mit im Boot sind auch Motel One,<sup id=\"fnref:1\"><\/sup> der DeHoGa-Campus und eine Reihe von Hotelketten wie Fidelis und GSH. Motel One hatte ich 2023 im Beitrag\u00a0<a href=\"https:\/\/borncity.com\/blog\/2023\/10\/08\/blackcat-cyberangriff-auf-motel-one-gruppe-daten-verffentlicht\/\" rel=\"bookmark\">BlackCat Cyberangriff auf Motel One Gruppe; Daten ver\u00f6ffentlicht<\/a> schon mal mit einem Datenabfluss thematisiert.<\/p>\n<h2>Aber die Sicherheitsl\u00fccken &#8230;<\/h2>\n<p>Einer aus dem Kollektiv Zerforschung wollte in einem dieser Beherbergungsbetriebe \u00fcbernachten und buchte sich zu diesem Zweck ein Zimmer. Dabei wurde im Browser mit beobachtet, was bei der Buchung so alles passiert.<\/p>\n<p>Der Browser oder die App kommuniziert mit einer API des Buchungsservers und verwendete dort URLs wie https:\/\/booking.sihot .com\/{CLIENT_ID}\/client\/, um auf die betreffende Daten zuzugreifen. Bei der Analyse stellten die Leute von Zerforschung fest, dass \u00fcber die API des Buchungsservers neben Anfragen \u00fcber eine Reservierungs-ID auch weitere Suchen m\u00f6glich waren. So lie\u00df sich abfragen, wer an einem bestimmten Datum im Betrieb ein Zimmer gebucht hat.<\/p>\n<p>Die Sicherheitsforscher von Zerforschung schreiben in ihrem Artikel\u00a0<a href=\"https:\/\/zerforschung.org\/posts\/sihot\/\" target=\"_blank\" rel=\"noopener\">Suche Entspannung, finde Datenleck<\/a>, dass mit einem gewissen technischen Verst\u00e4ndnis der Zugriff auf die gesamten Buchungsdaten des Systems m\u00f6glich war. Also Buchungen der G\u00e4ste, Buchungen und Eintragungen der Hotel-Mitarbeiter, Buchungen \u00fcber Portale wie Expedia oder Booking. Da die Daten \u00fcber viele Jahre gespeichert wurden, lassen sich Buchungen bis zur\u00fcck zum Jahr 2005 abrufen.<\/p>\n<p>Bei der weiteren Analyse der <em>SIHOT.WEB\u00a0<\/em>Web-App, die bei der Motel One verwendet wird, stie\u00dfen die Zerforscher auf weitere gravierende Schwachstellen. Bei anderen Systemen konnten sich die Sicherheitsforscher zum Administrator machen. Potentiell waren Millionen Buchungsdaten von G\u00e4sten betroffen. Der Hersteller hat die Schwachstellen behoben und gibt an, dass kein Missbrauch erfolgt sei.<\/p>\n<p>Also mal wieder eine \u00e4u\u00dferlich polierte, aber ranzige Software, die \u00fcber viele Jahrzehnte auch f\u00fcr Handy &amp; Co. aufpoliert wurde. Details lassen sich dem Artikel <a href=\"https:\/\/zerforschung.org\/posts\/sihot\/\" target=\"_blank\" rel=\"noopener\">Suche Entspannung, finde Datenleck<\/a> entnehmen.<\/p>\n<p>Die Zerforscher haben ihre Erkenntnisse mit dem NDR geteilt, der dann das Ganze in <a href=\"https:\/\/www.ndr.de\/nachrichten\/mecklenburg-vorpommern\/datenleck-bei-hotelsoftware,datenleck-102.html\" target=\"_blank\" rel=\"noopener\">diesem Artikel<\/a> aufbereitet hat. Bei der Tagesschau gibt es <a href=\"https:\/\/www.tagesschau.de\/investigativ\/ndr-wdr\/hotel-daten-sicherheitsluecken-software-100.html\" target=\"_blank\" rel=\"noopener\">diesen Artikel,<\/a> der mit\u00a0etwas mit Prosa angereichert wurde, und wo man erf\u00e4hrt, dass SPD-Politiker Ralf Stegner betroffen war. Wenn ich es jetzt nicht besser w\u00fcsste, t\u00e4te ich sagen, der Ralf Stegner hat das schon lange vorher geahnt, so grimmig, wie der immer kuckt.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Es muss mal wieder \u00fcber ein Datenleck bei Hotelsoftware berichtet werden. Die Leute von Zerforschung sind auf eine Reihe von Sicherheitsl\u00fccken SIHOT.WEB und SIHOT.GO! gesto\u00dfen, die Zugriff auf die Reservierungs- und G\u00e4stedaten im System erlaubten. Betroffen waren potentiell Millionen G\u00e4ste.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,7459],"tags":[4328,3836],"class_list":["post-316829","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-software","tag-sicherheit","tag-software"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/316829","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=316829"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/316829\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=316829"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=316829"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=316829"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}