Vor dem Hintergrund der anhaltenden Covid-19 Pandemie müssen Restaurants, die langsam wieder öffnen und Gäste empfangen dürfen, bestimmte Sicherheitsmaßnahmen treffen. Eine davon ist das Sammeln der Kontaktdaten aller Gäste.
Neben Deutschland gilt diese Regelung auch in der Schweiz, wobei die Erfassung oftmals lediglich mit Stift und Papier stattfindet. Diese Vorgehensweise wurde mittlerweile vermehrt von Datenschutzexperten kritisiert. Um die Kontaktdatenerfassung schneller, digitaler und sicherer abwickeln zu können, hat das Zürcher Start-Up Lunchgate seinen Tischreservierungs-Service Foratable rasch um eine Covid-19-Tracing-Lösung erweitert. Sicherheitsforscher haben in dem Online-Dienst von Lunchgate nun allerdings eine Schwachstelle entdeckt, wodurch nicht nur die Restaurantbesitzer die Kontaktdaten der Gäste einsehen können, sondern diese online theoretisch für jeden zugänglich sind.
Julian Totzek-Hallhuber, Solution Architect bei Veracode, kommentiert die Gefahrenlage:
„Eine digitale Kontakterfassungslösung für Restaurants ist grundsätzlich ein guter Ansatz, um den existierenden Datenschutzregelungen gerecht zu werden. Allerdings wurde in diesem Fall versäumt, grundlegende Sicherheitsvorkehrungen in der Online-Anwendung zu treffen. Die Restaurantbetreiber generieren via dem Service von Foratable QR-Codes, die die Gäste nach dem Scannen auf eine Bestätigungsseite weiterleitet auf der sie ihre Kontaktdaten eingeben. Diese URLs enden jeweils mit einer bestimmten ID-Nummer. Anstatt die IDs per Zufallsprinzip zu generieren wurden diese von der App allerdings einfach aufaddiert, sodass jeder Gast theoretisch alle privaten Daten der vorigen und nachfolgenden IDs abrufen kann. Auch wurden die Daten im Backlog länger gespeichert als die gesetzlich vorgeschriebene 14-Tage-Frist.
Ohne organisatorische und technische Sicherheitsmaßnahmen können digitale Lösungen also ein noch höheres Risiko an Datenschutzverletzungen darstellen wie die Kontakterfassung via Papier und Stift. Zusätzlich besteht natürlich auch immer die Gefahr, dass Applikationen fehlerhaften Code beinhalten, der wiederum weitere Sicherheitslücken mit sich bringt. Dies ist besonders kritisch bei Anwendungen wie diesen, die mit sensiblen Daten arbeiten und diese abspeichern. So konnten wir in unserem aktuellen State of Software Security Report herausfinden, dass 83 Prozent aller gescannten Anwendungen mindestens eine Schwachstelle enthält. Es empfiehlt sich also zusätzlich zu den grundlegenden Sicherheitsmaßnahmen noch regelmäßige Scans der Anwendungen durchzuführen, um Schwachstellen rechtzeitig zu erkennen und beheben zu können“
www.veracode.com