Das CERT des Chaos Computer Club (CCC) nahm gastronovi Office unter die Lupe

Gefundene Schwachstellen wurden umgehend behoben

Am Wochenende des 08. Augusts 2020 haben wir einen Hackerangriff festgestellt, der von dem Chaos Emergency Response Team (CERT) des Chaos Computer Club (CCC) durchgeführt wurde. Die Hacker haben dabei Sicherheitslücken in einem unserer Systeme aufdecken können.

Was war Ziel des Angriffs?

Ziel des Angriffs war vorrangig die kürzlich eingeführte COVID19-Gästeregistrierung. Den Mitgliedern des CCC ist es hierbei gelungen, Daten von Gästen einzusehen.

gastronovi legt als Unternehmen besonderen Wert auf das Thema Datenschutz und IT-Sicherheit. Neue Funktionen werden vor dem Release deswegen standardmäßig auf ihre Funktion und Sicherheit getestet. Die Sicherheitslücken, die der CCC aufgedeckt hat, waren uns trotz regelmäßiger Checks – auch mit Unterstützung darauf spezialisierter externer Dienstleister über sogenannte Penetrationstests – bis dato nicht bekannt.

Wie hat gastronovi reagiert?

Wichtig für unsere Kunden: Innerhalb von 2 Stunden nach der Analysebenachrichtigung des CCC haben wir die Schwachstellen in gastronovi Office vollständig geschlossen. Zusätzlich haben wir unser System nach der Bekanntgabe durch den CCC intensiv auf eine eventuelle frühere Ausnutzung dieser Sicherheitslücken geprüft. Das Ergebnis: Die Sicherheitslücken wurden ausschließlich von den Hackern des CCC entdeckt. Die Daten unserer Kunden sowie die Daten deren Gäste wurden daher zu keinem Zeitpunkt unsachgemäß verwendet!

Auch wenn wir davon ausgehen können, dass die vom Chaos Computer Club abgerufenen Daten nicht in falsche Hände geraten sind, da eine derartige Verbreitung nicht zum Stil und Vorgehen des CCC gehört und wir in einem konstruktiven Dialog mit den Hacker-Experten stehen, haben wir diesen Vorfall pflichtgemäß bei den zuständigen Datenschutzbehörden gemeldet.

Des Weiteren haben wir einen für diesen Herbst regulär geplanten Penetrationstest des gesamten Systems vorgezogen. Außer durch den CCC und das mit ihrer Recherche beauftragte Team hat kein unautorisierter Zugriff stattgefunden.

Wir danken an dieser Stelle dem CCC dafür, dass er uns auf diese Sicherheitslücken aufmerksam gemacht hat, sodass wir sie umgehend schließen konnten! Auch die zusätzlich eingereichten Verbesserungsvorschläge haben wir gerne angenommen. Gleichzeitig haben wir unser System auch von einem weiteren unabhängigen, externen Dienstleister auf die vom CCC angeführten Sicherheitsschwachstellen überprüfen lassen, der uns die vollständige Schließung dieser Lücken bestätigte.

Was ist der Chaos Computer Club?

Der Chaos Computer Club e. V. beschäftigt sich seit Jahrzehnten mit allen Themen rund um Computer- und Netzsicherheit. Die Mitglieder (IT-Experten) analysieren zu diesem Zweck auf eigene Initiative immer wieder die Angebote und Systeme von verschiedenen Unternehmen und Organisationen. Im Fokus steht dabei stets, Nutzer vor potenziellen Sicherheitslücken in Systemen zu schützen. Zu diesem Zweck prüfen Mitglieder des CCC das betreffende System auf Herz und Nieren, indem sie sich dort “einhacken”. Das Chaos Emergency Response Team (CERT) ist das Sanitäts- und Brandschutz-Team des Chaos Computer Clubs. Diese Gruppe kümmert sich bei den Veranstaltungen des CCC ehrenamtlich um die medizinische Versorgung und Sicherheit.

Die entsprechende Pressemitteilung vom CCC finden Sie hier: https://www.ccc.de/de/updates/2020/digitale-corona-listen