Berliner Lieferdienst-Start-up - Daten von 200.000 Gorillas-Kunden lagen ungeschützt im Netz

Fr 07.05.21 | 05:57 Uhr
  33
Symbolbild: Fahrradkurier des Lieferdienstes Gorillas. (Quelle: imago images/A. Hettrich)
Audio: rbb | 07.05.2021 | Ricardo Westphal | Bild: imago images/A. Hettrich

Der Lieferdienst Gorillas hatte wohl eine erhebliche IT-Sicherheitslücke. Daten für eine Million Bestellungen von rund 200.000 Kundinnen und Kunden könnten betroffen sein. Dazu zählt wohl auch Haluka Maier-Borst – zumindest indirekt.

Die weiß-blaue Dose Gin & Tonic steht noch auf dem Fensterbrett. Ich habe sie aufgehoben, als ich anfing an der Geschichte zu recherchieren. Ich hatte das Gefühl, dass sie noch wichtig sein könnte. Nun steht sie nicht nur für einen guten Abend, wie wir ihn alle mal brauchen in dieser Pandemie. Sondern auch für Fragen, die man nicht mit einem 2,79 Euro-Dosengetränk verbindet:

Wieviel ist die eigene Privatsphäre wert? Wie wägt man Bequemlichkeit und Sicherheit ab? Und auch: Wie schnell kann eine Entscheidung im Netz eine Reihe anderer Menschen betreffen?

Betroffene in mehreren Städten

Der Grund dafür ist, dass der Berliner Lieferdienst Gorillas die Dose in unsere WG brachte: ein in der Stadt omnipräsentes Unternehmen, das eine IT-Sicherheitslücke hatte, über die sich Daten für rund eine Million Bestellungen aus 19 Städten abrufen ließen. Das ist das Ergebnis einer Analyse der Sicherheitsforscher des IT-Kollektivs Zerforschung, die rbb und NDR vorab einsehen und überprüfen konnten.

Für etwa 200.000 Kundinnen und Kunden in Berlin, Hamburg, München, aber auch zum Beispiel London, Amsterdam und Paris bedeutet das: Name, Adresse, E-Mail-Adresse, Telefonnummer und bestellte Produkte lassen sich nachvollziehen. In manchen Fällen sind zudem auch Hauseingänge und Klingelschilder abfotografiert worden, um die Zulieferung zu bestätigen.

Möglich machte den Zugriff auf die Daten offenbar unter anderem ein Rechte-Problem, das sich mit einem Vergleich erklären lässt. Einfach formuliert: Normalerweise lässt sich eine Wohnungstür nur mit einem speziellen Schlüssel aufsperren. In diesem Fall hätten aber alle Wohnungsschlüssel, aller Bewohner des Hauses diese Tür aufsperren können, so erklären es die Forscher. Der Schlüssel sei in diesem Fall eine lange Zahlen- und Buchstabenkombination, die jeder angemeldete Gorillas-App-Nutzer erhält.

Falls Sie die Grafiken nicht angezeigt bekommen, klicken Sie bitte hier.

Unter den betroffenen Bestellungen, insgesamt rund eine Million, ist wohl auch die, die zu uns nach Hause führt. Als kleine Aufmerksamkeit hatte der Freund der Mitbewohnerin die Dose Gin & Tonic bestellt. Eine kleine Aufmerksamkeit, die dazu führte, dass persönliche Daten meiner Mitbewohnerin und von unserer WG nun wohl im Netz liegen.

Datenleck steht für mehr

Gorillas erklärt auf Anfrage, dass man inzwischen die Sicherheitslücken geschlossen und Sicherheitstests durchgeführt habe. Nach derzeitigem Stand gelte: "Kundendaten sind zu keiner Zeit veröffentlicht worden." Trotzdem habe man alle Betroffenen per E-Mail informiert.

Das Datenleck bei Gorillas steht allerdings nicht nur für das inzwischen mit einer Milliarde Euro bewertete Start-up. Der Fall steht für mehr.

Zum einen dass die Branche der Lebensmittel-Lieferdienste in der Pandemie im Rekordtempo wächst. Gab es 2019 schätzungsweise laut Erhebung des Bundesverband E-Commerce und Versandhandel [bevh.org] in diesem Bereich einen Umsatz von 1,6 Milliarden Euro, so kam man 2020 auf 2,7 Milliarden Euro. Ein Zuwachs also von mehr als 60 Prozent.

Zum anderen steigt in Deutschland die Zahl der sogenannten Datenpannen massiv. Auf Basis einer Anfrage von NDR und rbb an die Datenschützer der Bundesländer zeigt sich, dass 2020 die Datenschützer 14.959 Mal die Meldung erreichte, dass personenbezogene Daten wohl nicht ausreichend geschützt waren.

Schaut man dann, welche Bundesländer auch für das laufende Jahr 2021 bereits Zahlen haben, und setzt das in Verhältnis zu den Zahlen dieser Bundesländer vom vorigen Jahr, zeigt sich ein Trend. Es gibt ungefähr 70 Prozent mehr Datenpannen, als zu erwarten wären. Oder anders gesagt: Erst ein Drittel des Jahres ist vorbei – aber man hat zahlenmäßig schon längst das Niveau aus dem Spätsommer oder eher sogar Herbst erreicht.

Die Mitglieder von Zerforschung bestätigen mir, dass sie immer wieder über solche Sicherheitslücken stolpern. "Wir probieren ja immer wieder neue Apps aus und schauen uns an, was da im Hintergrund passiert. Und es ist schlicht sehr oft so, dass da mehr Daten übertragen werden als nötig oder die Sicherheitsvorkehrungen wirklich schlecht sind", sagt Maxi, der nur mit Vornamen auftreten will.

Er sieht das Problem nach eigenen Angaben teils im Mindset in der Start-up-Szene: "So schnell wie diese Lieferdienste hochgezogen werden, so schnell passiert das auch mit der IT-Infrastruktur. Und dabei passieren halt gravierende Fehler."

Großteil der Bußgelder sind eher gering

Ein Grund dürfte aber auch sein, dass die wenigstens Unternehmen große Konsequenzen befürchten müssen, wenn ihnen eine Sicherheitslücke unterläuft. Gerade einmal 302 Bußgeldbescheide gab es im Jahr 2020. Zwar haben die Datenschutzbeauftragten der Bundesländer rund 50 Millionen Euro an Bußgeld von Unternehmen eingefordert aufgrund von Verstößen gegen die Datenschutzgrundverordnung (DSGVO).

Nimmt man aber prominente Fälle wie Verstöße von H&M, "notebooksbilliger.de" und der AOK aus der Rechnung, schrumpft die Bußgeldsumme auf eine gute Million Euro. In Berlin war die Summe der auferlegten Bußgelder gering, insgesamt 77.250 Euro kamen aus 47 Bußgeldbescheiden zusammen.

Die Berliner Landesdatenschutzbeauftragte erklärt das auf Anfrage zum einen damit, dass man neben Bußgeldern auch auf Warnungen und Verwarnungen setze. Zum anderen stünden erst seit dem zweiten Halbjahr 2020 durch personelle Verstärkung "mehr Kapazitäten für aufwendige Bußgeldverfahren zur Verfügung".

Der Europaparlamentarier Patrick Breyer (Piraten) sieht es als problematisch an, dass zu selten Datenpannen ernsthafte Konsequenzen hätten. "Wir haben mit der DSGVO eigentlich den Goldstandard, was Datenschutz angeht. Aber die Geldbußen sind zu selten und zu niedrig", sagt er. Breyer kritisiert, dass es für Verbraucher oft zu mühsam sei, ihr Recht geltend zu machen oder auch zu erkennen, wer verantwortungsvoll mit Daten umgehe. Im Grunde bräuchte es so etwas wie eine Stiftung Warentest für das Thema Datensicherheit.

Wie hilfreich ein solcher Test oder eine Art Qualitätssiegel für mich, meine Mitbewohnerin und andere aktuell wären, ist indes bei Lieferdiensten fraglich. Das liegt daran, dass auch Konkurrenzunternehmen von Gorillas wie zum Beispiel Flink massive Sicherheitslücken aufwiesen.

"Hart gesagt: So einige der Lieferdienste, die gerade mit Plakaten prominent werben, haben eine Sicherheitslücke gehabt", sagt Maxi von Zerforschung. Gut möglich also, dass wir die nächsten Getränke wohl eher vom Supermarkt oder vom Späti holen. Auch wenn das unbequemer ist.

Sendung: radioeins, 6.30 Uhr

33 Kommentare

Wir schließen die Kommentarfunktion, wenn die Zahl der Kommentare so groß ist, dass sie nicht mehr zeitnah moderiert werden können. Weiter schließen wir die Kommentarfunktion, wenn die Kommentare sich nicht mehr auf das Thema beziehen oder eine Vielzahl der Kommentare die Regeln unserer Kommentarrichtlinien verletzt. Bei älteren Beiträgen wird die Kommentarfunktion automatisch geschlossen.

  1. 33.

    Bitte nehmen Sie sich Ihren eigenen letzten Satz zu Herzen. Beleidigen Sie nicht. Kampfradler ist kein so schöner Ausdruck, beschreibt aber bedauerlicherweise das Verhalten derer auf Gehwegen.
    ps: Trauma(Singular)/ Traumata (Plural).....

  2. 32.

    Es gibt leider auch kein Personal um Fahrradinfrastruktur zu planen und zu bauen. Mit dem Mobilitätsgesetz ist es also leider nicht anders als mit andren Bereichen der Verwaltung.

  3. 31.

    Betroffene können über https://eugd.org/schadenersatz/gorillas/ ohne Risiko Schadenersatz nach DSGVO fordern.

    So wie sich der Artikel auf zerforscht liest, ist die Chance ja ganz gut, dass da was nicht ordentlich gemacht wurde. So kommt man dann als Betroffener vielleicht an ein paar Hundert oder sogar Tausend Euro.

  4. 30.

    Kampfradler? Sie müssen ein schlimmes Traumata durchleben. Haben sie in ihrer Kindheit nie ein Fahrrad bekommen und die anderen Kinder haben sie deswegen ausgelacht?

    Versuchen sie mal verbal abzurüsten.

  5. 29.

    "Die Kampfradler von Gorilla haben Einhorn-Status, sind also mit über einer Milliarde bewertet."
    Das aber auch nur, weils in wenigen Metopolen hipper Lifestyle ist, sich alles smart übers Phone von coole Start-ups kommen zu lassen. Man muss nicht alles machen, nur weil es möglich ist. Solcher Art Lebensstyle kann mir hier in der normalen Welt nicht passieren. Ein wirklich seltenes Datenleck bei großen Onlineshops kommt schon mal vor. Aber alles, was in den letzten Jahren von Start-ups bekannt wurde, düst hier cool an unserer Welt vorbei.
    PS: Ich lebe nicht auf nem Dorf, sondern in einer richtigen Stadt! Da gibts die Dose Gin Tonic an der nahen 24h Tanke zum gleichen Preis wie hier im Artikel erwähnt vom Lieferdienst. ;-)

  6. 28.

    Können Sie sich nicht vorstellen?
    Hierin der Nachbarschaft ist der totale Lieferwahn ausgebrochen, Du so Durst, wir so dingdong, vom Laufburschen in Uniform irgendeines miesen Start-ups bis zu riesigen LKWs - die Leute bestellen sich schwindelig und lassen bringen,
    abends sieht man nur noch Rewe-online-Wagen und alle anderen Bringdienste...

  7. 27.

    @ 23: über das Datenleck des Dienstleisters des Zool.Gartens hat der Rbb berichtet.
    Was mich selbst nervt, ist, dass man bei jedem 3. Thema auf die sich nicht benehmen könnenden Radfahrer abdriftet. Aber es ist sooo nervig. Lieferdienst muss man nicht nutzen, online kaufen kann man reduzieren, selbst dem Virus kann man ausweichen, auch wenn es mal unbequem oder langweilig ist. Aber der tägliche Slalomlauf, den man sich nicht ausgesucht hat, dem kann man nicht entgehen. Dem ist man ausgeliefert. Das ist das, was die Lebensqualität in der Stadt am allermeisten seit ein paar Jahren beeinträchtigt. Und das ist traurig und ärgerlich.
    Es muss sich um Datenverarbeitungsdefizite in den Köpfen handeln, anders kann ich es mir nicht erklären.

  8. 26.

    Die Kampfradler von Gorilla haben Einhorn-Status, sind also mit über einer Milliarde bewertet. Rauchen wird es im Bußgeldkarton bei denen dann aber trotzdem nicht, weil, wie hier im Artikel erwähnt, sich keiner findet, der beim Behörden-Mikado zuerst verlieren will. Stattdessen kommt die Standard-Ausrede: Kein Personal für die Pflicht zur Durchsetzung von Bundesgesetzen und -Verordnungen. Komischerweise klappt das bei eigenen Gesetzen dann immer wieder - s. das Immobilitätsgesetz mit den Fahrradbeauftragten oder erst Recht beim gescheiterten Mietendeckel.

  9. 25.

    Der größte Super Daten GAU der Geschichte steht uns noch bevor. Dann wird sich hoffentlich endlich einiges ändern mit der übertriebenen Digitalisierung.

  10. 24.

    Hier geht es nicht darum, was sie kaufen, sondern um Bank und Bezahldaten, Adressen usw.
    Damit kann man schon einiges Anfangen, wenn man genügend kriminelle Energie hat. Ist garnicht so schwer...



  11. 23.

    Lieber Bürger, Petra L., Datenverarbeitung, Dirk Krasna- Rodriguez, Rudi , usw .... Leider haben Sie keinen blassen Schimmer von dem, was Sie so leidenschaftlich kommentieren. Was hier nicht steht, das erst kürzlich der Berliner Zoo , durch seinen Ticketanbieter, einen erheblich größeren Schaden zu verantworten hat. Ich kann mich allerdings an keinen Bericht des rbb erinnern. Ich weiß das, weil ich davon selbst betoffen bin. Der Online Diebstahl ist völlig losgelöst vom Unternehmen, oder Branche. Es ist völlig wurscht ob Sie sich beim rbb registrieren, oder bei einem Pizzadienst bestellen. Der It-Dienstleister ist hier das Problem. Man kann sich natürlich auch einbetonieren und am besten gar nichts mehr tun. In Ruheposition das Lebensende erwarten ......

  12. 22.

    Mein Mitleid hält sich in Grenzen, wenns bei der Bestllung von Büchsen Gin Tonic passiert. Bequemlichkeit hat seinen Preis, nicht nur Geld sondern auch persönliche Daten. Und bei allem, was "Start-up" werde ich sowieso schon vorsichtig. Start-up heißt nix anderes als... unerfahren, wenig Professionalität, paar Studenten im 1. Semester zimmern da irgendwie irgendwas zusammen. Hauptsache außen schön bunt und cooles Start-up. Für richtig gute Sachen gibts Fachleute! Die kosten dann allerdings auch etwas mehr... Und wenn den Großen dann mal eine Datenpanne passiert, dann darf es auch mal richtig rauchen im Bußgeldkarton. Aber so oft ist das glücklicher Weise ja nicht.

  13. 21.

    Doch. Ich wohne in der Nähe einer "Gorilla" Station. Anhand der "Liefergebiete" z.B. Bergmann "kiez", Mitte usw. können sie auch die Kundschaft erkennen. Auch das man nur per APP bestellen kann, zeigt, dass dies ein Bestelldienst für die jüngere Klientel ist. Die rüde Fahrweise, welche ein Forist ansprach, kann ich nur bestätigen. Mal ein Tipp für die "Fahrradpolizei".

  14. 20.

    Leider sind anderen Kunden noch nicht dem Rat erfolgt, so dass ich gerade von einem kampfradelnden Gorilla auf dem Gehweg genötigt wurde, schnell zur Seite zu gehen.

  15. 19.

    Im S- Bahnhof BUndesplatz hängt ein Werbeposter, wo zigmal draufsteht: Ich will nichts mehr bei gorilla bestellen. Ich wusste auch nicht, was das soll, hatte aber auch keinen Anreiz, mich damit zu befassen. Hab dann irgendwann kapiert, dass es ein Lieferdienst sein muss. Fand schon den Namen doof.

  16. 18.

    Haben sie den Artikel vollständig gelesen?
    Name, Adresse, E-Mail-Adresse, Telefonnummer sieht man im Einkaufswagen und an der Kasse nicht. Schon garnicht wenn man alles mit Bargeld bezahlt. Ich bestelle nichts im Internet und reise in keine Länder wo man nicht alles mit Bargeld bezahlen kann.

  17. 17.

    Das kommt dazu. Hier vor der Filiale in MartinLuther-Str. Kein Durchkommen, kein Abstand, kein nichts, zu bestimmten Zeiten über 50 Räder auf dem Gehweg. Aber wozu aufregen, einfach nicht nutzen. Biocompany, Edeka,penny , Netto....für jeden Geschmack und Geldbeutel alles ganz nah, mehrere Spätis und kleinere Läden ebenso, Imbisse und Restaurants zum Selbstabholen überall.
    Warum gibt es eigentlich noch keinen Pizzaverpackungsabholdienst? Dann müsste man sich nicht alle 2 Tage die Treppen runterquälen zum Müllcontainer. Oder man kann dem Lieferanten immer die Verpackungen von gestern mitgeben und wer keine hat....def bekommt auch keine neue Lieferung ausser mit dem Einsteiger- Bonus. Das ist schon alles schräg.

  18. 16.

    Wenn es Ihnen persönlich nichts ausmacht, dann kann der Supermarkt-Mitarbeiter noch zusätzlich von Ihnen unbemerkt Ihren Namen, Adresse, E-Mail-Adresse, Telefonnummer schön groß mit an Ihrem geschobenen Einkaufswagen anbringen, oder schön groß und für jedermann schön lesbar auf einen Riesenmonitor an der Kasse anzeigen und unbemerkt noch ein Foto am Ausgang machen, um es ins Fotoalbum für alle Passanten einzukleben. Ich nehme an Sie haben nichts zu verbergen und es ist ihnen vollkommen egal, wer was mit Ihren Daten macht. Oder?
    Übrigens bietet diese tolle Variante im Supermarkt immer noch weitaus mehr Datenschutz als die stümperhafte Datenlücke dieses Lieferdienstes. Aus diesem Grund sollten solche Anfänger zu Recht mit entsprechenden Strafen belegt werden.

  19. 15.

    Dramatisch ist nicht der richtige Terminus.

    Als Datenbroker besteht meine Aufgabe darin, möglichst viele Daten zu einer Person (Identität) zusammen zu tragen. Jede Information zählt und bringt mir bares Geld.
    Ja, es ist interessant zu wissen, dass sie drei Mal monatlich alkoholische Getränke konsumieren.

    Darüber freuen sich die Versicherer sehr aber auch die Kreditgeber.

    Letztlich bin ich mit den anfallenden Datensätzen in der Lage, sie zwischen „Sternschnuppe“ und „Müll“ zu katalogisieren. Das sind 5 Einheiten auf der Skala.

    Ich kann ihnen sogar sagen, ob sie an Herz oder Lunge sterben werden.

    Dahingehend sind alle personenbezogenen Daten, Alle, von größter Relevanz und wertvoll.
    Ich an ihrer Stelle, wprde mir Sorgen machen.

  20. 14.

    Gin-Tonic aus der Dose, da zeigt sich doch schon, wo der Fehler liegt. Bitte entschuldigen Sie meine Kritik, aber wer so selbstvergessen konsumiert, verdrängt wohl aus Bequemlichkeit anscheinend auch das Datenrisiko. (Abgesehen von der bösen Alu-Dose, kann das überhaupt schmecken?)

Nächster Artikel