Sicher ist hier gar nichts: Hotels, Meta und Kontrollverlust

00:00:17: Hallo und herzlich willkommen zu They Talk Tech, ein CT-Podcast.

00:00:21: Ich bin Zvereckard, Tech-Journalistin und bei mir ist die Wunderbare.

00:00:25: Oh, danke, die Wunderbare sag ich nicht selber über mich, aber du über mich, das freut mich sehr.

00:00:30: Eva Wolfange, auch Tech-Journalistin.

00:00:33: Hey, schön, euch zu sehen, dich zu sehen und euch zu hören.

00:00:36: Nee, zu euch zu sprechen.

00:00:39: Heute ist der Parment Podcast.

00:00:41: Bei uns geht es tatsächlich um große Sicherheitslücken und Lacks.

00:00:45: Einmal werden wir euch berichten von einer Lücke in einer Hotelsoftware beziehungsweise in einer Hotelmanagementsoftware.

00:00:53: Eigentlich die Lücke viel größer, betraf nämlich nicht nur ein Hotel, sondern ganze Ketten darunter auch Mortal One.

00:01:01: Das kennen sicherlich viele, aber

00:01:02: auch vom letzten Lack vielleicht sogar.

00:01:05: Genau.

00:01:06: Aber auch viele Jugendherbergen waren betroffen und außerdem werden wir zumindest ganz kurz über das aktuell laufende Verfahren sprechen.

00:01:14: Denn es gibt ein Verfahren am Oberlandesgericht in Hamburg.

00:01:18: Da geht es auch um Daten.

00:01:20: Nicht ganz um ein Lack, aber dazu gleich mehr.

00:01:22: Da geht es um ein Verfahren gegen Meter.

00:01:25: Da klagt die Verbraucherschutzzentrale.

00:01:27: Also heute wirklich rund um Leeks und Lex.

00:01:32: Pleitenpäche und Pannen oder so.

00:01:34: Du sagst es so, du sagst es so, süffisant, lustig.

00:01:37: Ja, ich hab ja auch den falschen Ausweis.

00:01:41: Stimmt.

00:01:42: Wow, eigentlich müsst du mit dieser Folge anfangen mit, du hattest recht schlimm, oder?

00:01:47: Stimmt.

00:01:48: Okay, wir fangen nochmal an.

00:01:48: Ich hatte recht.

00:01:55: Wow, Eva, ich musste so oft, dann dich denken wir dieser Recherche und an deinen falschen Ausweis, denn wer uns hier schon ein bisschen länger zuhört, der weiß ja, dass Eva ... nicht mit ihrem echten Personalausweis beim Check-in im Hotel vorgeht, sondern tatsächlich so ein Art falschen Ausweis im Geldbeutel hat.

00:02:13: Was steht da drauf?

00:02:14: Gundola

00:02:15: Krause?

00:02:17: Gute Idee.

00:02:18: Sabine Mustermann.

00:02:19: Nein, da steht einfach ein anderer Name drauf.

00:02:21: Der ist gar nicht so anders wie mein echter Name, aber halt entscheidend anders.

00:02:26: Ein Name, der ein bisschen häufiger vorkommt und vor allem auch eine andere Adresse.

00:02:28: Mir ging es ja dabei vor allem darum meine privaten Daten.

00:02:32: zu schützen, allen voran meine private Adresse.

00:02:36: Und ja, ich habe eben gesehen, und das war wirklich bevor diese ganzen Vorfälle passiert sind, auch der letzte große Motor One Vorfall, hatte ich so das Gefühl, Hins und Kunst möchte mein Ausweis haben und meine Adressdaten haben.

00:02:50: Und damit war mir nicht wohl.

00:02:51: Und deswegen habe ich es bei Digital-Courage einen Lichtbildausweis bestellt.

00:02:56: Und das ist auch völlig legal, weil das ist, der gibt ja gar nicht vor, ein amtlicher Lichtbildausweis zu sein, sondern ist nur ein Lichtbildausweis.

00:03:04: Und mit dem kommt man echt erstaunlich weiter.

00:03:05: Sieht zwar auch, der sieht, also ja, wie gesagt, er sucht auch nicht, das wäre auch nicht erlaubt, den Personalausweis wirklich nachzumachen.

00:03:11: Aber er sieht eben aus wie ein so ein bisschen, so ein bisschen offizieller Ausweis.

00:03:15: Und

00:03:15: vielleicht auch noch ganz interessant zu wissen, seit Anfang zwanzig, fünfundzwanzig muss man in deutschen Hotels zumindestens beim Einchecken, auch gar kein Ausweis.

00:03:24: Also diese Meldepflicht ist abgeschafft.

00:03:26: Also man muss es gar nicht mehr vorlegen.

00:03:27: Man könnte also durchaus auch sowas sagen wie, nein, muss ich ja gar nicht vorzeigen.

00:03:33: Aber sag mal Eva noch, gibst du den eigentlich schon bei der Buchung die falsche Adresse von dir?

00:03:37: Weil das ist ja eigentlich immer das Problem.

00:03:39: Man muss ja in dieses digitale Buchungsformular... Echte Adresse eintragen, auch wegen der Abrechnung.

00:03:45: Ja, aber ehrlich gesagt hat sich noch niemand beklagt, wenn ich dann eine Rechnung eingereicht habe.

00:03:50: Also oft übernacht ich ja in Hotels im Auftrag von anderen, von Kunden, Kundinnen oder Verlagen, Redaktionen.

00:03:56: Und dann bekomme ich das Geld zurück.

00:03:58: Aber da hat noch niemand gesagt, was ist da für eine komische Adresse drauf?

00:04:02: Das ist nicht so das Problem.

00:04:04: Am liebsten mache ich eben dieses, man kann ja oft von zu Hause schon einchecken, das mache ich am liebsten, weil da kann man ganz entspannt die Daten eintragen.

00:04:11: Ich weiß, es gibt Systeme, wo man eine Kopie vom Ausweis hochladen muss, was ich echt krass finde.

00:04:16: So was hab ich zum Glück noch nicht erlebt.

00:04:18: Du hast gesagt, man muss zwar eigentlich keinen Person vorlegen, und die sollen schon gar nicht alle Daten abschreiben.

00:04:24: Aber das ist manchen Hotels ja auch egal.

00:04:26: Manche machen es einfach weiterhin so.

00:04:28: Dann stehst du da, weil die sagen, dann kannst du nicht übernachten.

00:04:31: Wenn du spät nachts ankommst und nur noch schlafen möchtest, bist du wahrscheinlich da auch so ein bisschen bestechlich und machst im Zweifel mit.

00:04:39: Okay, aber jetzt kommen wir erst mal dazu.

00:04:41: Warum,

00:04:41: Eva?

00:04:42: Warum hatte ich recht?

00:04:44: Warum Sie mit Ihrem Papier laden

00:04:47: durch die Hotels ziehen mit Ihrem laminierten?

00:04:50: Nämlich ganz zu recht.

00:04:52: tatsächlich ist es so, dass gerade kürzlich es wieder eine große Sicherheitslücke gab.

00:04:58: Und dazu habe ich viel recherchiert in den letzten Wochen.

00:05:01: Und diese Sicherheitslücke wurde gefunden durch das Kollektiv CERF Forschung.

00:05:06: Die werden wir hoffentlich auch mal hier haben.

00:05:08: Und einladen, wir werden es auf jeden Fall versuchen.

00:05:10: Grüße gehen raus.

00:05:11: Das Zerforschung kenne ich schon ein bisschen länger, hatte zuletzt mit Ihnen auch Kontakt während der Corona-Pandemie, also diese ganzen Testzentren aufpopten.

00:05:21: Und es eigentlich ganz schlimm war, dass man von außen jeden Test einsehen konnte, beziehungsweise auch jeden passenden Namen dazu.

00:05:28: Da waren eben auch viele Adressdaten dabei, nämlich genau Namen, Adressen und Testergebnisse.

00:05:32: Ja, der Forschung findet immer wieder.

00:05:37: Und vor allem finde ich, dass ich Lücken, wo man sich so gut vorstellen kann, dass es wirklich ein Problem ist und arbeitet so was auch gut auf.

00:05:43: Also ich arbeite gerne mit denen zusammen, weil sie, finde ich, auch so ein Händchen dafür haben, die Relevanz einfach zu vermitteln.

00:05:50: Außerdem haben sie Humor und schreiben echt auch ziemlich interessante coole Blogbeiträge.

00:05:55: Neben unseren Artikeln darüber natürlich kann man auch die Blogbeiträge von Ziaforschung wirklich empfehlen.

00:06:00: Und die haben jetzt eine ganze Reihe.

00:06:01: Ich hab das Gefühl, ich hab die letzten Wochen immer wieder gelesen, Hotel ... kaputt zur Forschung ganze Reihe von Lücken aufgedeckt.

00:06:09: Du hast eine recherchiert, die besonders weitreichend ging und besonders viele private Daten betroffen haben.

00:06:15: Erzähl doch mal, was genau steckt dahinter.

00:06:17: Genau, also das war eine Sicherheitslücke, die... unter anderem Fünfzig Mortal Ones betroffen hat, aber auch viele Jugendherbergen, z.B.

00:06:27: alle Jugendherbergen in Mecklenburg-Vorpommern, auch in Rheinland-Pfalz und im Saarland.

00:06:32: Und das über Jahre zurück, also zur Forschung, hat angegeben, dass man hätte Daten einsehen können von vor, ja, von zwei Tausend Fünf, ne, von fast über zwanzig Jahren, wo man sich schon fragt so.

00:06:46: Warum müssen diese Daten irgendwie in der Nähe vom Internet sein?

00:06:50: Also es gibt ja Aufbewahrungspflichten, auch für gewisse Daten, aber die kann man dann auch sicher in einem separaten System aufgefahren.

00:06:57: Aber lass uns kurz reingehen, so ein bisschen in die Lücken oder was war passiert.

00:07:03: Also genau, zur Forschung hat sich bei mir gemeldet, dass sie eben eine Sicherheitshücke gefunden haben, und zwar nicht bei den Hotels direkt, wie man vielleicht im ersten Moment vermuten würde, sondern in einem Hotel-Buchungssystem, was sozusagen dahinter liegt.

00:07:17: Und deswegen sind so viele betroffen auch.

00:07:19: Ja, und man kann sich ja sicher gut vorstellen, dass nicht unbedingt jedes Hotel diese Buchungssoftware sich irgendwie neu hin entwickelt.

00:07:26: Da liegen ja irgendwie Datenbanken dahinter.

00:07:28: Das ist ein Riesenmanagement-Ding, was da auch dahinter steht.

00:07:31: Ich will vielleicht per App buchen, einchecken.

00:07:34: Ich will meine Buchung nochmal verändern, sodass es also dann... In dem Fall ein mittelständisches Unternehmen war, was also Hotelmanagementsoftware macht.

00:07:42: Und die hatten unter anderem AP-Schnittstellen nicht sauber programmiert oder so programmiert, dass man nicht nur eine Buchung abrufen konnte, sondern halt alle.

00:07:55: Wir kennen den bekannten Hochzielfehler.

00:07:56: Ich wollte

00:07:57: grad sagen, du warst wieder so was?

00:07:59: Genau, auf das war es.

00:08:01: Zerforschung hat mehrere Sicherheitslücken gefunden.

00:08:05: eine SQL-Injection, die möglich war, also dass ich im Prinzip Daten über einen Formular sehr einfach abrufen konnte und atmen werden konnte und mir dann alle Daten geben lassen konnte.

00:08:16: Das war im Prinzip wie ein löchriger Käse.

00:08:18: Wir haben also mehrere Sicherheitslücken gefunden.

00:08:22: Und das war dann, denke ich, auch der Grund, warum sie uns auch noch mit reingenommen haben, also um einfach ... Awareness zu schaffen und zu sensibilisieren.

00:08:33: Dafür genau.

00:08:34: Und wir konnten dann die Lücke insofern stichprobenartig nachvollziehen, weil jetzt kommen wir wieder zum Anfang.

00:08:40: Du hast recht,

00:08:41: weil ich natürlich auch einen Model One übernachtet habe.

00:08:44: Wer hat das noch nicht?

00:08:47: Wer kennt das nicht?

00:08:49: Es ist

00:08:50: aber schon irgendwie unangenehm, ne?

00:08:52: Also du sitzt dann da mit diesen Researchern und sagst dann, ja, okay, könnt ihr das auch beweisen, was ihr da rausgefunden habt?

00:08:59: Und dann sagen die, ja, wann warst du denn im Model One das letzte Mal?

00:09:02: Das war bei mir tatsächlich der Fall, das ist ja, war ich in Berlin im Oktober, hab da auch bei Model One gebucht und dann konnten die tatsächlich, wir haben dann das natürlich mit dem Datum.

00:09:14: zusammen, um jetzt nicht eine Riesenabfrage zu machen, sondern sehr gezielt auch zu schauen, konnten die mir dann zum Beispiel sagen, wo ich wohne.

00:09:23: Das ist dann schon unheimlich.

00:09:24: Also sie konnten mir sagen, wo ich wohne, sie konnten mir mein Genausgeburtstatum sagen.

00:09:29: Das ist geheim, ja.

00:09:30: Also das steht noch nicht mal.

00:09:32: Bei der Wikipedia, da hat irgendeiner mal dazu geschrieben, Um, neunzehntundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundund.

00:10:07: Oh, man, das tut mir leid.

00:10:08: Ich glaub, das ist schon scheiße zu sehen.

00:10:10: Ich mein, der Vorteil in dem Fall ist, dass man zumindest die Daten noch nicht im Darknet gefunden hat, oder?

00:10:15: Sondern nur ... Also, unseres oder deines Wissens nach, bis er vor allem ethische HackerInnen drauf zu gegriffen haben.

00:10:24: Genau.

00:10:25: Also, zumindestens, es gibt jetzt kein Hinweis darauf, dass die Daten vorher schon mal abgegriffen und verkauft wurden.

00:10:30: Der Anbieter hat das auch, also wirklich ... Wir haben da dann Statements eingeholt, die haben auch sehr umfangreich geantwortet und die haben das also sehr deutlich im Statement gesagt.

00:10:40: Die Daten wurden nicht abgegriffen, außer diesen Abgriffen, die man gesehen hat, die durch Zerforschung stattgefunden haben.

00:10:47: Von daher kann man da vielleicht vorsichtig optimistisch sein.

00:10:51: Auf der anderen Seite bei einer Lücke, die möglicherweise offenbar über zwanzig Jahre bestand.

00:10:58: So.

00:10:58: Ja, zumal, also wie gesagt, insbesondere Motel One hat

00:11:00: ja schon mal in großem Stil Daten verloren, die im Darknet gefunden worden sind.

00:11:02: Also von daher hoffe ich nur für dich, dass da noch nicht drin waren.

00:11:03: Es war, glaube ich, im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im

00:11:17: Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Und.

00:11:20: ich habe in dem Fall der Gesellschaft mit der Süddeutschen kooperiert.

00:11:23: Das war natürlich auch meine erste Frage.

00:11:25: Sind das Daten von damals oder diese oder so?

00:11:28: Aber die haben das ausgeschlossen, weil die gesagt haben, nee, also der Hergang damals der Daten, das konnte man ganz gut nachvollziehen, wo die herkamen.

00:11:40: Und da ging es um einen kompromittierten Rechner, wo dann Daten abgeflossen sind.

00:11:44: Also das heißt, das waren nicht die Daten.

00:11:48: Damals war eine Sexterabyte-Daten.

00:11:51: Man fragt sich halt, wie viel Daten haben die eigentlich bei Motel One?

00:11:54: Also ganz im Ernst Sexterabyte, was kann man, also das ist wirklich viel.

00:11:59: Also wenn man denkt, das sind vielleicht nur, also Adresse, Name, gut, vielleicht Fotos von Ausweisen oder was ist dann noch dabei?

00:12:08: Genau, um was hat es genau das für sich für Daten gehandelt hat?

00:12:11: Bei dem ransomware Vorfall, diese Daten, die dann zwei, drei und zwanzig im Darknet gelandert sind, das kann ich jetzt nicht so genau sagen.

00:12:18: Ich glaube, das waren, ehrlich gesagt, noch mehr und noch andere, ich weiß nicht, ob da noch

00:12:20: was drin ist.

00:12:21: Da waren auch Adress- und Rechnungsdaten dabei und so weiter.

00:12:23: Ah, vielleicht waren noch andere, noch ganz andere, aber von Kunden waren noch Adress-

00:12:26: und Rechnungsdaten.

00:12:26: Ja, PDFs oder so, also Sachen, die einfach ein bisschen größer sind.

00:12:29: Ich kann noch mal erzählen von dem Fall, jetzt erforscht man einen ganz kleinen Auszug, anonymisiert.

00:12:36: So screenshotartig konnte man das eben dann mal sehen.

00:12:40: Und da konnte man halt eben sehen, dass es halt Ausweisdaten waren teilweise.

00:12:44: Also wenn du deine Ausweisnummer halt angegeben hast, war natürlich Ausweisdaten dabei.

00:12:48: Dann klar, wann du ankommst, wann du gehst, auch Buchungen im Sinne von.

00:12:52: ich bin in einem in einem Monat im Demo, dem Hotel teilweise.

00:12:56: Dann waren die Ändungen der Kreditkartendaten, also nicht die ganzen Daten, aber die Endungen dabei.

00:13:01: Klar, Vorname, Nachname, Adressen, Geburtsdatum.

00:13:05: Ganz interessant war, dass natürlich auch viele Politikerinnen betroffen waren.

00:13:09: Das ist ja klar.

00:13:11: Die reisen halt auch viel.

00:13:13: Die reisen viel und die buchen über so einen bestimmten Schlüssel.

00:13:16: Das ist so eine, gibt es, denkst du, eine spezielle Abrechnung mit dem Bundestag.

00:13:21: Dann bekommen so einen speziellen Rabatt.

00:13:23: Das heißt, man konnte also, wenn man gezielt nach diesem Schlüssel geschaut hat, konnte man eben

00:13:28: Eine Politikersuchmaschine machen sozusagen.

00:13:30: Eine Politikersuchmaschine.

00:13:32: Wo war, wer, wann, vielleicht auch mit wem.

00:13:36: Und teilweise halt auch mit Privatadresse, teilweise mit Büroadresse.

00:13:40: Und ich finde das so in den heutigen Zeiten für manche Politikerin, das ist doch sehr unangenehm.

00:13:47: Ich mein, ich will nicht, dass meine Privatadresse im Netz steht.

00:13:50: Und ich denke, Politikerin wollen das auch nicht.

00:13:53: Aber

00:13:54: mit ein paar haben wir gesprochen.

00:13:56: Die fanden das natürlich auch nicht gut oder haben gesagt, das geht so weit oder es muss untersucht werden.

00:14:02: Und ich meine, das ist ja auch der Grund, warum Zährforschung sowas macht.

00:14:06: Aber wie bitter, oder?

00:14:07: Ich meine, also gleich mehrere Sicherheitslücken, so viele Daten von so vielen Personen.

00:14:12: Also wie leicht sind die?

00:14:14: Kann man eigentlich umgehen mit solchen Daten?

00:14:16: Ich frage mich so ein bisschen, was ist denn das für ein Anbieter?

00:14:19: Also ist das, ich meine, die Hauptaufgabe von so einem Anbieter.

00:14:22: ist doch solche Daten?

00:14:23: sicher oder eine der Hauptaufgaben und die Daten sicher zu verwahren.

00:14:27: Was sagt ihr dazu?

00:14:29: Habt ihr die erreicht?

00:14:29: Gab es da irgendwelche Reaktionen?

00:14:31: Ja, auf jeden Fall.

00:14:33: Also soweit ich weiß, auch aus dem Hintergrund haben die auch mit der Forschung sehr schnell und gut kooperiert.

00:14:39: Also haben dann die Lücken sehr schnell geschlossen, nachdem sie ihn bekannt gemacht wurden.

00:14:43: Also schnell, wie sie eben konnten.

00:14:45: Teilweise mussten da ja auch Software-Updates dann ausgespielt werden.

00:14:50: Die haben dann schon schnell reagiert.

00:14:53: Am Ende, wie diese Lücken ursprünglich mal entstandens sind, also das konnten wir jetzt nicht rausbekommen in der Recherche, weil wir halt vor allem dann eine lange schriftliche Antwort bekommen haben, dann auch über einen Anwaltskanzlei.

00:15:04: Ah,

00:15:05: okay, also mit euch haben sie nicht so offen gesprochen sozusagen.

00:15:08: Ja, schnell eingeschaltet wurde.

00:15:09: Ja, ich denke halt einfach, muss man sich schon vorstellen, dass es für so ein Unternehmen ja auch so eine öffentliche Berichterstattung ja auch kein Spaziergang ist.

00:15:17: Das ist auf jeden Fall ein mittelgroßer Mittelständler so mit vielen, mit Büros auf der ganzen Welt, mit Kundinnen, Kundinnen auf der ganzen Welt.

00:15:26: Und ich kann da tatsächlich nur vermuten, dass es vielleicht vor zwanzig Jahren halt irgendwann mal entstanden ist und dann hat keiner mehr draufgeguckt.

00:15:34: Oder es ist halt nicht aufgefallen, weil die haben uns gegenüber angegeben, dass sie auch Penn-Tests, Sicherheitstests gemacht hätten.

00:15:40: ... immer mal wieder.

00:15:42: Vor zwanzig Jahren, also davor, so zu sagen.

00:15:44: Ja, aber

00:15:44: muss man sich wirklich fragen.

00:15:47: Was waren das für Pentes?

00:15:48: Also, wer hat da Pentes?

00:15:50: Wir haben ein Interview gemacht, auch mit Jiska dazu.

00:15:53: Mit der hatten wir ja zu Chatkontrolle gesprochen.

00:15:55: Wir haben Jiska Klassen sehr, sehr guter IT-Sicherheitsforscherin noch mal zu diesen Lücken gefragt.

00:16:03: Und die hat gesagt, die stehen auf den Top Ten der Lücken bei Web-Anwendungen.

00:16:09: Und wer ... die nicht testet in einem Sicherheitstest, da muss man sich halt wirklich fragen.

00:16:15: Darf das überhaupt Sicherheitstest heißen?

00:16:16: Also ganz im Ernst.

00:16:17: Ja, die

00:16:19: war da ziemlich eindeutig.

00:16:20: Wenn Sie sagen, hochzählen,

00:16:21: ist ja wirklich das Basic von Basic, wenn man die URL hochzählen kann.

00:16:26: Ich frag mich schon, was für Pentests Sie dann gemacht haben, wenn Sie das nicht gemerkt haben.

00:16:32: Ich glaube, das ist fast noch mal ein Thema für sich.

00:16:35: Ich habe dann noch mal mit anderen Auch IT-Verantwortlichen gesprochen in anderen Unternehmen einfach so, um halt mal so zu fragen, sag mal.

00:16:44: Aber da war so mein Eindruck, das ist wirklich noch mal eine eigene Welt.

00:16:48: Also von Pen-Test, die nur gemacht werden, damit man sagt, man hat einen Pen-Test

00:16:52: gemacht.

00:16:53: Von Unternehmen, die sagen, wir machen keinen Pen-Test, weil wenn wir so was machen und wir kriegen eine riesige Liste an Lücken, was machen wir denn mit dieser

00:17:01: Liste?

00:17:03: Denn wird das super teuer, das alles zu fixen.

00:17:06: Und wir haben natürlich dann auch eine Art Liability, wenn wir die Lücken kennen.

00:17:11: Und wir haben die dann nicht gefixt und es passiert dann was.

00:17:14: Also lieber

00:17:15: Augen zu und durch, ja lustig.

00:17:16: Ja, also ich verstehe, ich verstehe, das ist Incentive dabei.

00:17:20: Dann gibt es sowas, hat der Discounts auch gesagt, so eine Art Unternehmenskultur kann es auch sein.

00:17:26: Also dass man sagt, nee, wir machen keine Pendentests, weil dann müssten wir von Anfang an sagen.

00:17:31: dass vielleicht unsere Software nicht sicher ist, dass das quasi schon allein durchführen, so eine Testung, so was ist.

00:17:39: Ja, schreibt uns gerne auch mal eure Gedanken dazu.

00:17:41: Das würde mich wirklich interessieren.

00:17:43: Das hören uns ja viele auch aus der IT-Sicherheit, aus der Branche.

00:17:47: Was ist denn so eure Erfahrung mit solchen IT-Sicherheitstests?

00:17:51: Auf der anderen Seite, klar muss man natürlich auch sagen, das ist jetzt auch nicht das Weltall Heilmittel, weil es gab ja offenbar welche, aber die haben ja dann diese Lücken offenbar nicht gefunden.

00:18:01: Klar ist es nicht das Weltall Heilmittel, aber es ist so, ich finde halt die Basis, dass man sich darum kümmert, wenn man mit solchen sensiblen Daten zu tun hat.

00:18:09: Und ich finde schon, Personendaten, Adressdaten gehören zu den heikesten Daten, die man so haben kann, vielleicht nach Gesundheitsdaten.

00:18:18: Und vor allem in dem großen Stil.

00:18:20: Also ich denke mir, ich denke ja oft auch als Datenjournalistin, was man alles machen kann mit solchen Daten, wonach kann man das alles auswerten?

00:18:26: Was kann man alles rausbekommen über Personen?

00:18:28: Menschen, die viele Hotels sind, da kann man ja richtige Bewegungsprofile machen.

00:18:32: Bewegungsprofile

00:18:33: erstellen, ne?

00:18:34: Genau, also das muss man sich ja klar machen, wenn man als Firma, wenn man sowas anbietet.

00:18:39: Ja, und ich finde schon, dann ist die Verantwortung schon, sich auch gut zu überlegen, wie kann ich die schützen?

00:18:45: Und das klingt jetzt einfach leider nicht so, als wenn die ihre Verantwortung ernst genommen hätten oder überhaupt gesehen hätten.

00:18:52: Und also das ist schon bitter.

00:18:53: Also da, ja, muss ich sagen ... Ich weiß von Zerforschung oder auch von anderen ethischen Hackerinnen, Whiteheads und so weiter, dass es die sagen, na ja, egal wo man hinschaut, man findet immer Lücken.

00:19:06: Aber das scheint jetzt wiederum eine Lücke zu sein, die man eben zumindest teilweise auch mit recht wenig Aufwand finden konnte.

00:19:12: Und ich frag mich schon, wenn die jetzt zwanzig Jahre lang bestanden hat.

00:19:15: Also Cyberkriminelle sind ja auch nicht doof.

00:19:17: Die wissen ja auch, was sie daran haben.

00:19:18: Also schönen Auflistungen von Namen, Adressen, Geburtstag und vielleicht noch Kreditkarten, Informationen.

00:19:24: Also das ist ja eben auch für Kriminelle echt ein Schatz.

00:19:28: Und das wissen wir auch im Darknet.

00:19:31: Börsen für Daten aller Art.

00:19:33: Wenn du irgendjemanden was Böses willst und erst mal alle Infos haben willst, fragst du ja nach.

00:19:37: Für die ist es auch Gold wert, so ein Datensatz zu bekommen.

00:19:40: Also ja, ich rede mich in Rage, aber ... Das ist schon ein besonders bitterer Fall von Verantwortungslosigkeit von so einem Unternehmen, finde ich.

00:19:51: Und dass sie euch als erstes übernachten mit einer Anwaltskanzlei zusammenkontaktieren.

00:19:55: Ich weiß es nicht.

00:19:56: Klar, kann sein, dass man das einfach sicherheitsherber macht.

00:20:00: Aber...

00:20:00: Ja, es ist jetzt auch nicht das... Also, es kommt vor.

00:20:03: Es ist jetzt auch nicht das erste Mal und es ist auch, finde ich, nachvollziehbar.

00:20:08: aus einer Unternehmens sich zu sagen, wie man will da jetzt keinen Fehler machen in der Kommunikation und lässt sich da beraten.

00:20:16: Ich denke, für die war das sicherlich auch eine große Krise.

00:20:22: Und ich fand es insofern wiederum ein gutes Zeichen, dass die Lücken sofort behoben wurde, dass Zerforschung nicht verklagt wurde.

00:20:29: Ich meine, das kennen wir auch anders.

00:20:34: einiges auch durch hat und das verliert erst mal ein gutes Zeichen.

00:20:39: Ich glaube wichtig ist noch zu sagen genau.

00:20:41: Model One hat uns auch geantwortet.

00:20:43: Die sind dann sogar mit einer eigenen Pressemitteilung raus und die haben auch geschrieben.

00:20:47: dass sie ja so keine Hinweise haben auf irgendwelchen Datenabfluss oder missbräuchliche Verwendung der Daten.

00:20:54: Und ich hab tatsächlich abends, ich weiß nicht, ob ich die einzige bin, die diese E-Mail noch bekommen hat, aber ich hab tatsächlich abends noch eine E-Mail bekommen von Motor One als Teil einer Mailing-Liste, dass es eben diesen Sicherheitsvorfall gab.

00:21:07: Und dass du betroffen

00:21:08: bist.

00:21:08: Das

00:21:09: fand ich auch.

00:21:10: Ja, das fand ich auch ziemlich ... Also, haben die das jetzt zu mir geschickt?

00:21:15: Ich denke, die haben wirklich die Leute ... die betroffen waren, informiert.

00:21:21: Ich weiß jetzt von noch niemanden anderen, der diese E-Mail bekommen hat.

00:21:23: Deswegen auch da, meldet euch doch.

00:21:25: Also ich hab auch schon die E-Mail übernachtet.

00:21:27: Natürlich gebe ich da immer irgendeine E-Mail-Adresse an, die es auch wirklich gibt.

00:21:30: Weil ich möchte die Rechnungen bekommen.

00:21:31: Also du hast keine E-Mail bekommen.

00:21:33: Auf keine meiner falschen E-Mail-Adressen eine E-Mail von Motel One bekommen, nee.

00:21:37: Okay, meine Vermutung ist ja fast, dass sie tatsächlich nachvollziehen konnten, welche Profile abgefragt wurden.

00:21:44: Ich denke da, so wie das auch uns geschrieben wurde, in den Antworten gab es dann auch forensische Untersuchungen, die haben sich da auch unterstützen lassen, um eben das nachzuvollziehen, ob und welche Daten abgeflossen sind.

00:21:55: und nur so konnten sie uns ja wiederum auch schreiben, dass keine Daten abgeflossen sind.

00:22:02: Aber klar, ob man das über zwanzig Jahre oder fünfzehn oder zehn, genau, da mache ich einfach mal ein offenes Fragezeichen dahinter, das können wir hier nicht beantworten.

00:22:13: Also das kann einfach niemand verantworten und da muss man einfach dann das erstmal so nehmen, auch wie das Unternehmen das uns geschrieben hat.

00:22:20: Ja, also ich denke, wir werden zur Forschung auf jeden Fall einladen und dann könnt ihr auch noch mal ein bisschen mehr Insights bekommen in die technischen Details.

00:22:30: Ich glaube, das ist irgendwie auch technisch noch ganz interessant.

00:22:34: Und die andere Frage, die noch bleibt, finde ich für uns Bürgerinnen und Bürger in dem Fall.

00:22:39: Was hilft?

00:22:40: Also wenn du sagst, Hotels müssen das gar nicht mehr machen, aber wie gesagt, meine Erfahrung ist, viele machen es halt trotzdem.

00:22:45: Also ich persönlich fahre ganz gut damit, falsche Daten anzugeben, aber ich weiß auch, dass es nicht jeder Mann, so ein jeder Frau Sache ist.

00:22:52: Manche haben auch Sorge, dass das ja auch nicht erlaubt ist.

00:22:55: Da weiß ich nicht genau, also wenn die Hotels nicht mehr diese Meldegeschichte mehr machen müssen.

00:23:00: Denk ich, ist das ganze Thema nicht mehr so heikel, aber die Frage ist, was hilft.

00:23:04: Aufmerksamkeit schaffen, mit jedem einzelnen Rezeptionisten diskutieren.

00:23:11: Ja,

00:23:12: also ich denke inzwischen, ich weiß nicht, ich denke immer, meine Adresse ist inzwischen bei so vielen Ticket-Shops und Versandhändlern.

00:23:23: Das ist schon ganz schön schwierig, es zu sagen, ich gebe immer eine falsche Adresse an.

00:23:27: Das mag vielleicht bei einer Hotelbuchung noch möglich sein, aber was, wenn ich ein paar Schuhe bestelle?

00:23:32: Oder wenn ich... Oder ihr falscher Name kann ich nicht empfehlen.

00:23:34: Aber mehr verrat jetzt nicht.

00:23:35: Ich

00:23:38: bleib jetzt eigentlich nur noch in Kognitive unterwegs.

00:23:40: Nee, ich denke halt, okay, es gibt sicher Leute, wo man sagt, die sollten richtig vorsichtig mit ihrer Adresse und ihren Datum gehen.

00:23:47: Bei allen anderen denke ich halt... Bei mir selbst hilft eigentlich dann nur die Awareness wiederum von der anderen Seite her.

00:23:54: Also, dass man weiß oder dass man in dem Bewusstsein lebt, dass es einfach einen digitalen Fingerabdruck, digitale Fußspuren von mir gibt und ich dementsprechend besonders vorsichtig sein muss, wenn mir einer eine E-Mail schreibt oder wenn mich einer per WhatsApp kontaktiert.

00:24:12: Und ich denke, da kann man immer nur dafür sensibilisieren, dass halt diese Daten draußen sind.

00:24:18: dass man da einfach vorsichtig sein muss.

00:24:21: Trotzdem enthebt es natürlich keinen Anbieter, keine Anbieterin von der Pflicht, diese Daten zu schützen.

00:24:25: Ja, ich finde, das wäre auch fatalistisch zu sagen.

00:24:27: Ja, mein Daten sind eh raus, egal.

00:24:28: Ist jetzt

00:24:29: eh zu spät, ja.

00:24:29: Ja,

00:24:30: nee, so.

00:24:31: Habt sofort, können alle Anbieter sagen, also es gab, das ist diese Hotel-Lücke, ehrlich gesagt, ihre Daten sind doch sowieso schon draußen.

00:24:37: Wir müssen uns da nicht mehr drum kümmern.

00:24:38: Nein, so rum bitte nicht.

00:24:41: Genau, also ich glaub, als nächster Erforschung hat er das gesagt, solche Daten sind wie Giftmüll.

00:24:47: Das finde ich eigentlich ziemlich gut.

00:24:49: Also diesen Vergleich finde ich richtig gut.

00:24:51: Und dann auch dieses halt, dass man wirklich versucht, so diese Datensparsamkeit zu leben.

00:24:57: Also einfach nicht so vieler Daten erheben.

00:25:01: hat man auch nicht das Problem, dass man die wieder löschen muss.

00:25:04: Und ich finde auch vor diesem ganzen Kontext versteht man dann auch die ganze Aufregung um die Vorratsdatenspeicherung und diese ganzen Datenspeicherungsgeschichten, die wir jetzt auch in der Vergangenheit hatten, auch man halt immer sagt, okay, Momentchen mal, ja, wenn wir einfach anfangen, alles zu speichern, dann ist auch alles hackbar.

00:25:22: Ja, und dann fällt es halt früher oder später hier oder daraus, ja.

00:25:26: Klar, ich meine nicht umsonst schreibt die Datenschutzgrundverordnung, die ja echt tatsächlich das Problem erkannt hat, Datenschmarsamkeit vor, ne?

00:25:33: Da müsste man das nur noch mal ein bisschen konsequenter hinterher sein.

00:25:47: Womit mir eigentlich schon sehr gut beim nächsten Thema wäre, die Verbraucherzentrale klagt gerade ganz aktuell am ULG Hamburg gegen Meta.

00:25:57: Da war jetzt gerade der erste Verhandlungstag, um es auch da ein bisschen abzukürzen.

00:26:04: Im Verhandlungstag kam eigentlich nur raus, dass man sich noch mal einig werden muss, ob man überhaupt am ULG Hamburg gegen Meta, internationaler Konzern, Europasitz in Irland, kann man da überhaupt so ein Verfahren führen.

00:26:23: Beteiligten, versuchen Sie es gerade gegenseitig, schwer zu machen, indem Sie irgendwelche Anträge zum Prozedere stellen, sozusagen.

00:26:29: Genau, jetzt habe ich schon einen Ausgang gespoilert.

00:26:31: Viel wichtiger ist er aber eigentlich.

00:26:32: Was war, warum geht es eigentlich?

00:26:33: Genau, erzähle ich.

00:26:35: Genau, also es geht darum, dass, so, aus dem Jahr zwei Tausend Achtzehn,

00:26:40: wer

00:26:40: von euch hat dann Facebook-Accounts, zwei Tausend Achtzehn E-Faders sein?

00:26:46: Ich.

00:26:46: Ja.

00:26:46: Aber wir haben jetzt eine falsche Ausweis, aber sie hatte ein Facebook gecaut.

00:26:50: Ja, das war

00:26:50: mein richtiger.

00:26:52: Das war es noch möglich, auf Facebook Daten im großen Stil zu scrapen.

00:26:56: Das heißt, man konnte also das Facebook-Profil quasi runterladen, crawlen.

00:27:01: Man konnte die ganzen persönlichen Daten auslesen, die damals angegeben waren, und zwar auch in einem privaten Bereich.

00:27:09: Und diese Daten!

00:27:11: Die sind dann im Darknet aufgetaucht.

00:27:13: Und zwar, zwei tausend, einundzwanzig.

00:27:16: Das ging damals auch wirklich dick durch die Medien.

00:27:19: Das ging auch um mehr als fünfhundert Millionen Facebook-Userinnen und User, die betroffen waren.

00:27:26: Wow, das ist

00:27:28: für eine Zahl.

00:27:29: Ja,

00:27:30: also, es ist richtig viel, richtig viel.

00:27:32: Hatte dann so eine Sicherheitsfirma, die hatte diesen Datensatz im Darknet eben gefunden.

00:27:38: Und die hat es dann damals ... öffentlich gemacht.

00:27:42: Na ja, Facebook hat dann damals gesagt, ja, wir haben das Problem im August, im August, im August, im August, im August, im August, im August, im August, im August, im August, im August, im August, im August, im August, im August, im August, im August, im August, im August, im August, im August, im August, im August, im August, im August, im August, im August, im August, im August, im August, im August, im August, im August, im August, im August, im August, im August, im August, im August, im August, im August, im August, im August, im August, im August, im August, im August, im August, im August, im August, im August, im August, im August, im August, im August, im August, im August, im August, im August, im August, im August, im August, im August, im August, im August, im August, im August, im August, im August für die Verbraucherzentrale eine Sammelklage dazu.

00:28:09: Und die Idee ist, dass man eine Entschädigung bekommen kann, wenn die Daten im Netz waren.

00:28:14: Und jetzt, Eva, jetzt gucken wir, ob du die Entschädigung bekommen kannst.

00:28:18: Oha, kein, aber es ist nicht schon zu spät, wenn ich bei der Klage nicht bitte, wo noch nicht klares Gericht überhaupt zuständig ist.

00:28:24: Ja, genau deswegen ist es noch nicht zu spät.

00:28:26: Also man kann sich der Sammelklage tatsächlich noch anschließen.

00:28:29: Also es sind ... Ich meine, vierzehn, fünfzehntausend Menschen in Deutschland, die jetzt inzwischen sich schon angeschlossen haben, hier haben wir da Verbraucherzentrale gesprochen, die haben gesagt, man kann sich auch noch anschließen.

00:28:39: Und da musst du den Datenleckcheck machen.

00:28:45: Und ihr könnt auch gucken, ob ihr getroffen seid.

00:28:47: Und jetzt kommen wir dazu.

00:28:48: Eva, jetzt kannst du nämlich gucken, ob du getroffen bist von dem Datenleck.

00:28:52: Und dann geht ihr am besten auf die Seite.

00:28:53: Wir verlinken euch die in den Show-Nurz.

00:28:56: Und zwar von der Anwaltskanzlei, die die Verbraucherzentrale vertritt.

00:29:00: Also ihr könnt auch erst auf die Seite von der Verbraucherzentrale gehen, dann werdet ihr umgeleitet.

00:29:04: Und dann könnt ihr tatsächlich hier den sogenannten Datenleckcheck machen.

00:29:10: Und schauen, ob ihr euch noch anschließen wollt, an die Sammelklage.

00:29:14: Da geht's am Ende um so ein paar Hundert Euro für jeden, je nachdem, wie sehr man betroffen ist von dem Datenleck.

00:29:20: Aber jetzt gucken wir mal, ob du drin bist.

00:29:24: Jetzt gibt man seine Telefonnummern munter in so'n Formular.

00:29:27: Ich hoffe, dass Dr.

00:29:28: Stoll und Sauer jetzt nicht die nächste Datensammlung machen.

00:29:32: Aber ich will's doch gerne wissen.

00:29:34: Gehen Sie eine gültige Mobi-Nummer ein.

00:29:37: Aha.

00:29:38: Beginnt mit plus vier neun.

00:29:42: Gürtige Mobinnummer, nochmal prüfen.

00:29:45: Aber die ist wahrscheinlich zu aktuell.

00:29:48: Ja, ich bin nicht betroffen, aber das liegt daran, dass ich den anderen Handynummer hatte.

00:29:52: Das Problem ist, ich weiß nicht mehr, wie die früher gelaudet hat.

00:29:56: Ja, ich bin auch nicht betroffen, aber ich hab auch nicht meine Nummer gewechselt.

00:30:01: Deswegen weiß ich auch, dass ich quasi grün bin.

00:30:05: Obwohl du im Jahr two-tun-achtern auf Facebook warst mit der Nummer, haben die Scraper dich vergessen, oder was?

00:30:10: Was ist denn das für Anfänger?

00:30:12: Nee, die hatten dich wahrscheinlich schon aus irgendeinem Hotel-Leak und brauchten deine Daten einfach nicht mehr.

00:30:17: Genau, genau.

00:30:18: Aber ich bin gespannt.

00:30:19: Also wir werden auf jeden Fall weiter auf diesen Prozess schauen und euch berichten, was rauskommt und wie es da weitergeht.

00:30:27: Und bis dahin, würde ich sagen.

00:30:29: Freuen wir uns?

00:30:30: Pass

00:30:30: auf euch auf.

00:30:32: Schreibt

00:30:32: eure Daten nicht überall rein, das wisst ihr ja schon.

00:30:35: Bestellt euch einen falschen Ausweis.

00:30:38: Ich komme das Digital-Courage nicht mehr hinterher mit Truppen von Ausweisen.

00:30:43: Oft geht es auch einfach an der Rezeption.

00:30:46: Man kann auch diskutieren und sagen, ich möchte meine Daten schützen.

00:30:49: Und mit jedem Leck wird dieses Argument ja nur valider.

00:30:53: Gut, dann würde ich sagen... Haben wir es für heute.

00:30:55: Wir freuen uns sehr, wenn ihr uns liked und teilt und kommentiert.

00:31:00: Da tut ihr unseren Riesen gefallen und hoffen dann, dass wir uns wiedersehen und wieder hören.

00:31:08: Spätestens

00:31:08: nächste Woche.