PresseBox
Pressemitteilung BoxID: 436660 (Toedt, Dr. Selk & Coll. GmbH)
  • Toedt, Dr. Selk & Coll. GmbH
  • Augustenstr. 79
  • 80333 München
  • http://www.ts-und-c.de
  • Ansprechpartner
  • Stephanie Goldbrunner
  • +49 (89) 1893569-0

Michael Toedt

Geschäftsführender Gesellschafter

(PresseBox) (München, ) Letzten Freitag wurde einer der wohl bisher größten Datenskandale der Hotellerie bekannt. Zigtausende von Gastprofilen waren anscheinend jahrelang im Internet für jedermann zugänglich. Verantwortlich hierfür waren SynXis und das Münchner Unternehmen Serenata.

Immer wieder werden in der Presse skandalöse Datenmissbrauchs-Fälle wie etwa bei Sony, Telekom oder Facebook publik. Nach Radisson und Westin hat die Hotellerie ihren nächsten Skandal. Vergangene Woche wurde der wohl Größte bekannt.

HospitalityInside.com veröffentlichte einen "beinahe" entstanden Skandal einer Hotelgruppe, welche bislang ungenannt blieb. Bei den verantwortlichen Software-Unternehmen im Hintergrund des Dateneklats handelt es sich um niemand geringeren als die Serenata IntraWare und SynXis, eine Tochter von Sabre. Beides weltweit agierende Firmen mit einer wohlklingenden Kundenliste.

Bekanntgegeben wurde von HospitalityInside.com, dass Sie von einem Leser auf ein erhebliches Datenleck bei einer Hotelgruppe, welche von Serenata IntraWare und SynXis betreut wird, hingewiesen wurde.

Zum Hintergrund: Anscheinend wurde vor Jahren eine Schnittstelle für Online-Buchungsmasken zwischen SynXis und Serenata erstellt, die die Übermittlung wichtiger Daten in der URL des Browsers vorsah. Diese Übergabe erfolgte dabei jedoch ohne die notwendige Verschlüsselung.

Festgestellt wurde nun, dass für jeden Internetanwender, die Möglichkeit bestand, durch einfaches Abändern von Kundennummern in der URL auf andere Gastprofile zuzugreifen. So war es also möglich, ohne besondere IT-Kenntnis, Profile von anderen Gästen abzurufen - und zwar durch bloßes Verändern von Zahlen in der URL. Herr Deil, CEO von Serenata, wurde zitiert, dass die Schnittstelle nach schriftlichen Vorgaben von SynXis programmiert wurde. SynXis wiederum erklärt, dass "die von Serenata gelieferte URL mehrfach geprüft wurde". Derartige Rechtfertigungsversuche und gegenseitige Schuldzuweisungen sind nicht vertretbar. Bei einem solchen Basisfehler in der Programmierung, handelt es sich keinesfalls um ein Problem, das unter den Tisch gekehrt werden darf. Hier haben zwei Unternehmen anscheinend jahrelang grob fahrlässig die rudimentärsten Sicherungsmaßnahmen missachtet.

Stefan Hölzner, IT-Experte von KPMG spricht im Artikel von Hospitalityinside.com, über einen "hochkomplizierten Sachverhalt, bei dem bei allen Beteiligten tiefes Wissen über die Funktionen der Partnersysteme besitzen müssen". Im vorliegenden Fall handelt es sich aber nicht um ein kompliziertes Verfahren. Diese Kompetenzen und dieses Wissen muss ein Software-Unternehmen, das Internetanwendungen anbietet, gewährleisten.

Derartige Sicherheitslücken werden im Artikel jeder fünften Webseite unterstellt. Solche Aussagen sind nicht akzeptabel, denn sorgfältig arbeitende Software-Anbieter tragen enormen Schaden durch derartige Verallgemeinerungen.

Solchen Horrorszenarien gilt es für Unternehmen aktiv entgegenzuwirken. Dies geht mit den notwendigen Kompetenzen und entsprechender Sorgfalt.

Der richtige Weg wäre gewesen:

Der Zugriff auf Anwendungen und Daten über das Internet muss über mit SSL verschlüsselte Internet-Verbindungen erfolgen. Meistens reicht das aber bei weitem noch nicht aus, denn oft erfolgt die eigentliche Datenübergabe nicht über diese verschlüsselte Verbindung, sondern erfolgt - unverschlüsselt! - über die URL im Browser. Im Klartext heißt das dann, dass z.B. die Kundennummer, Kreditkartennummer, Adresse oder An- oder Abreisedatum, Preis etc. einsehbar sind.

Aus diesem Grund ist es notwendig, neben der SSL-Verschlüsselung zur über das Internet erreichbaren Software-Anwendung, die URL und etwaige darin enthaltene oder übergebene Daten zu verschlüsseln. Ohne diese Sicherheitsmaßnahmen kann durch einfache Manipulation des URL-Strings ein Datenmissbrauch erfolgen. So wie bei Serenata und SynXis geschehen. Es wurden hier die rudimentärsten Sicherheitsmaßnahmen missachtet.

Bei der Methode, die beispielsweise die CRM Software dailypoint(TM) nutzt, werden Daten in der URL mit einem Code verschlüsselt, der mehr als 10 hoch 32 Möglichkeiten bietet. Eine unbefugte Entschlüsselung und Zugriff auf andere Daten ist praktisch damit ausgeschlossen. Darüber hinaus werden u.a. die Zugriffszahlen auf die Anwendung überwacht: Sollte also ein unberechtigter Dritter versuchen, Daten abzusaugen, so würden die Zugänge automatisch geschlossen und die verantwortlichen Mitarbeiter informiert werden.

Neben technischen Schutzvorkehrungen sind es aber auch organisatorische Maßnahmen, die zum Schutz der Daten notwendig sind. Alle Kunden von TS&C werden in einem sechsseitigen Dokument über sämtliche technische und organisatorische Maßnahmen informiert, die zum Schutz der Daten getroffen werden. Dazu zählen z.B. auch die Kontrollen durch den Datenschutzbeauftragten und regelmäßige Audits.

Haftung der verantwortlichen Stelle

Bei Datenschutzverstößen haftet in der Regel als Auftraggeber und damit als "Herr der Daten" zunächst das jeweilige Unternehmen selbst. Liegt der Fehler nachweisbar beim Anbieter oder Softwarehersteller, kann insofern Regress genommen sowie Schadensersatz gefordert werden. Bruno Wolf, Geschäftsführer der HHC - Bruno Wolf - Consulting, sieht in dem Artikel auf Hospitality Inside, fälschlicherweise den Handlungsbedarf allein bei den Hotels.

Denn schließlich holen sich Hotels, aufgrund fehlendem eigenen Know How, Software-Spezialisten an die Seite, um für ihre Kunden ein best-möglichstes Maß an Sicherheit zu gewährleisten. Das Fehlverhalten im oben genannten Fall, mit gegenseitigen Schuldzuweisungen, ist hier als schädlich für jedes seriös arbeitende Unternehmen zu bezeichnen.

Was nicht jeder weiß: Für Datenschutzverstöße haftet innerhalb des Unternehmens in aller Regel die Geschäftsleitung - und zwar persönlich, Datenschutz ist nach dem Willen des Gesetzgebers stets "Chefsache". Daneben haftet oft auch noch der Projektverantwortliche und zum Teil zusätzlich auch das Unternehmen selbst.

Die meisten Datenschutzverstöße stellen zugleich eine Ordnungswidrigkeit dar, die - je nach Schwere - mit Bußgeldern bis zu EUR 300.000,- geahndet werden kann. Daneben können Maßnahmen der jeweiligen Datenschutz-Aufsichtsbehörde die Folge sein, die bis zu Vor-Ort-Kontrollen sowie Vorgaben hinsichtlich der Datenverarbeitung im Unternehmen gehen können. Die Erfüllung eines Straftatbestands ist ebenfalls denkbar und kann zu bis zu zwei Jahren Haft führen. Solche Fälle sind bislang aber äußerst selten.

Deutlich praxisrelevanter ist, dass wenn ein Missbrauchsfall vorliegt und davon ganz bestimmte Daten betroffen sind - worunter auch Kreditkartendaten fallen können - muss das betroffene Unternehmen von sich aus zum einen die zuständige Datenschutzbehörde und zum anderen alle betroffenen Kunden aktiv(!) informieren und auf den Verstoß hinweisen muss. Bei einer sehr großen Zahl von betroffenen Kunden kann dies etwa die Schaltung von Zeitungsanzeigen zur Folge haben.

Fazit:

Der durch Datenskandale einhergehende wirtschaftliche Schaden und Imageverlust kann immens sein und ist vom Gesetzgeber auch zur Abschreckung gewollt. Der Imageverlust ist letztlich von den Hotels zu tragen. Datenschutz muss für Anbieter wie Hotels eine Selbstverständlichkeit sein. Es erfordert aber eine hohe Sorgfalt und Fachkompetenz (technisch sowie rechtlich), um die Gefahren entsprechend zu meistern - hier sollte das Software-Unternehmen jederzeit als kompetenter Experte zur Seite stehen.

Tipps:

- Überprüfen Sie alle Anwendungen, die mit einen Webbrowser auf Daten zugreifen, z. B. Booking Engine, ob Informationen in der URL übergeben werden.
- Lassen Sie sich die technischen und organisatorischen Maßnahmen zum Datenschutz Ihres Anbieters schriftlich bestätigen.
- Auditieren Sie alle zwei Jahre Ihre Anbieter. Hierzu sind Sie verpflichtet.
- Holen Sie sich bei Bedarf einen Fachmann für Datenschutz ins Haus.

Autoren

Dipl.-Betriebswirt (FH) Michael Toedt ist geschäftsführender Gesellschafter der Toedt, Dr. Selk & Coll. GmbH in München. Herr Toedt war vor seiner jetzigen Tätigkeit Regional Vice President der SANSORA INTERNATIONAL und begleitete diverse Hotelgesellschaften bei der Erstellung zentraler Kunden- und Marketingdatenbanken. Neben seiner Tätigkeit bei Toedt, Dr. Selk & Coll. ist Michael Toedt Lehrbeauftragter an der Hochschule München zum Thema "CRM in der Hotellerie ". Derzeit schreibt er an seiner Dissertation zum Thema "Effizientes Direktmarketing".

Rechtsanwalt Dr. jur. Robert Selk, Fachanwalt für IT-Recht, ist Partner bei SSH Rechtsanwälte in München. Er promovierte 2002 im Bereich des Internet- und Datenschutzrechts, Schwerpunkt seines parallelen Master-Aufbaustudiums war das europäische und internationale Wirtschaftsrecht (Master of Law, LL.M.). Seine Tätigkeit betrifft seit vielen Jahren das Computer-, Internet- und Datenschutzrecht sowie das Marken-, Urheber- und Wettbewerbsrecht. Dr. Selk ist ferner in verschiedenen international tätigen Unternehmen als externer Datenschutzbeauftragter bestellt, umfangreich als Referent im IT- und Datenschutzrecht tätig sowie Mitglied u.a. des Gesetzgebungsausschusses zum IT-Recht des deutschen Anwaltvereins und Mitvorsitzender des Fachausschusses "Datenschutz" der Deutschen Gesellschaft für Recht und Informatik. Daneben veröffentlicht er regelmäßig juristische Beiträge und ist vielgefragter Referent.

Toedt, Dr. Selk & Coll. GmbH

Das Unternehmen Toedt, Dr. Selk und Coll. GmbH (TS&C) macht das vorhandene "Gast-Daten-Kapital", das in der Regel ungenutzt in den Systemen eines Hotels vorhanden ist, durch eine Kombination aus Technologie und Beratung nutzbar. Daneben ist der Datenschutz einer der Schwerpunkte von TS&C. TS&C wurde im März 2005 in München gegründet und ist mittlerweile in neun Ländern tätig. Der Preferred Partner des Hotelverbands Deutschland (IHA) zählt die führenden Unternehmen der Branche zu seinen Kunden, wie InterContinental, Hilton, Lindner, Maritim Hotels oder Einzelbetriebe wie das Park Hotel Bremen oder das Sporthotel Stock in Österreich.