Anzeige

QR-Codes Check In

Vor dem Hintergrund der anhaltenden Covid-19 Pandemie müssen Restaurants, die langsam wieder öffnen und Gäste empfangen dürfen, bestimmte Sicherheitsmaßnahmen treffen. Eine davon ist das Sammeln der Kontaktdaten aller Gäste.

Neben Deutschland gilt diese Regelung auch in der Schweiz, wobei die Erfassung oftmals lediglich mit Stift und Papier stattfindet. Diese Vorgehensweise wurde mittlerweile vermehrt von Datenschutzexperten kritisiert. Um die Kontaktdatenerfassung schneller, digitaler und sicherer abwickeln zu können, hat das Zürcher Start-Up Lunchgate seinen Tischreservierungs-Service Foratable rasch um eine Covid-19-Tracing-Lösung erweitert. Sicherheitsforscher haben in dem Online-Dienst von Lunchgate nun allerdings eine Schwachstelle entdeckt, wodurch nicht nur die Restaurantbesitzer die Kontaktdaten der Gäste einsehen können, sondern diese online theoretisch für jeden zugänglich sind.

Julian Totzek-Hallhuber, Solution Architect bei Veracode, kommentiert die Gefahrenlage:

„Eine digitale Kontakterfassungslösung für Restaurants ist grundsätzlich ein guter Ansatz, um den existierenden Datenschutzregelungen gerecht zu werden. Allerdings wurde in diesem Fall versäumt, grundlegende Sicherheitsvorkehrungen in der Online-Anwendung zu treffen. Die Restaurantbetreiber generieren via dem Service von Foratable QR-Codes, die die Gäste nach dem Scannen auf eine Bestätigungsseite weiterleitet auf der sie ihre Kontaktdaten eingeben. Diese URLs enden jeweils mit einer bestimmten ID-Nummer. Anstatt die IDs per Zufallsprinzip zu generieren wurden diese von der App allerdings einfach aufaddiert, sodass jeder Gast theoretisch alle privaten Daten der vorigen und nachfolgenden IDs abrufen kann. Auch wurden die Daten im Backlog länger gespeichert als die gesetzlich vorgeschriebene 14-Tage-Frist.

Ohne organisatorische und technische Sicherheitsmaßnahmen können digitale Lösungen also ein noch höheres Risiko an Datenschutzverletzungen darstellen wie die Kontakterfassung via Papier und Stift. Zusätzlich besteht natürlich auch immer die Gefahr, dass Applikationen fehlerhaften Code beinhalten, der wiederum weitere Sicherheitslücken mit sich bringt. Dies ist besonders kritisch bei Anwendungen wie diesen, die mit sensiblen Daten arbeiten und diese abspeichern. So konnten wir in unserem aktuellen State of Software Security Report herausfinden, dass 83 Prozent aller gescannten Anwendungen mindestens eine Schwachstelle enthält. Es empfiehlt sich also zusätzlich zu den grundlegenden Sicherheitsmaßnahmen noch regelmäßige Scans der Anwendungen durchzuführen, um Schwachstellen rechtzeitig zu erkennen und beheben zu können“


Artikel zu diesem Thema

Digitale Identität
Jul 14, 2020

COVID-19, digitale Identitäten und der Datenschutz

Digitale Identitäten werden uns dauerhaft begleiten. Der Durchschnittsbürger hätte…
COVID-19 App
Jun 29, 2020

Angst vor Missbrauch von Daten aus Corona-Contact-Tracing

Weltweit gibt es Bemühungen, die Ausbreitung der COVID-19-Pandemie mithilfe der Erfassung…
DSGVO
Mai 11, 2020

Zwei Jahre EU-DSGVO - eine Zwischenbilanz

Vor zwei Jahren trat die europäische Datenschutzgrundverordnung (EU-DSGVO) in Kraft.…

Weitere Artikel

Facebook

Datensicherheit bei Facebook: So können Sie das Risiko von Datendiebstahl verringern

Facebook-Mitglieder weltweit schreckten am Osterwochenende auf: Persönliche Daten von mehr als 530 Millionen Nutzer:innen sollen im Internet veröffentlicht worden sein. Darunter sollen auch Daten von rund sechs Millionen Menschen aus Deutschland sein.
Justitia

Warum IT-Experten härtere Regeln für Tech-Konzerne fordern

Die Corona-Pandemie dominierte im Jahr 2020 einen Großteil der Nachrichten und hat einen rasanten Digitalisierungsschub bewirkt. Damit kommt auch das Thema Datenschutz zurück auf die Tagesordnung. So wurde in Niedersachsen zuletzt der IT-Händler…
Post-Brexit Changes

Herkulesaufgabe Datenschutz: Datenaustausch zwischen EU und UK

Der Datenschutz stellt Unternehmen in der EU und Großbritannien vor große Herausforderungen. Sie sind darauf angewiesen, dass ein geregelter und sicherer Datenaustausch zwischen den Ländern bald gewährleistet wird. Vergleichbare Datenschutzverordnungen und…
Datenschutz

Bitkom zum Jahresbericht des Bundesdatenschutzbeauftragten

Aus Anlass der Veröffentlichung des Tätigkeitsberichts des Bundesdatenschutzbeauftragten (BfDI) erklärt Bitkom-Hauptgeschäftsführer Dr. Bernhard Rohleder:

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.