Datenpannen bei Basic‑Fit und Booking.com: Zwei Vorfälle, ein strukturelles Sicherheitsproblem

Der Schutz persönlicher Daten ist wichtiger denn je.

Bild: Getty Images / Credits: marog-pixcells

Zwei Datenpannen, die in den letzten Tagen bekannt wurden – eine beim europäischen Fitnesskettenbetreiber BasicFit und eine weitere bei der globalen Reiseplattform Booking.com – sind eine eindringliche Erinnerung daran, dass die Bedrohung persönlicher und finanzieller Daten nicht nachlässt.

Bei Basic‑Fit, Europas größtem Fitnessanbieter, gelang es Angreifern, auf ein zentrales IT‑System zuzugreifen, das Mitgliederdaten aus mehreren europäischen Ländern verarbeitet. Nach Angaben des Unternehmens sind rund eine Million aktive Mitglieder in den Niederlanden, Belgien, Luxemburg, Frankreich, Spanien und Deutschland betroffen.

Abgeflossen sind unter anderem Namen, Anschriften, E‑Mail‑Adressen, Telefonnummern, Geburtsdaten sowie Bankverbindungen. Passwörter oder Ausweisdokumente seien hingegen nicht kompromittiert worden. Basic‑Fit gab an, den Angriff zwar innerhalb weniger Minuten erkannt und gestoppt zu haben, dennoch seien bereits Daten exfiltriert worden.

Auch Booking.com bestätigte Mitte April einen Sicherheitsvorfall. Unbefugte Dritte konnten im Zusammenhang mit einzelnen Reservierungen auf personenbezogene Kundendaten zugreifen.

--

Auch interessant:

Das neue Perimeter: Warum Identitäten die größte Sicherheitslücke sind

Supply‑Chain: Angreifer missbrauchen gestohlene Tokens

Cyberangriff auf Eurail: Wenn Reisedaten zur Waffe werden

--

Laut Booking.com seien keine Zahlungs‑ oder Kreditkartendaten betroffen gewesen. Dennoch warnt das Unternehmen Kunden ausdrücklich vor möglichen gezielten Phishing‑Angriffen, da die erbeuteten Buchungsinformationen besonders glaubwürdige Betrugsversuche ermöglichen. Das Unternehmen hat keine Angaben zur Zahl der betroffenen Kunden gemacht – ein Punkt, der aus Datenschutzsicht kritisch gesehen wird.

Unterschiedliche Branchen, gleiche Schwachstelle

Die beiden Vorfälle unterscheiden sich zwar deutlich in Branche, Geschäftsmodell und IT‑Landschaft, weisen jedoch aus Sicht von Sicherheitsexperten eine zentrale Gemeinsamkeit auf.

Darren Guccione, CEO und Mitbegründer von Keeper Security, ist überzeugt, dass beide Organisationen dasselbe strukturelle Problem haben: “In beiden Fällen führten unzureichende Zugriffskontrollen dazu, dass Daten unbefugt eingesehen werden konnten. Ob der Einstiegspunkt kompromittierte Zugangsdaten, eine fehlerhaft konfigurierte Zugriffsrichtlinie oder ein Drittanbieter mit übermäßigen Berechtigungen war – das Ergebnis ist dasselbe: große Mengen personenbezogener Daten gelangten in die Hände von Kriminellen.“

Insbesondere bei Booking.com ist bislang allerdings unklar, ob eine interne Schwachstelle oder kompromittierte Schnittstellen zu angebundenen Hotels und Partnern den Zugriff ermöglichten.

Warum der Schaden erst nach dem Leak beginnt

Der unmittelbare Datenabfluss ist nur ein Teil des Problems. Der eigentliche Schaden entsteht oft erst zeitverzögert.

„Dieser Datenklau birgt beträchtliche Risiken”, so Guccione weiter. “Finanzielle Zugangsdaten ermöglichen Betrug; personenbezogene Informationen erlauben Identitätsmissbrauch. Zudem ermöglichen Buchungs‑ und Verhaltensdaten äußerst glaubwürdige Phishing‑Angriffe, sprich: Mit dem Datenabfluss ist der Vorfall längst nicht abgeschlossen.“

Gerade bei Booking.com erhöhen reale Reisedaten – Ankunftszeiten, Hotelnamen oder Sonderwünsche – die Erfolgschancen sogenannter Spear‑Phishing‑Angriffe erheblich. Angreifer können täuschend echte Zahlungsaufforderungen oder Service‑Nachrichten konstruieren, die sich kaum von legitimer Kommunikation unterscheiden lassen.

Regulatorischer Druck nimmt zu

Für Unternehmen in Europa haben solche Vorfälle auch eine rechtliche Dimension, weiß der Keeper-CEO: „Für Organisationen in der EMEA‑Region, insbesondere solche, die unter der GDPR und der NIS2‑Directive operieren, verdeutlichen diese Vorfälle ein grundlegendes Prinzip: Der Zugriff auf Systeme mit sensiblen Kundendaten muss streng geregelt, überwacht und auf das absolut Notwendige beschränkt werden.“

Sowohl Basic‑Fit als auch Booking.com haben die zuständigen Datenschutzbehörden informiert. Mit Blick auf NIS2 und die verschärften Anforderungen an Zugriffskontrolle, Incident‑Response und Nachweispflichten dürften die Untersuchungen für viele Unternehmen zum Stresstest werden.

Darren Guccione warnt: „Privileged Access Management, Zero‑Trust‑Architekturen und kontinuierliche Sitzungsüberwachung sind deshalb heute mehr als eine freiwillige Option – in einer Zeit, in der Identität zur neuen Sicherheitsgrenze in der Cybersicherheit geworden ist, sind sie vielmehr die zentrale Basis.“

Image
Description
“Die Datenpannen sind eine eindringliche Erinnerung daran, dass die Bedrohung persönlicher und finanzieller Daten nicht nachlässt.” – Darren Guccione, CEO und Co-Founder von Keeper Security

Fazit

Die aktuellen Datenpannen zeigen, dass Cyberangriffe längst keine Ausnahmeereignisse mehr sind – selbst bei etablierten, international operierenden Konzernen. Entscheidend ist dabei weniger die Branche als die Frage, wie konsequent Identitäten, Zugriffsrechte und Drittanbieter abgesichert werden. Für Anwender bleibt vor allem eines: erhöhte Wachsamkeit. Für Unternehmen ist die Botschaft unmissverständlich – Zugriffssicherheit ist kein Randthema mehr, sondern geschäftskritische Grundlage.