Anzeige

QR-Codes Check In

Vor dem Hintergrund der anhaltenden Covid-19 Pandemie müssen Restaurants, die langsam wieder öffnen und Gäste empfangen dürfen, bestimmte Sicherheitsmaßnahmen treffen. Eine davon ist das Sammeln der Kontaktdaten aller Gäste.

Neben Deutschland gilt diese Regelung auch in der Schweiz, wobei die Erfassung oftmals lediglich mit Stift und Papier stattfindet. Diese Vorgehensweise wurde mittlerweile vermehrt von Datenschutzexperten kritisiert. Um die Kontaktdatenerfassung schneller, digitaler und sicherer abwickeln zu können, hat das Zürcher Start-Up Lunchgate seinen Tischreservierungs-Service Foratable rasch um eine Covid-19-Tracing-Lösung erweitert. Sicherheitsforscher haben in dem Online-Dienst von Lunchgate nun allerdings eine Schwachstelle entdeckt, wodurch nicht nur die Restaurantbesitzer die Kontaktdaten der Gäste einsehen können, sondern diese online theoretisch für jeden zugänglich sind.

Julian Totzek-Hallhuber, Solution Architect bei Veracode, kommentiert die Gefahrenlage:

„Eine digitale Kontakterfassungslösung für Restaurants ist grundsätzlich ein guter Ansatz, um den existierenden Datenschutzregelungen gerecht zu werden. Allerdings wurde in diesem Fall versäumt, grundlegende Sicherheitsvorkehrungen in der Online-Anwendung zu treffen. Die Restaurantbetreiber generieren via dem Service von Foratable QR-Codes, die die Gäste nach dem Scannen auf eine Bestätigungsseite weiterleitet auf der sie ihre Kontaktdaten eingeben. Diese URLs enden jeweils mit einer bestimmten ID-Nummer. Anstatt die IDs per Zufallsprinzip zu generieren wurden diese von der App allerdings einfach aufaddiert, sodass jeder Gast theoretisch alle privaten Daten der vorigen und nachfolgenden IDs abrufen kann. Auch wurden die Daten im Backlog länger gespeichert als die gesetzlich vorgeschriebene 14-Tage-Frist.

Ohne organisatorische und technische Sicherheitsmaßnahmen können digitale Lösungen also ein noch höheres Risiko an Datenschutzverletzungen darstellen wie die Kontakterfassung via Papier und Stift. Zusätzlich besteht natürlich auch immer die Gefahr, dass Applikationen fehlerhaften Code beinhalten, der wiederum weitere Sicherheitslücken mit sich bringt. Dies ist besonders kritisch bei Anwendungen wie diesen, die mit sensiblen Daten arbeiten und diese abspeichern. So konnten wir in unserem aktuellen State of Software Security Report herausfinden, dass 83 Prozent aller gescannten Anwendungen mindestens eine Schwachstelle enthält. Es empfiehlt sich also zusätzlich zu den grundlegenden Sicherheitsmaßnahmen noch regelmäßige Scans der Anwendungen durchzuführen, um Schwachstellen rechtzeitig zu erkennen und beheben zu können“


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Artikel zu diesem Thema

Digitale Identität
Jul 14, 2020

COVID-19, digitale Identitäten und der Datenschutz

Digitale Identitäten werden uns dauerhaft begleiten. Der Durchschnittsbürger hätte…
COVID-19 App
Jun 29, 2020

Angst vor Missbrauch von Daten aus Corona-Contact-Tracing

Weltweit gibt es Bemühungen, die Ausbreitung der COVID-19-Pandemie mithilfe der Erfassung…
DSGVO
Mai 11, 2020

Zwei Jahre EU-DSGVO - eine Zwischenbilanz

Vor zwei Jahren trat die europäische Datenschutzgrundverordnung (EU-DSGVO) in Kraft.…

Weitere Artikel

Datenschutz

Unzertrennbar: CRM und Datenschutz

CRM-Lösungen und der Schutz von Daten passen auf den ersten Blick nicht zusammen, doch der Schein trügt. „Seit der Einführung der Datenschutzgrundverordnung (DSGVO) agieren die beiden Welten so eng wie noch nie miteinander“, sagt Litz, Geschäftsführer der…
Passwort

Dashlane launcht Password Health Score Reporting

Dashlane, ein Passwort- und Online-Identitätsverwaltungsdienst, verkündete heute die Einführung eines neuen Dashboards zur Berichterstellung von Passwortintegritätsbewertungen für Business-Kunden. Das erste Berichterstellungstool seiner Art bietet…
EU US

EU-US Privacy Shield – was nun?

Bereits im Jahr 2000 hatte sich die Europäische Kommission beraten und entschieden, dass der vom US-Handelsministerium erstellte Rahmen den europäischen Datenschutzstandards entspricht – Safe Harbor war geboren. Zum damaligen Zeitpunkt funktionierte der…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!