Sicherheitslücke in App von Schauinsland-Tochter entdeckt
Bei der Incoming-Agentur SLR-Holiday-Service, einem bulgarischen Tochterunternehmen von Schauinsland, ist es zu einer Sicherheitslücke gekommen. Diese betreffe den zu einer App gehörenden Datenspeicher, teilt das Unternehmen mit. Es lägen keine Hinweise auf einen unbefugten Abfluss von Daten vor.
iStock/solarseven
Die App sei im Rahmen des Qualitätsmanagements ausschließlich zur Bearbeitung von Service- und Beanstandungsvorgängen genutzt worden, erklärt Schauinsland. Aufgrund eines Konfigurationsfehlers seien gespeicherte Daten zu solchen Vorgängen nicht ausreichend geschützt gewesen.
Unmittelbar nach der Entdeckung der Sicherheitslücke durch einen externen Datenschutzaktivisten habe Schauinsland-Reisen den Datenspeicher und die App geschlossen sowie die Landesbeauftragte für Datenschutz und Informationsfreiheit NRW, LDI NRW, über den Vorgang informiert, heißt es weiter. Gemäß der gesetzlich vorgeschriebenen Risikoanalyse habe man inzwischen einen Kreis von rund 700 potenziell betroffenen Personen identifiziert und über den Sachstand informiert.
App wurde in mehreren Destinationen genutzt
Die App sei von der bulgarischen Incoming-Agentur von Schauinsland programmiert worden. Dabei sei es zu einem Konfigurationsfehler gekommen. Die App sei seit Dezember 2019 vor Ort für die Dokumentation von Serviceanliegen und Beanstandungen genutzt worden. Im Einsatz sei sie zunächst in Bulgarien und auf den Kanarischen Inseln, von November 2021 an auch auf Madeira, ab November 2022 in der Dominikanischen Republik sowie ab Dezember 2023 in Mexiko gewesen.
CEO entschuldigt sich
Schauinsland-Chef Gerald Kassner sagt zu dem Datenleck: "Wir bitten die von der Sicherheitslücke Betroffenen ausdrücklich um Entschuldigung. Wir haben sie persönlich kontaktiert und suchen zur Klärung der individuellen Fragen den direkten Austausch." Dazu habe man ein Team aus Datenschutz- und IT-Experten als direkte Ansprechpartner eingesetzt. "Der Vorgang entspricht selbstverständlich in keinerlei Hinsicht unseren IT-Sicherheitsstandards", so Kassner weiter.
Der Veranstalter habe daher bereits "eine umfassende Fehleranalyse durchgeführt" und werde "alle notwendigen Maßnahmen ergreifen, um künftig derartige Konfigurationsfehler zu verhindern". In Relation zu den zwei Millionen Gästen, die im vergangenen Geschäftsjahr mit Schauinsland verreist seien, handele es sich zwar um eine vergleichsweise geringe Anzahl an Betroffenen. Dennoch sei "jeder Fall ein Fall zu viel", so Kassner.
Christian Schmicke