Bei der Incoming-Agentur SLR-Holiday-Service, einem bulgarischen Tochterunternehmen von Schauinsland-Reisen, ist es zu einer Sicherheitslücke gekommen. Potenziell betroffen sind laut dem Veranstalter rund 700 Kunden. Hinweise auf einen unbefugten Datenabfluss gebe es bislang jedoch nicht. Der Fehler wurde bereits behoben.
Wie Schauinsland mitteilt, war die Sicherheitslücke in einem Datenspeicher einer App aufgetaucht, die im Zuge des Qualitätsmanagements ausschließlich zur Bearbeitung von Service- und Beanstandungsvorgängen genutzt worden sei. Aufgrund eines Konfigurationsfehlers seien gespeicherte Daten nicht ausreichend geschützt gewesen, heißt es. Sämtliche vom Datenleck betroffene Kunden sowie auch Reisebüros seien bereits proaktiv informiert worden.
Externer Datenschützer entdeckte Lücke
Entdeckt worden war die Lücke Ende August von einem externen Datenschutzaktivisten. Unmittelbar danach seien der Datenspeicher und die App geschlossen worden. Zudem habe man die Landesbeauftragte für Datenschutz und Informationsfreiheit in NRW informiert. Eine Risikoanalyse sei erfolgt.
Programmiert wurde die App von der bulgarischen Incoming-Agentur. Sie wurde seit Dezember 2019 vor Ort für die Dokumentation von Serviceanliegen und Reklamationen verwendet. Im Einsatz war sie laut Schauinsland zunächst in Bulgarien und auf den Kanarischen Inseln, von November 2021 an auch auf Madeira, ab November 2022 in der Dominikanischen Republik sowie ab Dezember 2023 in Mexiko.
Ansprechpartner für Betroffene
Schauinsland-Chef Gerald Kassner bittet betroffene Kunden um Entschuldigung. Man habe diese persönlich kontaktiert und stehe in direktem Austausch. Dazu habe man ein Team aus Datenschutz- und IT-Experten eingesetzt. „Der Vorgang entspricht selbstverständlich in keinerlei Hinsicht unseren IT-Sicherheitsstandards. Wir haben daher bereits eine umfassende Fehleranalyse durchgeführt und werden alle notwendigen Maßnahmen ergreifen, um künftig derartige Konfigurationsfehler zu verhindern“, sagt Kassner. (uf)