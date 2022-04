Bis vor wenigen Tagen waren die Legoland-Nutzerdaten mehrerer Tausend Menschen frei abrufbar. Aufgrund eines Datenlecks der Buchungsseite für Übernachtungen im Freizeitpark bei Günzburg konnte man Namen, Adressen und den Reisezeitraum der Gäste jahrelang einsehen. Recherchen des IT-Nachrichtenportals Heise Online machten die Schwachstelle publik.

Wie kam es zu dem Leck?

Legoland hatte eigenen Angaben zufolge vor einigen Monaten das hauseigene Buchungssystem umgestellt. Diese Umstellung ermöglichte es, dass man durch einfache Änderungen im Buchungslink die Buchungsbestätigungen mehrerer Tausend Menschen einsehen konnte. Dem Heise-Team zufolge hätten die Daten auch durch ein einfaches Skript automatisch heruntergeladen werden können.

Wie wurde es entdeckt?

Die Schwachstelle im Buchungssystem der Merlin Entertainment GmbH, die das Legoland betreibt, trat erst auf, nachdem ein Besucher selbst dort eine Übernachtung gebucht hatte. Anschließend hatte besagter Nutzer auf die eigene Buchungsbestätigung zugegriffen und sei anhand der einschlägigen Zahlenkombination misstrauisch geworden. Nachdem er die Kombination änderte, habe er die Buchungsbestätigung anderer Nutzer einsehen können und kontaktierte daraufhin das Heise-Team zur Überprüfung.

Das Recherche-Team begann, Stichproben durchzuführen, bei denen zufällig die Buchungsnummern abgeändert wurden und ein ähnliches Ergebnis zeigten: So konnte jeder bis ins Jahr 2015 zurück auf die Buchungsbestätigungen als PDF-Dateien der Nutzerinnen und Nutzer zurückgreifen.

Reaktion von Legoland

Nachdem die Schwachstelle konkret identifiziert war, kontaktierte das Team die für die Buchungsseite verantwortliche Merlin Entertainment Group und informierte sie über das Datenleck. Diese wiederum reagierte mit der Sperrung des Zugriffs auf die Links. Das Buchungssystem sei deaktiviert worden; außerdem habe man umfassende Sicherheitsmaßnahmen vorgenommen und dem Bayerischen Landesamt für Datenschutzaufsicht einen Verstoß gegen die DSGVO gemeldet.

Welche Rolle spielt die DSGVO?

Das Datenleck bei der Buchungsseite stellt einen Datenschutzverstoß gegen die DSGVO dar, weil damit der Schutz persönlicher Daten - z.B. von Namen und Adressen der Gäste von Legoland - verletzt wurde. In Fällen mit einem hohen Risiko für die persönlichen Rechte, gerade wenn es um Daten wie Adressen geht, besteht eigentlich eine Informationspflicht für die Betreiber. Dieses Risiko liegt jedoch in deren Ermessen. Hier sei das Risiko gering gewesen, da keine Daten zu Bankkonten oder Kreditkarten betroffen seien, so Merlin Entertainment. Daher habe man die Betroffenen nicht informiert.

Ein ähnlicher Fall ereignete sich vor zwei Jahren, als ebenfalls über ein Datenleck die Daten von Millionen Hotelgästen der Kette Marriott abgegriffen wurden. Datenlecks wie der bei Legoland hingegen könnten sich durch einfache Maßnahmen, wie zufällige Nutzer-IDs und die Abfrage von Passwörtern für den Zugriff auf Nutzerdaten, verhindern lassen.