News Datenleck bei Hotelkette Numa: Ausweisdaten von 500.000 Gästen waren online abrufbar

[MrDesperados]

Und es soll Leute geben die nach noch mehr Digitalisierung schreien . Es wird doch in Zukunft nicht besser, egal was man für Gesetze für mehr "Schutz" hat.

 

[Simanova]

Ist es nicht verboten Ausweisdokumente einzuscannen?

Nein, außer dein Gesicht ist auf einem Euro Schein drauf.

Ich habe sogar eine Kopie des Ausweises digital immer dabei.
Wird Zeit, dass die EU und Deutschland das endlich digital umsetzt.
Zumindest bei der Fahrerlaubnis gibt es das bald.

 

[Paladin-HH]

Durch Sicherheitsmängel im Online-Buchungssystem der Hotelkette Numa ist es dem Chaos Computer Club (CCC) gelungen, auf über 500.000 Rechnungen sowie auf die Ausweisdaten der Gäste zuzugreifen. Möglich war das durch ein einfaches Hochzählen der Rechnungsnummer, heißt es in der Mitteilung.

Zur News: Datenleck bei Hotelkette Numa: Ausweisdaten von 500.000 Gästen waren online abrufbar

[...] beim digitalen Check-In noch ein Ausweisen zu hinterlegen. [...]

 

[tdbr]

Rezeptionisten abschaffen ...

Was soll denn diese Person machen, wenn gesagt wird mach A, B, C, D beim einchecken? In was für einer Welt lebst du, dass du erwartest diese Personen machen nicht einfach nur ihre Arbeit nach vorgaben?

 

[SVΞN]

Man kann es nicht oft genug sagen: Danke, CCC!

 

[Mr. Smith]

Interessant ist doch eigentlich, welche PMS-Software bzw. welche Erweiterungs-Module (für Online-CheckIn, Meldung der Gäste bei der zugehörigen Gemeinde etc.) genutzt worden ist und welche Firma diese Software für die Numa-Kette betreut. Diese Software wird es auch noch in anderen Hotels/Ketten geben und diese sollten ebenfalls mal kontrolliert werden.

Das ist wohl kaum eine Eigenentwicklung der Kette (dafür ist die Numa Group und sogar der Mutterkonzern zu klein). Eine gewisse Haftbarkeit des zuständigen Betreuers gibt es durchaus. Vor allem, wenn Strafen/Bußgelder verhängt werden.

 

[kicos018]

Mich würde jetzt ja mal interessieren, was für eine Strafe so ein massives Vergehen nach sich zieht? Gar nichts?

Kommt auf Art, Schwere und Dauer an. 2-4% des (weltweiten!) Jahresumsatzes. Sind btw. auch keine Strafen, sondern Bußgelder.

Ist es nicht verboten Ausweisdokumente einzuscannen?

Wenn du dem zustimmst, darf das Hotel das natürlich machen. Wie im Artikel von der Zeit aber korrekt steht, musst du als deutscher Staatsangehöriger in deutschen Hotels den Ausweis nicht mal mehr vorzeigen. Von daher ist das Vorgehen von Numa von grundauf wohl nicht ganz rechtens, insbesondere weil ja schon gebucht und bezahlt wurde. Eigentlich sollte das auch als Identifikation ausreichen...

 

[II n II d II]

Danke, CCC!

Und genau wegen solchem Unfug sind pöhse, pöhse "Überregulierungen" wie die DSGVO leider bitter nötig.

Die Vorlage des Ausweises bei einer Hotelbuchung ist doch Folge der Überregulierung und gesetzlich vorgeschrieben, dachte ich. Oder täusche ich mich da?

 

[Andrej.S.]

Danke, CCC!

Und genau wegen solchem Unfug sind pöhse, pöhse "Überregulierungen" wie die DSGVO leider bitter nötig.

Bringt doch aber in der Praxis gar nichts, weil keiner die Umsetzung gescheit prüft.

Schau mal wie bei Banken mit Kundendaten bei Abhahmetests mit produktiven Kundendaten umgegangen wird. Meinst du da wird anonymisiert damit nicht irrtümlich Fachbereich, IT oder Externe Zugriff darauf haben?

Nö, wird einfach eine Beschlussvorlage an den Vorstand zur Risikoakzeptanz verfasst oder der Bereichsleiter akzeptiert das direkt.

 

[Mr. Smith]

Vorlage des Ausweises bei einer Hotelbuchung ist doch Folge der Überregulierung und gesetzlich vorgeschrieben, dachte ich. Oder täusche ich mich da?...

Teils teils. Für einen Pre-CheckIn musst du zumindest deine Adressdaten etc. angeben. Das musstest du aber schon immer. Hier geht es speziell darum, dass man keine Gäste "schwarz" übernachten lässt.

Die Gemeinde will immer wissen, welche Gäste in welchem Haus sind bzw. auch wie lange. Hat unter anderem damit zu tun, dass du ja auch tägl Ortstaxe bzw. Kurtaxe abdrücken musst; was ein Durchreich-Posten an die Gemeinde ist. Der Hotellier verdient an den Taxen ja nichts.

Aber der Ausweis muss nicht digital vorgelegt werden bzw. sollte er es auch nicht. Eine einfache visuelle Kontrolle beim CheckIn genügt. Das setzt allerdings voraus, dass es überhaupt einen Rezeptionisten gibt (was bei dieser Kette wohl nicht der Fall ist).

Somit sind sie, auf Grund ihrer Einsparungsmaßnahmen, auf die digitale Variante mehr oder weniger zwingend angewiesen. In diesem Falle muss dann aber auch für die Datensicherheit und die Verschlüsselung bzw. Anonymisierung der Ausweisdaten gesorgt sein.

Wenn dem nicht so ist, kann das sehr teuer werden (sofern es einen Kläger bzw. eine Sammelklage gibt).

 

[Seven2758]

Bringt doch aber in der Praxis gar nichts, weil keiner die Umsetzung gescheit prüft.

Es gab doch erst letzte Woche eine Meldung, dass gegen Vodafone eine Rekordstrafe von 45 Millionen Euro verhängt wurde.

 

[Termy]

Und das nächste, was bekommt der Finder der Sicherheitslücke, der möglicherweise hunderttausenden Menschen so geholfen hat?

Wenns nach Firmen wie Modern Solution oder den Internetausdruckern bei der Union geht: mindestens Beschlagnahmung allen IT-Equipments, am besten mehrjährige Gefängnisstrafen

Die Vorlage des Ausweises bei einer Hotelbuchung ist doch Folge der Überregulierung und gesetzlich vorgeschrieben, dachte ich.

Beim Checkin, möglicherweise, ja. Allerdings schreibt das Gesetz keine Speicherung des Dokuments vor, maximal der Ausweisnummer oder was in der Richtung.

Bringt doch aber in der Praxis gar nichts, weil keiner die Umsetzung gescheit prüft.

Ehrm - du hast den Artikel schon gelesen, oder? Klar ist es traurig, dass sowas erst durch einen Verein wie den CCC aufgedeckt wird, aber was, ausser einer Prüfung sollte das denn jetzt gewesen sein?

Und durch die DSGVO muss sich Numa da jetzt hoffentlich auf die Möglichkeit recht empfindlicher Strafen einstellen.
Gäbe es die DSGVO o.ä. nicht, dann würden solche Firmen bei einer Meldung einfach mit den Schultern zucken und weitermachen wie bisher.

 

[Spriti]

Und es soll Leute geben die nach noch mehr Digitalisierung schreien .

Ja, aber mit ECHTEN Fachkräften und nicht mit (offensichtlich) dahergelaufenen Stümpern.

Ich entschuldige mich wieder für meinen Berurfsstand und für alle Noobs, die sich IT-Fachkraft schimpfen. 90 % davon kann man in die Tonne kloppen. Ja ist so.

 

[fox40phil]

Unfassbar!!

 

[gustlegga]

Eine fortlaufende ID ist nicht nur in der heutigen Zeit sondern generell wirklich selten dämlich.

Ich habe sogar eine Kopie des Ausweises digital immer dabei.
Wird Zeit, dass die EU und Deutschland das endlich digital umsetzt.
Zumindest bei der Fahrerlaubnis gibt es das bald.

Geht beides, also sowohl Ausweis als auch Führerschein und sogar Zulassung/Fahrzeugschein, bei uns hier in Österreich schon seit längerem mit ID Austria und eAusweise App.
Leider nur national, weil in der EU ja wieder jedes Land sein eigenes Süppchen kochen muss.....
In Bezug auf e-Government ist Deutschland aber ohnehin ein halbes Dritte-Welt Land.

 

[Xechon]

Ist es nicht verboten Ausweisdokumente einzuscannen?

Zumindest sollte es nicht reichen um ernsthaft zu legitimieren. Oder kannst du mit bloßem Auge feststellen, ob ein Ausweis echt oder gefälscht ist? 😉😅

 

[Proxy One]

Was soll denn diese Person machen, wenn gesagt wird mach A, B, C, D beim einchecken? In was für einer Welt lebst du, dass du erwartest diese Personen machen nicht einfach nur ihre Arbeit nach vorgaben?

Ich verstehe deine Fragen nicht. Ich habe doch garnicht einzelne Personen sondern das Hotel-Unternehmen kritisiert.

 

[Unnu]

Beim Lesen der Meldung kriegt man Kopfschmerzen ob der schieren Imkompetenz dieser Firma.

Naja, das ist ja SEHR weit verbreitet bei den Softwareherstellern.

Ich muss gerade einem Nachhilfe in Sachen CRA geben, weil wir demnächst unsere IT nach NIS 2 organisieren dürfen.
… und die haben NULL Ahnung von nix.

Und nächste Woche darf ich eine Software rauswerfen, die nicht mal verschlüsselt kommuniziert! Die wurde, wie auch immer, an unserem Demandprozess vorbei eingeführt. Weil Business quengelt oder so …!
Und der Hersteller ist mal wieder blissfully oblivious. AAHRGH!

Unglaublich!

Ergänzung (13. Juni 2025)

Mich würde jetzt ja mal interessieren, was für eine Strafe so ein massives Vergehen nach sich zieht?

Hmmmm, das ist ein Verstoß gegen die GDPR. Ohne weitere Konsequenzen für die Betroffenen.

Wird wahrscheinlich eine Geldstrafe werden. Nicht allzu hoch.

Ergänzung (13. Juni 2025)

Ausweisdokumente einzuscannen?

Ja. Ist theoretisch verboten, weil Duplizierung von amtlichen Dokumenten.
Allerdings… siehe vorherige Antworten.

 

[Dito]

Video-call? Der wird bestimmt auch gespeichert!
Dann hast du das gleiche. Daher lade ich meinen Ausweis nicht hoch.
Nur zwangsweise Beamte oder Gerichte bekommen eine Kopie.

 

[orodigistan]

identity verification mittels behördlicher dokument dient dazu, gewisse Leute auszuschließen von Geschäften. man erkennt gewisse Leute wieder.

es dient nicht dazu schäden zu regulieren oder damit nur der Gast seine Dienstleistung erhält, die er auch bestellt hat und niemand anders sonst.