Immer wieder ein Thema der Branche: Die Datenbank Sicherheit. In der letzten Zeit war diese öfters in der Hotellerie gefährdet, nun in der Gastronomie. Was dies für die Restaurants bedeuten könnte, lesen Sie im Bericht unten
Die Digitalisierung des Gastgewerbes schreitet sehr schnell voran. Tagungen werden inzwischen größtenteils hybrid durchgeführt, bis zu 70 Prozent der Hotelbuchungen werden online gebucht. Grundlagen dieser Dienstleistung sind sichere Datenbanken.
Ohne die Digitalisierung bekommt man keine jungen Gäste und Kunden mehr ins Haus. Deshalb nutzen professionelle Hotels und Restaurants mobil optimierte Websites für das Marketing auch via den Bewertungsportalen, die Gäste bestellen mit dem Smartphone eine Tischreservierung, die ganze Angelegenheit ist super schnell erledigt. Gästedaten wurden so auch für die Corona-Nachverfolgung gespeichert.
Restaurant-Datenbank Sicherheit über Gastronovi
In einer Kneipe soll der Chaos Computer Club (CCC) Sicherheitslücken bei Gastronovi festgestellt haben. Mitglieder vom CCC gaben in dieser Gaststätte digital Bestellungen auf, mehr durch einen Zufall stießen sie auf Sicherheitslücken. U.a. konnten sie an jedem andern Tisch Essen bestellen und so im Namen anderer Personen Bestellungen aufgeben. Dann stießen sie auf die Corona-Kontaktdaten mit tausenden Einträgen von Restaurantbesuchern in Deutschland mit dem Namen, der Anschrift und Handynummer der Kunden.
Die Tischreservierungen können Gäste via QR-Code bei dem Softwaredienstleister einlesen - auch zur Corona-Rückverfolgung durch die Gesundheitsämter. Gemäß CCC waren die Daten allerdings nicht genügend geschützt. CCC loggte sich als Systemadministrator ein und konnte dann gemäß diesen Rechten nach Belieben schalten und walten - angeblich über Millionen von Adress- und Reservierungseinträge von Restaurants in ganz Deutschland, darunter auch Cafés und Restaurants in Augsburg und München.
Datenbank Sicherheit als Thema des Digital-Ausschusses
Nachgeprüft wurde das Ganze vom NDR und BR Recherche/BR Data. Gastronovi hat die Sicherheitsschwachstellen zugegeben, aber letzte Woche behoben. Weiterhin wurde kundgetan, es hätte "keinen unautorisierter Zugriff" auf Adressdaten gegeben.
Der grüne MdB Dieter Janecek hält die Menge nicht ausreichend gesicherter Daten für "erschreckend". Typisch: Er hält die Gastronomie-Software gleich für die Anfänge eines Überwachungsstaates.
Auftragsdatenverarbeiter versus Bundesdatenschutzbeauftragter
Bei Gastronovi sollen auch noch Daten aus dem Jahr 2011 'gelagert' haben. Hierzu sagt das Unternehmen aus, dass diese Daten nur die Kunden zu verantworten hätten, alte Einträge müssten die Restaurants selber löschen. Die Firma arbeitet als sogenannter Auftragsdatenverarbeiter und erhebt, speichert und verarbeitet nicht aus eigener Veranlassung die Kundendaten, die die Restaurants schöpfen.
Gemäß dem Bundesdatenschutzbeauftragter Ulrich Kelber sollte ein IT-Dienstleister für die Gastronomie nicht nur das ‚Lagern' der Daten vorhalten, sondern auch die Löschung der Daten. Und dies sei in der Corona-Verordnung eindeutig so geregelt. Er meint, dass über solche Aufenthaltsdaten von Restaurants auch auf Verhaltensmuster von Menschen geschlossen werden kann.
Restaurant Datenbank Sicherheit wie sie sein sollte
1. Datenbanksicherheit wird durch Informationssicherheitskontrollen gewährleistet. Diese wendet sich gegen Gefährdungen der Vertraulichkeit, Integrität und Verfügbarkeit. Es beinhaltet verschiedene Typen oder Kategorien der Kontrolle wie etwa technische, verfahrensorientierte und administrative sowie physische. Die Datenbanksicherheit lässt sich den allgemeineren Bereichen der Informationssicherheit und des Risikomanagements zuordnen.
Sicherheitsrisiken für Datenbanksysteme Beispiele
2. Unbefugte oder unbeabsichtigte Aktivität oder Missbrauch durch autorisierte Nutzer oder Hacker Befall von Schadprogrammen durch nicht autorisierte Zugriffe, Durchsickern oder Offenlegung von persönlichen oder proprietären Daten, Löschen von oder Schaden an Daten oder Programmen.
3. Konstruktionsschwachstellen oder Programmfehler in Datenbanken und daran angeschlossenen Programmen und Systemen, die verschiedenste Sicherheitsanfälligkeiten verursachen (etwa nicht autorisierte Rechteausweitung), Datenverlust oder -verfälschung, Leistungsabbau etc.
4. Physischer Schaden an Datenbankservern verursacht zum Beispiel durch Brände in den Serverstandorten, Überhitzung, Blitzeinschläge, elektrostatische Entladung, elektronische Störungen beziehungsweise Ausrüstungsausfälle oder -überalterung;
Datenverfälschung und/oder -verlust verursacht durch den Eintritt von ungültigen Daten oder Befehlen, Fehlern in Datenbank- oder Systemadministrationsprozessen, Sabotage beziehungsweise kriminelle Schäden etc.
5. Viele Schichten und Arten von Informationssicherheits-Kontrollen sind zweckmäßig für Datenbanken einschließlich: Authentifizierung, Datensicherung, Konsistenzkontrollen, Verschlüsselung und Zugriffskontrolle.
6. Bewertung von Schwachstellen: Eine Methode zur Evaluierung der Datenbanksicherheit umfasst das Ausführen von Schwachstellenanalysen und Penetrationstests der Datenbank. Die Prüfer (siehe oben CCC) versuchen, Sicherheitsschwachstellen zu finden, welche genutzt werden könnten, um Sicherheitskontrollen zu überwältigen oder zu umgehen.
7. Überwachung der Datenbankaktivitäten: Eine Überwachung von Datenbankaktivitäten (englisch Database activity monitoring (DAM)) ist Teil einer weiteren Sicherheitsprüfung.
8. Neben dem Einsatz von externen Hilfsprogrammen zum Überwachen oder Auditing sind für viele Datenbanken auch native Programme für Datenbank-Audits verfügbar.
9. Ein Programm für die Datenbanksicherheit beinhaltet die reguläre Überprüfung der Berechtigungen, die erteilt wurden an individuell erstellte Benutzerkonten und Benutzerkonten, die durch automatisierte Prozessen genutzt werden.
10. Unbefugte Änderungen durch interne und externe Benutzer, die direkt in der Datenbank vorgenommen werden, ohne dass eine Nachverfolgung stattfindet, werden als größte Bedrohungen angesehen. Algorithmen basierend auf Kryptographie und anderen statistischen Methoden werden angewendet, um solche Sachverhalte zu identifizieren.
Resumee: Sicherlich sind Datenbankfehler nicht gut und müssen beseitigt werden. Einen Überwachungsstaat haben wir dadurch noch lange nicht. Im zweiten Halbjahr 2019 lag Deutschland mit circa 8.000 Anfragen (Quelle der Zahl statista) auf dem vierten Platz des Rankings der zehn Länder mit den meisten Nutzerdaten-Anfragen bei Facebook. Und solange Facebook nicht sicher ist, können Problematiken a la Gastronovie als 'weniger schlimm' angesehen werden. Wichtig: Es dürfen keine Kreditkarten-Daten betroffen sein. Dann können echte finanzielle Verluste entstehen.
Tipps
Stellen Sie kostenlose Anfrage an die Firmen!
Das Unternehmen Gastronovi aus Bremen bietet Restaurants, Bars und Hotels unter anderem Web-Lösungen für Tisch-Reservierungen, Bestellungen und auch die Kontakt-Verfolgung im Zuge der Corona-Vorkehrungen an. Nach eigenen Angaben wickelt die Software des Unternehmens jeden Monat circa 600.000 Reservierungen ab und verarbeitet rund 96 Millionen Euro Restaurant-Umsätze. https://www.gastronovi.com/de/