Thought Leadership
Ein saarländischer Softwareanbieter für Hotelverwaltungssysteme stand im Zentrum eines erheblichen Datenschutzvorfalls. Wie das IT-Kollektiv “Zerforschung” herausfand, ließen sich wohl über mehrere Sicherheitslücken umfangreiche Gästedaten ohne nennenswerte technische Hürden abrufen.
Die Verwundbarkeit der Systeme betraf keine Einzelfälle, sondern erstreckte sich über mehrere große Hotelketten und Herbergen in Deutschland. Zu den betroffenen Einrichtungen gehörten sämtliche Jugendherbergen des Deutschen Jugendherbergswerks in vier Bundesländern – Mecklenburg-Vorpommern, Rheinland-Pfalz, Saarland sowie Berlin Ostkreuz. Zusätzlich waren 50 Standorte der Hotelkette Motel One von der Problematik betroffen. NDR, WDR und die Süddeutsche Zeitung konnten die Schwachstellen in Stichproben bestätigen.
Was war zugänglich?
Nach Angaben des IT-Kollektivs waren über die Schwachstellen folgende Informationen abrufbar:
- Vollständige Namen und Wohnadressen
- Kontaktdaten wie Telefonnummern
- Zeitpunkte der Buchungen
- In Teilen Ausweisdokumentnummern
- Die letzten vier Stellen von Kreditkartennummern
- Besondere Wünsche und Kommentare zu Reservierungen
Die Datenbank enthielt teilweise Buchungsinformationen, die bis zu zwei Jahrzehnte zurückreichten. “Zerforschung” schätzt, dass insgesamt etwa 50 Millionen Gästeprofile und über 30 Millionen Reservierungen potentiell betroffen sein könnten.
Prominente Fälle
Unter den einsehbaren Buchungen befanden sich auch solche von Bundestagsabgeordneten. So ließen sich beispielsweise Details zu einer Zimmerreservierung des CDU-Abgeordneten im Motel One am Hackeschen Markt in Berlin abrufen, einschließlich des Kommentars zu Zimmerwünschen. Auch eine Buchung des SPD-Politikers Ralf Stegner vom September 2025 war samt Privatanschrift einsehbar.
Laut Tagesschau mahnte Stegner in seiner Reaktion an, persönliche Daten müssten ernster genommen werden. Die CDU-Abgeordnete Anja Karliczek, Vorsitzende des Tourismusausschusses und ebenfalls betroffen, bezeichnete den Vorfall als beunruhigend und forderte Aufklärung.
Technische Details der Schwachstellen
Das IT-Kollektiv “Zerforschung” beschreibt die Sicherheitsmängel als erschreckend simpel. Während das System eigentlich nur Zugriff auf die eigene Buchung mittels Reservierungsnummer und Nachname gewähren sollte, reichte stattdessen die Eingabe eines beliebigen Datums aus, um sämtliche Reservierungen dieses Tages im jeweiligen Hotel anzuzeigen.
Position des Softwareanbieters
Die Gubse AG widerspricht der Einschätzung, die Lücken seien leicht ausnutzbar gewesen. Das Unternehmen argumentiert, zur Ausnutzung seien tiefgehende technische Kenntnisse erforderlich gewesen. Zudem betont die Firma, es habe keinen generell ungeschützten Zustand gegeben und keinerlei unbefugten Zugriff oder Abfluss personenbezogener Daten gegeben.
Nach Unternehmensangaben wurde die IT-Infrastruktur zuvor von einem externen Auditor geprüft, der keine Sicherheitsbedenken geäußert habe. Die Gubse AG bedauert den Vorfall und sieht ihn als Anlass, die technische Qualität und Sicherheit ihrer Systeme weiter zu verbessern.
Reaktionen der betroffenen Hotels
Die Jugendherbergsverbände bestätigten die Sicherheitslücke, die ihnen vom Softwareanbieter mitgeteilt wurde. Allerdings gebe es keine Hinweise auf tatsächliche unberechtigte Zugriffe oder Datenabflüsse. Die Jugendherbergen in Rheinland-Pfalz und dem Saarland schätzen das Risiko für Gäste als gering ein und verzichten auf eine individuelle Benachrichtigung Betroffener.
Der Verband in Mecklenburg-Vorpommern gibt an, nur Namens- und Adressdaten einer kleinen Anzahl von Gästen seien betroffen gewesen, die man umgehend informiert habe.
Motel One veröffentlichte eine Pressemitteilung, in der das Unternehmen erklärt, den Vorfall zu untersuchen. Nach aktuellem Kenntnisstand seien Daten nicht an die Öffentlichkeit gelangt und es sei kein Missbrauch bekannt. Der Münchner Hotelkonzern befindet sich im Prozess, betroffene Gäste zu kontaktieren.
