Ein massives Datenleck in einer Hotelverwaltungssoftware hat offenbar Millionen sensibler Gästedaten offengelegt. Betroffen sind unter anderem alle Jugendherbergen in Mecklenburg-Vorpommern sowie mehrere Motel-One-Hotels in Norddeutschland. Laut Recherchen von NDR, WDR und Süddeutscher Zeitung waren über Sicherheitslücken persönliche Informationen wie Namen, Adressen, Telefonnummern, Ausweisnummern und Kreditkartendetails im Internet abrufbar.
Sicherheitslücken mit großem Ausmaß
Entdeckt wurde die Schwachstelle vom IT-Aktivistenkollektiv „Zerforschung“, das sich auf die Analyse und Meldung digitaler Sicherheitsprobleme spezialisiert hat. Laut den Aktivistinnen handelte es sich um mehrere Sicherheitslücken, die es ermöglichten, direkt auf interne Datenbanken der Hotelsoftware zuzugreifen.
„Über diese Schnittstellen wären Millionen Datensätze abrufbar gewesen – darunter Buchungszeiten, Adressen, Telefonnummern, teilweise Ausweisnummern und die letzten vier Ziffern der Kreditkarte“, erklärte Kara von Zerforschung, die aus Sicherheitsgründen ihren Nachnamen nicht nennt.
Die Schwachstellen wurden von den Aktivistinnen dokumentiert und den betroffenen Unternehmen sowie den zuständigen Behörden gemeldet. NDR, WDR und SZ konnten die Angaben stichprobenartig überprüfen und bestätigen.
Betroffene Einrichtungen: Jugendherbergen und Motel One
Besonders betroffen ist der Jugendherbergsverband Mecklenburg-Vorpommern. Nach eigenen Angaben seien die Sicherheitslücken sofort nach Bekanntwerden geschlossen worden. Man habe lediglich „Namens- und Adressdaten weniger Gäste“ identifiziert und diese umgehend informiert.
Die Aktivistinnen von „Zerforschung“ widersprechen jedoch dieser Darstellung. Ihren Erkenntnissen zufolge seien weit umfangreichere Datenmengen betroffen gewesen, darunter auch hochsensible Informationen wie Ausweis- und Kreditkartendaten.
Auch der Hotelkonzern Motel One mit Sitz in München bestätigte den Vorfall in einer Pressemitteilung. Das Unternehmen erklärte, man untersuche die Angelegenheit derzeit gemeinsam mit externen IT-Sicherheitsfachleuten. Nach aktuellem Kenntnisstand sei kein Missbrauch der Daten bekannt, und die Daten seien „nicht an die Öffentlichkeit gelangt“. Motel One befinde sich im Prozess, die betroffenen Gäste zu informieren.
Ehrenamtliche IT-Detektive decken erneut auf
Das Kollektiv „Zerforschung“ ist in der deutschen IT-Sicherheitslandschaft längst bekannt. Die Gruppe, die aus jungen, engagierten Informatikerinnen und Aktivisten besteht, prüft regelmäßig digitale Dienste auf Sicherheitslücken – oft mit beunruhigenden Ergebnissen.
Erst in den vergangenen Jahren deckte „Zerforschung“ Sicherheitsmängel bei Gesundheits-Apps, Online-Ticketsystemen und Behördenportalen auf. In allen Fällen handelten die Aktivisten verantwortungsvoll nach dem Prinzip des sogenannten „Responsible Disclosure“: Schwachstellen werden vertraulich gemeldet, um Schaden zu verhindern, bevor sie öffentlich bekannt gemacht werden.
Wachsende Sorge um IT-Sicherheit in Deutschland
Der Fall zeigt einmal mehr, wie verwundbar digitale Systeme in Deutschland sind – besonders im Bereich Tourismus und öffentliche Einrichtungen. Erst kürzlich beklagten Landesmitarbeiter in einem Brandbrief an Mecklenburg-Vorpommerns Digitalisierungsminister Christian Pegel (SPD) schwerwiegende Mängel bei der IT-Sicherheit sowie eine übermäßige Arbeitsbelastung in der Verwaltung.
IT-Experten fordern seit Langem verbindlichere Sicherheitsstandards für Softwareanbieter, insbesondere bei der Verarbeitung personenbezogener Daten. Denn gerade im Hotel- und Gastgewerbe werden täglich Millionen sensibler Informationen gespeichert und verarbeitet – ein attraktives Ziel für Cyberkriminelle.
Noch unklar: Wurden Daten tatsächlich missbraucht?
Ob die offengelegten Informationen bereits in die Hände von Dritten geraten sind oder missbraucht wurden, ist derzeit nicht abschließend geklärt. Sowohl der Jugendherbergsverband als auch Motel One betonen, dass keine Hinweise auf Datenmissbrauch vorlägen.
Datenschützer mahnen jedoch zur Vorsicht. Selbst wenn keine unmittelbare Veröffentlichung stattgefunden habe, könnten die Daten über Zwischenstationen abgeflossen sein – etwa durch automatisierte Crawler oder Botnetze, die nach solchen Lecks suchen.
Fazit: Ein weiterer Weckruf
Das Datenleck bei der Hotelsoftware reiht sich in eine wachsende Liste von Vorfällen ein, die die mangelnde Cybersicherheit in Deutschland offenbaren. Es ist ein Weckruf an Anbieter, Betreiber und Behörden gleichermaßen, sensiblen Kundendaten endlich den Schutz zu gewähren, den sie verdienen.
Denn digitale Bequemlichkeit darf nie zulasten der Datensicherheit gehen – besonders nicht dort, wo Millionen Reisende darauf vertrauen, dass ihre persönlichen Informationen sicher sind.
Kommentar hinterlassen