Aufgrund einer Datenpanne sind persönliche Daten von Kunden des Freizeitparks Legoland im Internet abrufbar gewesen. Zunächst hatte das Portal «heise online» über die Panne berichtet. Wie eine Sprecherin von Legoland Deutschland im schwäbischen Günzburg am Mittwoch betonte, seien die Daten aber «zu keiner Zeit öffentlich einsehbar» gewesen.
Nach Angaben von Legoland konnten die Daten erst eingesehen werden, nachdem sich ein Kunde in das Kundenportal des Parks eingeloggt habe. Laut «heise online»-Chefredakteur Volker Zota musste man hingegen nicht eingeloggt sein, wenn man die richtige Internet-Zieladresse hatte. «Es reichte die URL zu einem Datensatz, um alle anderen Buchungsdaten auf dem Portal ohne Anmeldung einsehen zu können», sagte er.
Laut «heise online» waren sogenannte PDF-Dokumente von Buchungen seit Mai 2015 einsehbar. Es gehe um mehrere tausend Datensätze. «In den Dokumenten waren neben den Namen, den Anschriften der buchenden Kunden und dem gewünschten Reisezeitraum auch die Namen der Mitreisenden aufgelistet», heißt es in dem Bericht.
Legoland geht davon aus, dass fremde Daten nur in einem kleinen Rahmen für die Recherche abgegriffen worden sind. Für die Betroffenen stelle es nur ein geringes Risiko dar, weswegen diese auch nicht informiert würden, sagte die Unternehmenssprecherin. «Zu keinem Zeitpunkt wurde auf Bank- oder Kreditkartendaten zugegriffen oder diese entwendet.»
Das Reisekundenportal des Legoland-Softwareanbieters sei sofort nach Bekanntwerden der Sicherheitslücke deaktiviert worden. Vor einer erneuten Freischaltung würden zusätzliche Sicherheitsmaßnahmen eingeführt. Die Datenschutzbehörden seien über den Vorfall informiert worden, berichtete die Legoland-Sprecherin.
Das Bayerische Landesamt für Datenschutzaufsicht in Ansbach bestätigte, dass der Vorfall untersucht werde. «Unsere Aufklärungsmaßnahmen zielen derzeit vor allem auf die Frage, ob und in welchem Umfang Zugriffe auf personenbezogene Daten mit dem Ziel einer missbräuchlichen Verwendung stattgefunden haben», sagte Präsident Michael Will. Die Untersuchung laufe noch, so dass derzeit keine weiteren Informationen gegeben werden könnten.
Das deutsche Legoland gehört zu dem britischen Konzern Merlin Entertainments, der in etlichen Ländern Freizeiteinrichtungen betreibt.
© dpa-infocom, dpa:220413-99-905247/5
