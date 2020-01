Matthias Nehls ist ein eher wortkarger Norddeutscher, der Gründer der Datensicherheitsfirma Cyberscan neigt nicht zu Übertreibungen. Umso genauer sollte man hinhören, wenn er deutlich wird. "Ich habe schon viele Sicherheitslücken gesehen", sagt er, "aber diese hier ist besonders böse und fatal für alle Betroffenen." Der 37-Jährige hat mit seiner Software eins der größten bislang bekannten Datenlecks in Deutschland entdeckt: Auf einem Server der Mietwagenfirma Buchbinder waren bis zu diesem Montag über Wochen die Daten von Millionen Kunden aus Deutschland und anderen Ländern einsehbar. Frei zugänglich, unverschlüsselt und so gut sortiert wie eine Stadtbibliothek.

Stichproben und Auswertungen der ZEIT und des Computermagazins c’t zeigen, dass womöglich die gesamte Kunden- und Fahrerdatenbank von Buchbinder einsehbar war. Sie enthält etwa drei Millionen Führerschein-Nummern sowie die dazugehörigen Namen; auch Zahlungsdaten, Privatadressen, Geburtsdaten, Mobilnummern und E-Mail-Adressen finden sich darin. Mitunter lassen sich Rückschlüsse auf die Kunden ziehen, etwa dann, wenn das Auto von einer Selbsthilfegruppe gemietet wurde oder der Fahrer betrunken am Steuer erwischt worden ist. Von regelmäßigen Kunden könnte man anhand der Angaben zu Ausleih- und Abgabestationen grobe Bewegungsprofile erstellen.

Unter den Betroffenen sind Kunden aus der ganzen Republik – auch solche, die bloß über Mietwagenvermittler zu Kunden von Buchbinder wurden. Die Datenbank umfasst Mitarbeiter zahlloser Unternehmen und Institutionen; allein die Suche des Begriffs "Bundesamt" im Mieter-Feld der Datenbank von Buchbinder fördert mehr als 2.000 Datensätze zutage. Es sind Schauspieler, Sportler und Journalisten betroffen; darunter auch Mitarbeiter der ZEIT und von ZEIT ONLINE sowie von c’t. Menschen also, die ihre Privatsphäre häufig besonders schützen müssen.

Manche der Daten wurden von den Kunden nie digital hinterlassen, sondern sind erst von Buchbinder digitalisiert worden. Eingescannte Verträge samt Unterschriften etwa, auch Zahlungsinformationen, Unfallberichte samt Fotos; mitunter sind darin Zeugenaussagen Dritter dokumentiert. Schreiben von Rechtsanwälten finden sich ebenso wie polizeiliche Unfallmitteilungen.

Hochsensible Daten also, die sich leicht missbrauchen lassen, etwa um Menschen auszuspionieren, ihre Identität nachzuahmen oder sie zu erpressen. Besonders groß ist dieses Risiko bei Mitarbeitern von Ministerien, Polizeibehörden, dem Bundeskriminalamt oder von Botschaften. Unter den betroffenen Personen sind Politiker; auch solche, die oft Anfeindungen und sogar Bedrohungen ausgesetzt waren und deswegen schon Polizeischutz erhalten haben. In der Datenbank finden sie sich mit ihrer Privatadresse und ihrer Handynummer.

Dazu gehört etwa Robert Habeck. Der Grünen-Chef wurde schon öfter Opfer sogenannter Doxings, bei denen Angreifer persönliche Daten ins Internet stellen. Für sie sind offene Datenbanken wie die von Buchbinder ein Geschenk. Von der ZEIT zu dem Buchbinder-Leck gefragt, sagt Habeck nur noch: "Lustig finde ich das nicht."

In der Datenbank finden sich auch ein ehemals ranghoher Verfassungsschützer und Arne Schönbohm, der Präsident des Bundesamts für Sicherheit in der Informationstechnik (BSI). Ausgerechnet der Mann also, dessen Cyber-Sicherheitsbehörde für den Schutz der IT-Systeme der Regierung und der Ministerien zuständig ist. "Der Fall zeigt leider, dass auch sehr sensible personenbezogene Daten immer wieder nur unzureichend geschützt werden", sagt Schönbohm der ZEIT. "IT-Sicherheit ist keine Raketenwissenschaft, sondern muss das Einmaleins im Geschäftsleben sein", fordert Schönbohm, der früher selbst Unternehmen geleitet hat. Und: "Egal ob ich – wie in diesem Fall – persönlich betroffen bin oder nicht, solche Fälle ärgern mich sehr, weil sie vermeidbar wären."

Leicht vermeidbar sogar, wie die Genese des Buchbinder-Falls zeigt.

Der Daten-GAU bei Buchbinder ist nur ein Beispiel für ein weitverbreitetes Problem

Buchbinder ist keine Klitsche. Seit 2017 ist die Firma Teil der französischen Europcar Mobility Group und nach eigenen Angaben Marktführer im Privatkundensegment, sie beschäftigt 2.500 Mitarbeiter und erzielte im Jahr 2018 rund 350 Millionen Euro Umsatz. Buchbinder ist also ein seit Jahren etabliertes Unternehmen, von dem man Professionalität erwarten darf. "Wir nehmen Datenschutz ernst", verspricht Buchbinder auch auf seiner Homepage. Man habe Sicherheitsvorkehrungen getroffen, um personenbezogene Daten gegen unautorisierten Zugriff zu schützen. Von wegen: Sogar E-Mail-Passwörter von Mitarbeitern standen unverschlüsselt im Netz.