Anzeige

Anzeige

QR-Codes Check In

Vor dem Hintergrund der anhaltenden Covid-19 Pandemie müssen Restaurants, die langsam wieder öffnen und Gäste empfangen dürfen, bestimmte Sicherheitsmaßnahmen treffen. Eine davon ist das Sammeln der Kontaktdaten aller Gäste.

Neben Deutschland gilt diese Regelung auch in der Schweiz, wobei die Erfassung oftmals lediglich mit Stift und Papier stattfindet. Diese Vorgehensweise wurde mittlerweile vermehrt von Datenschutzexperten kritisiert. Um die Kontaktdatenerfassung schneller, digitaler und sicherer abwickeln zu können, hat das Zürcher Start-Up Lunchgate seinen Tischreservierungs-Service Foratable rasch um eine Covid-19-Tracing-Lösung erweitert. Sicherheitsforscher haben in dem Online-Dienst von Lunchgate nun allerdings eine Schwachstelle entdeckt, wodurch nicht nur die Restaurantbesitzer die Kontaktdaten der Gäste einsehen können, sondern diese online theoretisch für jeden zugänglich sind.

Julian Totzek-Hallhuber, Solution Architect bei Veracode, kommentiert die Gefahrenlage:

„Eine digitale Kontakterfassungslösung für Restaurants ist grundsätzlich ein guter Ansatz, um den existierenden Datenschutzregelungen gerecht zu werden. Allerdings wurde in diesem Fall versäumt, grundlegende Sicherheitsvorkehrungen in der Online-Anwendung zu treffen. Die Restaurantbetreiber generieren via dem Service von Foratable QR-Codes, die die Gäste nach dem Scannen auf eine Bestätigungsseite weiterleitet auf der sie ihre Kontaktdaten eingeben. Diese URLs enden jeweils mit einer bestimmten ID-Nummer. Anstatt die IDs per Zufallsprinzip zu generieren wurden diese von der App allerdings einfach aufaddiert, sodass jeder Gast theoretisch alle privaten Daten der vorigen und nachfolgenden IDs abrufen kann. Auch wurden die Daten im Backlog länger gespeichert als die gesetzlich vorgeschriebene 14-Tage-Frist.

Ohne organisatorische und technische Sicherheitsmaßnahmen können digitale Lösungen also ein noch höheres Risiko an Datenschutzverletzungen darstellen wie die Kontakterfassung via Papier und Stift. Zusätzlich besteht natürlich auch immer die Gefahr, dass Applikationen fehlerhaften Code beinhalten, der wiederum weitere Sicherheitslücken mit sich bringt. Dies ist besonders kritisch bei Anwendungen wie diesen, die mit sensiblen Daten arbeiten und diese abspeichern. So konnten wir in unserem aktuellen State of Software Security Report herausfinden, dass 83 Prozent aller gescannten Anwendungen mindestens eine Schwachstelle enthält. Es empfiehlt sich also zusätzlich zu den grundlegenden Sicherheitsmaßnahmen noch regelmäßige Scans der Anwendungen durchzuführen, um Schwachstellen rechtzeitig zu erkennen und beheben zu können“


Artikel zu diesem Thema

Digitale Identität
Jul 14, 2020

COVID-19, digitale Identitäten und der Datenschutz

Digitale Identitäten werden uns dauerhaft begleiten. Der Durchschnittsbürger hätte…
COVID-19 App
Jun 29, 2020

Angst vor Missbrauch von Daten aus Corona-Contact-Tracing

Weltweit gibt es Bemühungen, die Ausbreitung der COVID-19-Pandemie mithilfe der Erfassung…
DSGVO
Mai 11, 2020

Zwei Jahre EU-DSGVO - eine Zwischenbilanz

Vor zwei Jahren trat die europäische Datenschutzgrundverordnung (EU-DSGVO) in Kraft.…

Weitere Artikel

Cookies

DSGVO-Beschwerden: Cookies im Fadenkreuz der Datenschützer

Es zeigt sich, dass Cookies für Unternehmen schnell eine Gefahrenquelle beim Thema Datenschutz werden können. Die Datenschutzaktivisten der Gruppe Noyb rund um Max Schrems haben Beschwerden an über 560 Unternehmen verschickt und nach eigener Aussage 10.000…
Digitale Signatur

Dokumente rechtssicher digital unterschreiben

Dokumente, wie Rechnungen, Verträge, Vollmachten, Finanzunterlagen oder Konstruktionszeichnungen, enthalten sensible Informationen oder Betriebsgeheimnisse. Damit diese rechtssicher und ihre Integrität sowie Vertrauenswürdigkeit gewahrt bleiben, müssen sie…
Hacker Passwort

Anstieg von 450% bei Datenverstößen mit Benutzername und Passwort

ForgeRock gibt die Ergebnisse seines Consumer Identity Breach Reports 2021 bekannt. Der Bericht zeigt weltweit einen beispiellosen Anstieg von 450 Prozent bei Datenverstößen mit Benutzernamen und Passwörtern.
DSGVO

DSGVO - 3 Jahre später

Im Mai 2021 hat sich die größte Umwälzung der Datenschutzgesetzgebung zum dritten Mal gejährt. Schon im Entwurfsstadium verbreitete die DSGVO einiges an Unruhe und löste, was die Durchsetzung der Maßnahmen anbelangt, etliche Diskussionen aus.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.