Buchbinder-Data-Breach: Was ist passiert – und warum?

Was genau ist eigentlich ein “Data Breach”? Wikipedia definiert die Datenpanne oder das Datenleck als “einen Vorfall, bei dem Unberechtigte Zugriff auf eine Datensammlung erhalten.” Dies kann auf vielfache Weise geschehen. Es kann z.B. sein, dass ein Unternehmen sensible Kundendaten in einer nicht ausreichend gesicherten Datenbank gespeichert hat. Es ist aber auch möglich, dass der Data Breach Folge eines Angriffs mit Malware ist.

Der deutsche Autovermieter Buchbinder ist nach eigenen Angaben “Marktführer im Privatkundensegment PKW und LKW in Deutschland und Österreich”. Die Regensburger beschäftigen mehr als 2.500 Mitarbeiter und betreiben rund 165 Miet-Stationen in Europa. Der Umsatz lag zuletzt bei knapp 350 Millionen Euro.

Von dem Datenleck, das Anfang 2020 publik wurde, waren stolze 10 Terabyte sensibler Kundendaten betroffen. Nach offiziellen Informationen war eine Fehlkonfiguration der Firewall des Backup-Servers, mit dem Schadensvorgänge im Zusammenhang mit Autovermietungen verwaltet wurden, der Grund für den Vorfall.

Der für das Leck verantwortliche offene Port im Backup-Server wurde noch am gleichen Tag (20.01.2020) geschlossen. Zuvor war der betroffene Fileserver allerdings ungeschützt über das Internet ansteuerbar und die darin gespeicherten Daten abrufbar gewesen.

Infolge des Data Breaches waren Informationen über insgesamt drei Millionen Buchbinder-Kunden wochenlang im Netz zugänglich. Die betroffenen Daten stammten aus den letzten 18 (!) Jahren und waren entsprechend umfangreich. Es handelte sich nicht nur um Namen, Adressen und Telefonnummern, sondern auch eingescannte Rechnungen, Verträge, Mails und Schadensbilder von Unfallautos waren vom Datenleck bei Buchbinder betroffen.

Später ließ das Management von Buchbinder jedoch verlauten, das BayLDA (Bayerisches Landesamt für Datenschutzaufsicht) sei zu dem Ergebnis gekommen, dass es keine Anhaltspunkte dafür gebe, dass die exponierten Daten in unbekannte Hände gelangt sein könnten oder ein sonstiger Datenmissbrauch stattgefunden habe.

Im Fall des Buchbinder-Data-Breaches ist besonders pikant, dass ein böswilliger oder auch nur neugieriger Internetnutzer keinerlei Schutzmechanismen hätte überwinden müssen, um an die sensiblen Daten zu gelangen. Im juristischen Sinne kann man also nicht einmal von einem “Hackerangriff” sprechen: Das Unternehmen hatte es einfach nur versäumt, einfachste Sicherheitsbestimmungen zu erfüllen, und die Daten durch korrektes Berechtigungsmanagement vor unbefugten Zugriffen zu schützen.

Obgleich das Unternehmen in seiner Stellungnahme hat verlauten lassen, dass die Untersuchungen des BayLDA keine Anhaltspunkte für unbefugte Zugriffe auf die Daten zutage gefördert hätten, kann nicht mit letzter Sicherheit ausgeschlossen werden, dass damals sensible Daten in falsche Hände geraten sind.

In jedem Fall drohen dem Autovermieter schwere finanzielle Folgen wegen Verstoßes gegen die seit 2018 wirksame DSGVO. Neben der Bußgeldsanktionierung rechnen Experten außerdem mit Schadensersatzforderungen betroffener Kunden, die nach Art. 82 der DSGVO ein Recht auf Entschädigung haben, sofern sie nachweisen können, dass ihnen durch den Vorfall ein materieller oder immaterieller Schaden entstanden ist.

Buchbinder ist leider kein Einzelfall. Und obwohl die Angriffe, die Unternehmen aus dem Cyberspace drohen, immer elaborierter werden, sind sensible Daten in vielen Unternehmen noch nicht einmal ausreichend gegen Datenmissbrauch von innen geschützt. Und Insider Threats entstehen häufig durch Gelegenheit.

Ein vergessener VPN-Zugang, ein Fileshare aus einer ehemaligen Projektmitarbeit oder vollständige Zugriffsberechtigungen für eine Abteilung, in der man Jahre zuvor einmal gearbeitet hat: Alles Gelegenheiten zum Datenmissbrauch, die noch nicht einmal eine böse Absicht voraussetzen. Manch ein Mitarbeiter ist vielleicht nur neugierig. Aber für das Unternehmen kann diese Neugier dramatische Folgen haben.

Im Falle des Buchbinder Data Breaches waren die Kundendaten weder gegen unbefugte interne Zugriffe, noch gegen Zugriffe von außerhalb des Netzwerks und der Organisation gesichert. Hier liegt also ein Cybersecurity-Versagen auf mehreren Ebenen vor.

Grundsätzlich gilt jedoch: Unternehmen, die die volle Kontrolle darüber haben, wer in ihrem Unternehmen zu welchem Zeitpunkt auf welche Daten zugreifen kann, sind seltener von Datenlecks betroffen als Organisationen, die ihre Zugriffsberechtigungen “auf Zuruf” vergeben.

tenfold ist eine unkomplizierte IAM-Lösung, die darauf ausgelegt ist, auf Basis von Best Practices innerhalb kurzer Zeit in Betrieb genommen zu werden. Die Software ist hervorragend an die Bedürfnisse von mittelständischen Organisationen angepasst und schützt den Zugang zu sensiblen Daten sowohl on-Premise als auch in der Cloud und in hybriden Umgebungen.

Dadurch, dass tenfold die Berechtigungsvergabe quer durch alle Systeme automatisiert und einen Wildwuchs der Strukturen am Fileserver verhindert, leistet die Software einen wertvollen Beitrag zur Erfüllung von unternehmenseigenen und externen Compliance-Richtlinien.

tenfold automatisiert das Reporting für Active Directory, Azure AD, die unterschiedlichen Fileserver (Windows, diverse SAN/NAS Systeme) und andere Dienste wie z.B. Exchange (Online) oder SharePoint (Online). Darüber hinaus bindet die Software die Rechtevergabe an die jeweilige Fachabteilung (Data-Owner) und sorgt für eine Compliance-gerechte Dokumentation jedes einzelnen Vorgangs.