Ein Leihfahrrad der Firma oBike mit einem QR-Code auf dem Lenker (Quelle: dpa/Dittrich)
Video: Abendschau | 30.11.2017 | Freya Reiß | Bild: dpa/Dittrich

Datenleck bei neuem Leihrad-Anbieter in Berlin - Kundendaten von oBike standen offen im Netz

Namen, E-Mails und Bewegungsprofile - frei im Netz abrufbar: Bei dem gerade in Berlin gestarteten Leihrad-Anbieter oBike hat es ein Datenleck gegeben. Auch Berliner Nutzer könnten betroffen sein. Der Vorfall trifft das Unternehmen an einem wunden Punkt.

Nur wenige Wochen nach dem Start des Leihrad-Unternehmens oBike in Berlin hat es das Unternehmen kalt erwischt: Nach Recherchen des Bayerischen Rundfunks (BR) waren Kundendaten wie Namen und Telefonnummern zeitweise offen im Netz abrufbar. "Die Daten waren weder verschlüsselt noch anderweitig geschützt", schreibt BR24 am Donnerstag. "Sogar exakte Bewegungsdaten von Fahrten mit den Leihrädern lagen offen." Betroffen waren demnach oBike-Kunden weltweit.

oBike bestätigt Datenleck

Der für Deutschland zuständige Regionalmanager von oBike, Marco Piu, bestätigte rbb|24 am Donnerstag, dass es bis Montag eine Sicherheitslücke gegeben habe. Wie vom BR berichtet, habe es "zwei Probleme" mit Social-Media-Funktionen in der oBike-App gegeben. Durch die Möglichkeit, Daten mit anderen Nutzer zu teilen, habe "eine kleine Möglichkeit" bestanden, von außen "an eine bestimmte Anzahl von Daten zu kommen".

Piu betonte jedoch: "Wir wussten von dem Problem, das wir hatten, und waren dabei die Lücken zu schließen." Die Datenlücke habe zudem nur eine Woche bestanden. Die problematische Sharing-Funktion sei auch nicht oft genutzt worden und es seien "maximal hundert Nutzer betroffen" gewesen, so Piu. Er versicherte, oBike wisse, dass die Daten nicht missbraucht worden seien.

Als mögliche Ursache für das Datenleck nannte der oBike-Manager den Umzug von Servern von China nach Europa. Diese Verlagerung habe oBike nach Kritik an seinem Umgang mit Daten vorgenommen, so Piu. "Wir haben gemacht, was verlangt wird", so der Manager wörtlich.

"Wir testen regelmäßig, dass unsere App sicher ist", versprach Piu für die Zukunft. Mit Verweis auf einen Datendiebstahl kürzlich beim Fahrdienst Uber ergänzte er: "Wir wissen aber auch, dass es immer wieder passiert, dass Daten geklaut werden."

Möglicherweise auch Berliner Kunden betroffen

oBike-Manager Piu schloss nicht aus, dass durch die jetzt bekannt gewordene Sicherheitslücke auch Daten von Berliner Kunden zugänglich waren. Das erst Anfang 2017 gegründete Start-up oBike ist seit Mitte November auch in der Hauptstadt aktiv.

Der jetzt bekannt gewordene Fall könnte für oBike ein Nachspiel haben: Das Bayerische Landesamt für Datenschutzaufsicht (LDA) bestätigte dem BR, dass es sich bei dem Datenleck um einen Verstoß gegen das Datenschutzgesetz handle. Die Berliner Datenschutzbeauftragte prüfe derzeit, ob sie zuständig ist und es ein Kontrollverfahren geben könnte.

Daten an mit oBike verbundene Unternehmen?

Dabei hat oBike in puncto Datenschutz ohnehin schon ständig Ärger: Das Unternehmen steht in der Kritik, da es den Nutzern nicht deutlich mache, welche Daten es sammle. Da der Leihrad-Markt in Berlin bereits sehr umkämpft ist und nur geringe Einnahmen durch die Leihgebühren zu erwarten sind, hatten Experten im Vorfeld die Befürchtung geäußert, oBike wolle vor allem die Daten der Nutzer abgreifen. "Wir gehen davon aus, dass sie dabei an den Nutzerdaten interessiert sind", sagte Martina Hertel vom Deutschen Institut für Urbanistik rbb|24 kurz vor dem Start von oBike. "Denn man muss sich per App registrieren, und die Nutzerdaten werden anschließend getrackt. Wir gehen davon aus, dass das deren Geschäftsmodell ist." So könne Nutzern beispielweise könne Werbung angeboten werden, je nachdem vor welchem Laden sie gerade vorbeiradeln.

oBike wird auch vorgeworfen, Daten könnten möglicherweise innerhalb eines Firmengeflechts weitergegeben werden. Auf der Website von oBike heißt es lediglich, Daten würden nicht an Unternehmen weitergegeben, die nicht mit oBike verbunden sind. Thomas Kranig, Präsident des Bayerischen Landesamts für Datenschutzaufsicht, sagte jetzt dem BR: "Es gibt Informationen, dass sie Bewegungsprofile erstellen und dass sie diese sogenannten verbundenen Unternehmen zur Verfügung stellen."

Kommentar

Bitte füllen Sie die Felder aus, um einen Kommentar zu verfassen.

Kommentar verfassen
*Pflichtfelder

Bitte beachten Sie unsereNetiquette zum Kommentieren von Beiträgen sowie unsere Richtlinien zum Datenschutz.

1 Kommentar

  1. 1.

    Die Welt interessiert sich nicht für Deutschen Datenschutz. Entweder anpassen oder verloren. Deutschland wird zum Schlusslicht. Und dass Bewegungsprofile erstellt werden/wurden, war ja auch Sinn der "ÄPP"-Sache, wer weiß welches Fratzenbuch-Goggel noch dahinter steckt... nichts ist umsonst. Die Anschaffung der Bikes auch nicht.

Das könnte Sie auch interessieren