In der Gastronomie wurden Kontakdaten bis zum „Lockdown Light“ in der Regel tischweise erhoben. Es gibt aber auch Betriebe, in denen die Listen für jeden Kunden einsehbar sind. © dpa
IT-Experte

Spam-Mails wegen Corona-Kontaktlisten? „Es gibt Sicherheitsprobleme“

Erst standen zwei Namen gemeinsam auf Kontaktlisten von Restaurants, dann wurden Spam-E-Mails verschickt. Zufall oder Zusammenhang? Ein Dortmunder IT-Experte schätzt die Lage ein.

Dass im Internet Schindluder mit Daten betrieben wird, ist bereits seit vielen Jahren bekannt. Auch Spam-E-Mails sind nicht neu. Die Nachricht, die unser Redakteur Anfang Dezember bekam, machte ihn im Corona-Jahr aber plötzlich stutzig.

„Irgendwie musste ich dir heute einfach schreiben. Ich hoffe, dir geht es ebenso gut wie mir“, ist darin zu lesen. Dann folgt ein Link, den man als Empfänger in solchen Fällen lieber nicht anklicken sollte.

Keine digitalen Verbindungen zwischen Name und Adresse bekannt

Abgeschickt wurde die Nachricht von einer Adresse, die zu einem Motorradclub aus Dubai passt. Doch als Absender angezeigt wurde der Name einer Bekannten des Empfängers aus Dortmund.

Was merkwürdig ist: Die echte Bekannte kennt die E-Mail-Adresse des Empfängers nicht, es hat nie Nachrichten zwischen beiden gegeben und die Adresse dient auch zu keiner Verbindung in sozialen Netzwerken.

Die einzigen Punkte, an denen der Name und die E-Mail-Adresse zusammenkamen, waren in diesem Jahr die Listen zur Nachverfolgung bei möglichen Corona-Fällen in Dortmunder Kneipen und Restaurants. Handschriftlich auf Papier oder per QR-Code online eingeloggt. Kann da ein Zusammenhang bestehen?

„Ja, es gibt da bekannte Sicherheitsprobleme“, sagt der IT-Security-Experte Ives Laaf vom Dortmunder Unternehmen Adesso. Mitglieder des Chaos-Computer-Clubs haben zur Aufdeckung von Schwachstellen etwa bereits beliebte Cloud-Systeme von Gastronomen gehackt und so massenweise Zugriff auf Reservierungen und Kontaktlisten bekommen.

Andere Datenquellen sind möglich

Allerdings sei auch zu berücksichtigen, dass es weltweit viele Datenverluste in den letzten zwei Jahren gab und viele E-Mail-Adressen potentiellen Angreifern dadurch bekannt seien, so Laaf. „Also kann es sein, dass es Datenverluste aus diesen Listen gab“, sagt der Experte: „Es kann aber auch sein, dass Spammer und Angreifer die Situation und die schon verfügbaren E-Mails aus den großen Hacks so nutzen.“

Von der Stadt Dortmund gab es bei Einführung der Kontaktverfolgungs-Regel den Hinweis, dass schriftliche Eintragungen in verschlossenen Umschlägen aufzubewahren sind. Nur im Falle einer bestätigten Infektion soll der Umschlag des jeweiligen Tages überhaupt geöffnet werden. Dennoch gibt es etwa bei manchen Frisören immer noch frei einsehbare Listen, in denen Kunden die Daten der anderen einfach ablesen können.

Der Landesbeauftragten für Datenschutz ist nicht bekannt, dass Spam-E-Mails seit der Verpflichtung zur Erfassung von Kundenkontaktdaten zugenommen hätten. Sprecher Daniel Strunk rät, jedenfalls nicht auf solche Nachrichten zu antworten: „Wird auf eine Spam-Email reagiert, so wissen die Versender, dass die E-Mail-Adresse aktiv ist.“

Über den Autor
Redaktion Dortmund
Kevin Kindel, geboren 1991 in Dortmund, seit 2009 als Journalist tätig, hat in Bremen und in Schweden Journalistik und Kommunikation studiert.
Zur Autorenseite
Kevin Kindel

Ahaus, Heek und Legden am Abend

Täglich um 18:30 Uhr berichten unsere Redakteure für Sie im Newsletter über die wichtigsten Ereignisse des Tages.

Informationen zur Datenverarbeitung im Rahmen des Newsletters finden Sie hier.

Lesen Sie jetzt