BREMEN (dpa-AFX) - Mehrere Millionen Daten von Restaurantgästen sind in Internet-Speichern eines Softwaredienstleisters kaum geschützt zugänglich gewesen. Die Sicherheitslücke betraf auch die elektronische Erfassung von Besuchern in der Corona-Pandemie, wie der Chaos Computer Club (CCC) am Freitag mitteilte. Die Aktivisten für Computersicherheit hatten die ungenügend gesicherten Daten in den Cloud-Speichern der Bremer Firma Gastronovi entdeckt. Sie bietet Buchungs- und Abrechnungssysteme für Restaurants, Cafés und Bars an.

Das Unternehmen bestätigte den Vorfall. Die Sicherheitslücke sei zwei Stunden nach den Hinweisen des Chaos Computer Clubs geschlossen worden, teilte Gastronovi am Freitag mit. "Zum Zeitpunkt des Hackerangriffs hatte der CCC potenziell Zugriff auf über vier Millionen Datensätze", hieß es. Außer den Aktivisten habe aber kein Außenstehender einen Zugriff auf die Daten gehabt oder versucht.

Nach CCC-Angaben war der Zugang zu 4,8 Millionen Personendatensätzen möglich, die aus mehr als 5,4 Millionen Platzreservierungen in Restaurants stammten. Teils reichten die Einträge Jahre zurück, aber es fanden sich auch Daten der Gästeregistrierungen, die derzeit zur Abwehr des Corona-Virus vorgeschrieben sind. "Verschiedene Schwachstellen ermöglichten den Zugriff auf insgesamt 87 313 Corona-Kontakterhebungen von 180 Restaurants", teilte der CCC mit.

Die Aktivisten bemängelten, dass viele Gastronomen nur sehr schlichte Passwörter für ihre Computersysteme verwenden. Beim vorgeschriebenen Löschen der Daten hätten sich Restaurants und Gastronovi aufeinander verlassen. Der CCC riet von elektronischen Corona-Registrierungen ab. Die Gäste sollten zur Kontaktverfolgung auf Papier erfasst werden - jeder auf einem eigenen Blatt, das drei Wochen später vernichtet werde.

Der Bundesbeauftragte für Datenschutz, Ulrich Kelber, kritisierte nach Angaben von NDR und BR die sehr lange Speicherung der Daten. "Wenn ein Dienstleister für die Gastronomie das Einlagern der Daten anbietet, dann sollte es vielleicht auch Teil der Dienstleistung sein, die Daten danach zu löschen", sagte Kelber den Sendern./fko/DP/stw