Buchbinder: mit Firewall wäre das nicht passiert

Von diesem Datenleck hat wohl mittlerweile fast jeder etwas in den Medien mitbekommen.

Die Autovermietung Buchbinder hat jüngst den Vogel abgeschossen. 10 Terabyte hochsensibler Kunden- und Vertragspartnerdaten sowie obendrein Logindaten der eigenen Mitarbeiter und Kunden waren wochenlang ohne Passwort im Internet abrufbar¹⁾https://www.tagesschau.de/inland/datenleak-autovermietung-buchbinder-101.html.

Trotz mehrfacher Hinweise direkt an Buchbinder wurde das Problem nicht gelöst, weshalb es Sicherheitsexperten sodann der Presse meldeten. Das dürfte noch einiges an Nachspielen haben, denn nicht nur die Rechte unzähliger Betroffener wurden verletzt sondern Buchbinder ist – wenn die Berichte der Presse stimmen²⁾https://www.heise.de/ct/artikel/Daten-Leak-bei-Autovermietung-Buchbinder-3-Millionen-Kundendaten-offen-im-Netz-4643015.html – auch nicht der Pflicht nachgekommen das Problem überhaupt zu lösen nachdem man darüber informiert wurde.

Selbst heute, drei Tage nach Bekanntwerden des Vorfalls, sind die Informationen hierzu auf der Webseite des Anbieters äußerst spärlich. Trotz der vermeintlich großen Schrift muss man schon genau hinsehen, um die Meldung von Buchbinder tatsächlich als solche wahrzunehmen:

Im Datenschutz-Bereich der Webseite des Unternehmens findet man lediglich eine generische Mailadresse für Anfragen. Zur Datenpanne, man möge mich korrigieren falls ich irre, steht da gar nichts:

Die geleakten Daten im Überblick

Zu den frei verfügbaren Daten gehören laut Presseberichten unter anderem folgende⁵⁾https://www.heise.de/ct/artikel/Daten-Leak-bei-Autovermietung-Buchbinder-3-Millionen-Kundendaten-offen-im-Netz-4643015.html:

• 5 Millionen Dateien mit umfangreicher Firmenkorrespondenz
• Echtheitsverifizierte Daten der Fahrer inklusive Klartext-Namen, Adresse, Geburtsdatum, Führerscheinnummer und Ausstellungsdatum
• Zahlungsinformationen und Bankverbindungen
• Daten von über 9 Millionen Mietverträgen der vergangenen 18 Jahre
• Bewegungsdaten in Form von Abhol- und Abstellorten
• eingescannte Rechnungen und Verträge
• Datenbank mit über 500.000 Unfällen inklusive Namen, Adressen und Kennzeichen von Unfallgegnern sowie eventueller Zeugen samt Telefonnummern, E-Mails und Schadensbilder von KFZ
• Namen und Kontaktdaten von Verletzten und tödlich Verunglückten
• Informationen über von der Polizei angeordnete Blutproben
• Login-Informationen von Angestellten und Nutzern der Online-Portale sowie dem Flottenmanagement

Nicht nur Buchbinder betroffen

Dies betrifft nicht nur Daten der Firma Buchbinder, sondern auch derer Kooperationspartner. So waren auch Daten von billiger-mietwagen.de und Car Del Mar verfügbar, sicherlich auch noch von vielen weiteren Unterauftragnehmern, Vermittlern und Vergleichsportalen.

Es ist in jedem Fall davon auszugehen, dass es sich hier um einen der größten bekannt gewordenen Datenskandale seit Einführung der Datenschutzgrundverordnung (DS-GVO) handelt.

Wie es dazu kam

Alle offiziellen Erklärungen, die bisher dazu veröffentlicht wurden, erklären den Sachverhalt durch einen menschlichen Konfigurationsfehler beim Backupserver.

Nur die halbe Wahrheit

Natürlich war es direkt ursächlich mal ein Konfigurationsfehler insofern, dass Backups auf einen Server gespeichert wurden, der ohne Passwort frei im Internet erreichbar war. Sogennante Ports, die auf Verbindungsanfragen hören, wurden auf dem Server nicht geschlossen. Das hätte nicht passieren dürfen.

So etwas ist natürlich ärgerlich, lässt sich aber nicht vermeiden. Es wird niemals 100%ige Sicherheit geben, wenn Menschen Einstellungen konfigurieren müssen oder von Menschen entwickelte Technik im Einsatz ist. Zu viel Zeitstress, zu wenig Geld für Personal, schlecht programmierte Software, … die Gründe sind vielfältig.

Außerdem wird es immer neue Bedrohungen geben, die man eben nicht oder noch nicht berücksichtigt hatte, als man das System aufgesetzt hatte.

Deshalb ist die Empfehlung jedes Sicherheitsexperten, jedes Datenschutzbeauftragten (DSB), des Bundesamtes für Sicherheit in der Informationstechnik (BSI)⁶⁾https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKompendium/bausteine/NET/NET_1_1_Netzarchitektur_und_-design.html, des National Institute of Standards and Technology (NIST)⁷⁾https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-41r1.pdf, ja sogar des BSI für Bürger⁸⁾https://www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/Schutzprogramme/Firewall/firewall_node.html, jedes Netzwerk nach Außen mit einer Firewall abzusichern.

Was also muss alles schief gelaufen sein, dass es zu solch einem Ausmaß überhaupt kommen konnte?

#1 Keine funktionierende Firewall

Eine funktionierende Firewall hat es bei Buchbinder wie so oft nicht gegeben.

Vg. hierzu:

• BSI: Netzarchitektur und -design⁹⁾https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKompendium/bausteine/NET/NET_1_1_Netzarchitektur_und_-design.html
• Guidelines on Firewalls and Firewall Policy¹⁰⁾https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-41r1.pdf

#2 Datensicherungen unverschlüsselt

Darüber hinaus sind Datensicherungen zu verschlüsseln. Das hat Buchbinder ebenfalls sträflich versäumt.

Vgl. hierzu:

• DS-VGO: Verschlüsselung¹¹⁾https://dsgvo-gesetz.de/themen/verschluesselung/

#3 Kein Berechtigungskonzept

Mal abgesehen davon, dass selbst wenn ein Server wie auch immer verfügbar ist, die Freigaben unter denen man Dateien sieht sowie die Dateien an sich auch mit Passwort hätten versehen sein müssen. Oder anderweitig geschützt. Aber nicht ohne Benutzername und ohne Passwort lesbar.

Vgl. hierzu:

• DS-GVO: Zutritts- und Zugangsberechtigungen¹²⁾https://dsgvo-gesetz.de/bdsg/64-bdsg/

#4 Keine Kontrollmechanismen

Außerdem sind die Sicherheitsmaßnahmen regelmäßig zu kontrollieren. Das hat sich Buchbinder offenbar ebenfalls gespart oder dabei schlampig gearbeitet. Es wäre interessant zu wissen, wie die Verarbeitung „Datensicherung“ im Verzeichnis der Verarbeitungstätigkeiten von Buchbinder beschrieben wurde.

Vgl. hierzu:

• DS-GVO: Sicherheit der Verarbeitung¹³⁾https://dejure.org/gesetze/DSGVO/32.html

#5 Keine Überwachung der Einhaltung durch DSB

Der Datenschutzbeauftragte (DSB) von Buchbinder hat sicherlich mehrfach auf die Probleme hingewiesen und darauf hingearbeitet, dass diese gelöst werden. Aber wahrscheinlich waren „die Wege zu lang“. Anders ist es kaum erklärbar, wobei das natürlich nur eine böse Mutmaßung ist.

Vgl. hierzu:

• DS-GVO: Aufgaben des DSB¹⁴⁾https://dsgvo-gesetz.de/art-39-dsgvo/

Die ganze Wahrheit

RA Dr. Wachs formuliert es sehr treffend in seinem aktuellen Blogeintrag vom 23.1.2020:

Die Datenschutzerklärung auf der Webseite klingt vor dem Hintergrund des Buchbinder Datenskandals fast schon ein wenig zynisch [Hervorhebung durch ITK]:

„Wir haben technische und administrative Sicherheitsvorkehrungen getroffen um Ihre personenbezogenen Daten gegen […] Zugriff zu schützen.[…] Wann immer wir personenbezogene Daten sammeln und verarbeiten, werden diese verschlüsselt bevor sie übertragen werden. Das heißt, dass Ihre Daten nicht von Dritten missbraucht werden können. Unsere Sicherheitsvorkehrungen unterliegen dabei einem ständigen Verbesserungsprozess …“

Quelle: https://www.dr-wachs.de/blog/2020/01/23/datenschutzverstoss-bei-buchbinder-was-koennen-betroffene-tun am 25.01.2020 um 08:34 Uhr¹⁵⁾https://www.dr-wachs.de/blog/2020/01/23/datenschutzverstoss-bei-buchbinder-was-koennen-betroffene-tun

Praxisrelevanz auch für andere Branchen – hallo liebe Ärzte

Das Thema Firewall ist ein echtes „pain in the ass“ Problem.

Bei jedem Neukunden fangen wir bei Null an zu erklären, was eine Firewall tut und wieso diese ach so unverzichtbar ist. Und zu schildern, wieso eine FritzBox nichts mit einer Firewall zu tun hat auch wenn der Hersteller AVM das so verkauft¹⁶⁾https://avm.de/ratgeber/sicherheit-mit-avm/sicher-im-internet/:

Nein, das, was AVM da als Firewall beschreibt, das hat wirklich ziemlich wenig mit dem zu tun was man unter einer professionellen Firewall versteht. AVM mag ganz nette Spielzeuge für Standardanwendungen im privaten Wohnzimmer herstellen (wobei wir selbst da nicht auf AVM vertrauen würden, aber das ist ein anderes Thema). Mehr aber auch nicht. Mit professioneller Sicherheitstechnik hat das nichts zu tun.

Dass eine Firewall gesetzlich wohl als vorgeschrieben gelten dürfte, das zieht bei Kunden leider auch selten als Argument. Das funktioniert ja schon nicht beim Thema E-Mail Archivierung, die alleine schon aus Gründen der GoB¹⁸⁾https://wirtschaftslexikon.gabler.de/definition/grundsaetze-ordnungsmaessiger-buchfuehrung-gob-32782 verpflichtend wäre¹⁹⁾https://www.mailstore.com/de/blog/2018/10/04/sind-die-gobd-ein-gesetz/²⁰⁾https://www.mailstore.com/de/produkte/mailstore-server/rechtssicherheit/leitfaden-zur-rechtssicheren-e-mail-archivierung-pdf/.

Wie auch immer, praktisch jede Arztpraxis, viele Anwaltskanzleien, ja sogar Behörden verzichten regelmäßig auf Firewalls denn die kosten Geld, sind extrem komplex in der Wartung und führen – aus Kundensicht – oft dazu, dass etwas vermeintlich nicht geht.

Trotzdem ist die Firewall immer die „last line of defense“ für sämtliche IT Systeme und somit alle Daten, die ein Unternehmen verarbeitet, weshalb wir doch noch einmal einen ganz kleinen Exkurs darüber versuchen möchten, was die Firewall eigentlich wirklich macht.

Firewall erklärt für Dummies

Nicht falsch verstehen, das ist nicht böse gemeint sondern soll auch für weniger technisch bewandte Leser den Sinn einer Firewall erklären.

Ganz vereinfacht formuliert – technisch nicht ganz richtig aber es hilft zu verstehen, wie das Prinzip funktioniert – kehrt eine Firewall die Zugriffsmöglichkeiten um:

1. Standardeinstellung Server, PC, Notebook: alles geht, jeder Dienst ist erreichbar. Im Fall Buchbinder war der Backupserver mit unverschlüsselten Daten ohne Schutz erreichbar.
   
2. Standardeinstellung Firewall: nichts geht, alles ist geblockt. Der Backupserver wäre nicht über Internet erreichbar gewesen. Falls Backups über Internet übertragen werden sollten, so hätte man dann entsprechende Regeln erst konfigurieren müssen die erlauben, dass von Standorten von Buchbinder zu diesem Server – und nur diese und nur für Sicherungen – erlaubt sind.

Eine Firewall macht darüber hinaus noch viel, viel mehr. Sie prüft ob SSL Zertifikate für die Verschlüsselung in Ordnung sind, blockiert Server mit Schadsoftware und protokolliert beispielsweise auch abgewiesene Angriffe. Entgegen weitläufiger Meinung muss eine Firewall nicht nur eingehende Verbindungen prüfen sondern auch alle ausgehenden Anfragen; was die angeblichen Firewalls auf üblichen „Home“ Routern schon einmal generell gar nicht bieten.

Wäre also bei Buchbinder eine (richtig konfigurierte) Firewall im Einsatz gewesen, so wäre es jedenfalls zunächst einmal völlig egal gewesen, dass Backups unverschlüsselt erstellt wurden, dass es kein Passwort gab und dass niemand etwas davon bemerkt hat. Denn zumindest von Außen hätte man keinen Zugriff gehabt.

Aber eindeutig war hier keine oder zumindest keine korrekt konfigurierte Firewall im Einsatz. Und an der Stelle hält sich dann auch das Mitleid in Grenzen.

Selbst die kleinste von uns angebotene Firewall (Full Service Mietmodell für 69,90 € inkl. Wartungskosten) hätte diesen Vorfall bei Buchbinder wirksam verhindert. Umso größer das Unverständnis darüber, dass immer wieder Kunden einen Haftungsausschluss unterschreiben und ihren Betrieb ohne Firewall ins Internet hängen.

Bei dieser Menge an ignorierten IT Sicherheitsregelungen ist wohl nicht mit dem Finger auf die Fehlkonfiguration durch IT Admins zu zeigen. Wenn man hier einen Schuldigen ausmachen möchte, dann sollte man einen Blick in Richtung Geschäftsführung riskieren. Bei Buchbinder sieht alles nach Managementversagen aus.

Denn, was leider viele noch nicht begriffen haben:

IT Sicherheit und Datenschutz sind Chefsache.