Als Matthias Marx am Dienstagabend vergangener Woche in seinem Hotelzimmer in Berlin einchecken will, wird er stutzig. Die Hotelkette, bei der er gebucht hat, wickelt alles online ab, Rezeptionisten gibt es bei Numa nicht mehr. Einchecken bedeutet, via Website oder App einen Türcode zu bekommen, der einem dann die Hoteltür öffnet. "Digital und stressfrei", wie die Seite wirbt. Doch was schnell und unkompliziert klingt, hat Tücken. Denn bevor es den Code gibt, erscheint so etwas wie ein virtueller Concierge: "Lass uns deinen Ausweis prüfen", fordert die Seite. Und das Versprechen: "Deine Daten sind geschützt und werden nur vorübergehend gespeichert." Bei solchen Sätzen wird Marx sofort skeptisch. Er ist Berater für IT-Sicherheit, er leitet ein Team, dessen Aufgabe es ist, Sicherheitslücken zu finden. Und Marx ist einer der Sprecher des Chaos Computer Clubs (CCC).  

Er stört sich an der Bitte, seinen Ausweis hochzuladen. Da Datenschutz eines seiner Arbeitsfelder ist, ist er sicher, dass an dieser Forderung etwas nicht stimmen kann. Denn seit dem 1. Januar müssen deutsche Staatsangehörige in Hotels hierzulande keinen Meldeschein mehr ausfüllen und keinen Ausweis mehr vorlegen (hier ein Merkblatt dazu als PDF). Marx selbst hat zusammen mit weiteren CCC-Mitgliedern an dem entsprechenden Gesetzentwurf mitgearbeitet, mit dem die Bürokratie verringert werden soll. Und auch schon vorher gab es die dringende Empfehlung der Bundesdatenschutzbeauftragten, auf solche Kopien zu verzichten.  

"Ich wollte weder meinen Ausweis noch mein Foto online verteilen und gespeichert wissen", sagt Marx. "Aber ohne das wollte mich Numa einfach nicht in mein gebuchtes und bereits bezahltes Zimmer lassen." Noch vor Ort versuchte er, mit der Hotline der Hotelkette zu reden, aber die Antwort lautete nur: dann eben nicht. Ohne Ausweis gebe es keinen Türcode und damit auch kein Zimmer für die Nacht. Er könne ja stornieren und woanders buchen. Inzwischen ziemlich wütend versuchte er genau das und scheiterte. Die Stornierung klappte nicht. Irgendeine technische Störung.

Die Rechnungen der anderen

Also tat er, was er in seinem Beruf ständig tut, er suchte eine Lücke, um doch noch an sein bereits bezahltes Hotelbett zu kommen. Er fand gleich mehrere, und sie sind ziemlich bedenklich. Als Erstes gelang es ihm, die Sache mit dem Ausweis zumindest abzumildern. Denn die Seite akzeptierte letztlich so ziemlich jede Ausweiskopie. Auch eine bewusst miserabel angefertigte. "Gut möglich, dass mir auch Photoshop geholfen hätte", sagt Marx. "Ich habe es aber nicht probiert." Ausweiskopien als Basis für solche Versuche gibt es im Netz massenhaft, genau deswegen warnt nicht nur der CCC davor, sie irgendwo hochzuladen. 

Als er am nächsten Morgen auscheckt und seine Rechnung erhält, stutzt Marx erneut. Kunden von Numa bekommen dazu einen Link zugeschickt, dort können sie sich ein PDF der Rechnung herunterladen. In diesem Link steht eine Rechnungsnummer, die auch Teil der Linkadresse ist. "Natürlich habe ich ausprobiert, was passiert, wenn man in diesem Link einfach die Rechnungsnummer ändert", sagt Marx. Berufsehre. Das Ergebnis – das auf keinen Fall möglich sein sollte: Er bekam die Rechnung eines anderen Gastes angezeigt, samt dessen Adresse und den gebuchten Leistungen. Beziehungsweise die Rechnungen aller Gäste der vergangenen eineinhalb Jahre. Zwischen Januar 2024 und Juni 2025 hätte er so die Daten von rund 500.000 Kunden des Unternehmens auslesen können, wenn er gewollt hätte.  

Und nicht nur die Adressen. Denn im Quellcode der Seite, auf der das PDF der Rechnung zur Verfügung gestellt wird, verbargen sich jeweils auch noch die Mailadressen und die Telefonnummern der Kundinnen und Kunden und sämtliche Daten ihrer zuvor kopierten Ausweise, also auch das Geburtsdatum und die Ausweisnummer. Die ZEIT konnte entsprechende Belege dafür einsehen. Geht es um Daten, ist so etwas kurz vor dem GAU, dem größten anzunehmenden Unfall. Der wäre eingetreten, wenn auch noch Kontodaten und Passwörter abrufbar gewesen wären. 

Numa reagiert schnell

Es sind Lücken, wie es sie eigentlich längst nicht mehr geben dürfte. Dass Rechnungs- und Bezahlsysteme Links auswerfen sollten, die zufällig erzeugt sind und sich nicht einfach erraten lassen, gilt seit vielen Jahren als Branchenstandard. Dass sensible Ausweisdaten verschlüsselt gespeichert werden sollten, wenn sie denn unbedingt gespeichert werden müssen, ebenso. 

Der Datenschutzverstoß ist daher schwer genug, auch wenn es kein GAU war. Der Sprecher der zuständigen Berliner Landesbeauftragten für Datenschutz und Informationsfreiheit bestätigt den Vorfall. Er schreibt auf Anfrage: "Durch die Sicherheitslücke sind Stammdaten der betroffenen Gäste (Namen, Adressen, E-Mail-Adressen) aber auch Informationen zu Personalausweis beziehungsweise Pass wie die Passnummer sowie Daten zur Buchung und ob und wann ein Check-in oder Check-out erfolgte an unbefugte Dritte offengelegt worden."

Trotzdem darf der Fall eher als ein Positivbeispiel für die Gefahren der digitalen Welt gelten. Denn beide Seiten haben vorbildlich reagiert. Marx hat die Lücke nur so weit untersucht, wie es unbedingt nötig war, um das technische Problem zu verstehen. Kurz nach der Entdeckung meldete er sie sowohl dem Unternehmen als auch der Landesdatenschutzbeauftragten. Numa reagierte ebenfalls sofort. Die Firma schloss nicht nur nach kurzer Zeit das Leck, sondern informierte ebenfalls den Datenschutz, bedankte sich bei Marx und schrieb auch den Betroffenen. Hinweise darauf, dass jemand die Lücke ausgenutzt habe, gibt es wohl keine. Unternehmenssprecher Joachim M. Guentert schreibt auf Anfrage: "Nach eingehender Prüfung der Log-Dateien können wir weitestgehend ausschließen, dass diese sehr spezifische Schwachstelle missbräuchlich genutzt wurde."

"Dieser Fall zeigt einmal mehr: Verantwortungsvolles Hacken verbessert die Sicherheit aller", sagt der CCC. Er schreibt in einer Mitteilung: "Das beste Datenleck ist eins, das nicht entstehen kann, weil die Daten nie erhoben wurden. Die Ausweisdaten hätten schlicht nie verarbeitet werden dürfen."

Auf das Hochladen von Ausweisen, obwohl das Zimmer bereits bezahlt wurde, will Numa nicht verzichten. Das sei nötig, um "Gästen eine schnelle und komfortable Möglichkeit zu bieten, den Self-Check-in durchzuführen und diesen direkt über die Website abzuschließen", schreibt Guentert. Alternativ könne man via Videocall "ähnlich einer physischen Rezeption in einem Hotel" einchecken. Und immerhin sei es "allgemeine Branchenpraxis in Hotels, dass im Rahmen des Check-ins Ausweisdokumente vorgezeigt werden".