Veranstalter

SLR: Sicherheitslücke in App einer Tochter entdeckt

Finger vor schwarzem Hintergrund zeigt auf Smartphone Warnhinweis

In einer App eines Tochterunternehmens von Schauinsland Reisen ist es zu einer Sicherheitslücke gekommen. Foto: Dilok Klaisataporn/iStock

Bei der Incoming-Agentur SLR-Holiday-Service, einem bulgarischen Tochterunternehmen von Schauinsland-Reisen, ist es zu einer Sicherheitslücke gekommen. Potenziell betroffen sind laut dem Veranstalter rund 700 Kunden. Hinweise auf einen unbefugten Datenabfluss gebe es bislang jedoch nicht. Der Fehler wurde bereits behoben.

Wie Schauinsland mitteilt, war die Sicherheitslücke in einem Datenspeicher einer App aufgetaucht, die im Zuge des Qualitätsmanagements ausschließlich zur Bearbeitung von Service- und Beanstandungsvorgängen genutzt worden sei. Aufgrund eines Konfigurationsfehlers seien gespeicherte Daten nicht ausreichend geschützt gewesen, heißt es. Sämtliche vom Datenleck betroffene Kunden sowie auch Reisebüros seien bereits proaktiv informiert worden.

Externer Datenschützer entdeckte Lücke

Entdeckt worden war die Lücke Ende August von einem externen Datenschutzaktivisten. Unmittelbar danach seien der Datenspeicher und die App geschlossen worden. Zudem habe man die Landesbeauftragte für Datenschutz und Informationsfreiheit in NRW informiert. Eine Risikoanalyse sei erfolgt.

Programmiert wurde die App von der bulgarischen Incoming-Agentur. Sie wurde seit Dezember 2019 vor Ort für die Dokumentation von Serviceanliegen und Reklamationen verwendet. Im Einsatz war sie laut Schauinsland zunächst in Bulgarien und auf den Kanarischen Inseln, von November 2021 an auch auf Madeira, ab November 2022 in der Dominikanischen Republik sowie ab Dezember 2023 in Mexiko.

Ansprechpartner für Betroffene

Schauinsland-Chef Gerald Kassner bittet betroffene Kunden um Entschuldigung. Man habe diese persönlich kontaktiert und stehe in direktem Austausch. Dazu habe man ein Team aus Datenschutz- und IT-Experten eingesetzt. „Der Vorgang entspricht selbstverständlich in keinerlei Hinsicht unseren IT-Sicherheitsstandards. Wir haben daher bereits eine umfassende Fehleranalyse durchgeführt und werden alle notwendigen Maßnahmen ergreifen, um künftig derartige Konfigurationsfehler zu verhindern“, sagt Kassner. (uf)