Aufgrund mehrerer Sicherheitslücken in einer Buchungsplattform waren Gästedaten zahlreicher deutscher Hotels und Jugendherbergen zeitweise ohne großen Aufwand online einsehbar. Der Software-Anbieter hat die Schwachstellen inzwischen behoben, bewertet die Vorfälle jedoch teilweise anders als die beteiligten Sicherheitsforscher.

Viele Einrichtungen betroffen

Auf das Sicherheitsproblem aufmerksam gemacht hatte das IT-Sicherheitskollektiv „Zerforschung“. Nach Angaben der ehrenamtlich tätigen Experten sollen über die Lücken Millionen Datensätze abrufbar gewesen sein, darunter Namen, Privatadressen, Ausweis- und Kreditkartendaten sowie Anmerkungen zu individuellen Kundenwünschen. Betroffen waren demnach unter anderem rund 50 Häuser des Hotelkonzerns „Motel One“, weitere Ketten wie „Fidelis“ und „GSH“, sämtliche DJH-Jugendherbergen in Mecklenburg-Vorpommern, Rheinland-Pfalz, dem Saarland und am Berliner Ostkreuz sowie Einrichtungen der Arbeiterwohlfahrtstochter AWO SANO und des DeHoGa-Campus. Bereits 2023 war es bei Motel One zu Sicherheitsproblemen gekommen, als Angreifer umfangreiche Datensätze entwendeten, die später im Darknet auftauchten.

Laut einer Mitteilung des Kollektivs sollen die einsehbaren Datensätze teilweise bis Anfang der 2000er-Jahre zurückreichen. Nach Schätzungen der Experten könnten über 48 Millionen Profile und mehr als 35 Millionen Reservierungen betroffen gewesen sein, wobei der größte Anteil mit rund 30 Millionen Reservierungen und 40 Millionen Gästeprofilen auf Motel One entfalle.

Bekannte und leicht verhinderbare Lücken

Wie Jiska Classen, IT-Sicherheitsforscherin am Hasso-Plattner-Institut, gegenüber der Tagesschau erklärte, gehören die zugrunde liegenden Sicherheitslücken zu den weltweit „Top Ten“ der bekannten Schwachstellen in Web-Anwendungen und wären entsprechend leicht auszunutzen, aber ebenso leicht zu verhindern gewesen. „Es passieren mal Fehler, aber hier deutet alles auf systematische Probleme in den Software-Komponenten hin“, so die Expertin.

Hersteller widerspricht teilweise

Die Gubse AG, Anbieter der betroffenen Plattform „SIHOT.WEB“ und der zugehörigen App „SIHOT.GO“, machte keine Angaben zur Zahl der betroffenen Gästebuchungen. In einer Stellungnahme erklärte das Unternehmen, es habe „keinen generell ungeschützten Zustand“ gegeben und betonte, dass kein unbefugter Zugriff oder Abfluss personenbezogener Daten erfolgt sei. Zudem widersprach der Hersteller der Einschätzung zur Unsicherheit des Systems und erklärte, für eine Ausnutzung der Lücken seien „tiefgehende technische Kenntnisse erforderlich gewesen“. Die IT-Struktur sei zuvor von einem externen Auditor ohne Beanstandungen überprüft worden.

Sicherheitsexperten widersprechen dem Widerspruch

Dem hält Zerforschung entgegen, dass für den Zugriff auf sensible Daten nur wenige Klicks erforderlich gewesen seien. Statt einer eigenen Reservierungsnummer und des Nachnamens habe es genügt, ein beliebiges Datum einzugeben, um sämtliche Buchungen des betreffenden Tages angezeigt zu bekommen.

Das ist in etwa so, als würden wir an der Hotel-Rezeption statt unserem Namen einfach selbstbewusst »Ich übernachte heute hier!« sagen und als Antwort bekämen wir einen großen Aktenordner mit allen Buchungen von heute. »Suchen sie sich kurz selbst Ihre Buchung raus, ja?«

Zerforschung

Nach Angaben der Forscher habe ein grundlegendes technisches Verständnis ausgereicht, um auf sämtliche im System gespeicherten Daten zuzugreifen. Dies habe nicht nur direkt über die Plattform getätigte Buchungen betroffen, sondern auch Reservierungen über Drittanbieter und Portale wie Expedia, Booking.com oder andere Reiseagenturen. In Jugendherbergen in Rheinland-Pfalz, dem Saarland und am Berliner Ostkreuz hatte über eine weitere Schwachstelle lediglich eine SQL-Injection ausgereicht, um sich als Admin Zugang zum System zu verschaffen.

Keine Datenabflüsse vermutet

Nach der Meldung des Vorfalls durch den Software-Betreiber bestätigten die Jugendherbergsverbände die Sicherheitsprobleme, erklärten jedoch, es gebe „keinerlei Anhaltspunkte auf unberechtigte Zugriffe oder Datenabflüsse“. Die Jugendherbergen in Rheinland-Pfalz und im Saarland stuften das Risiko für Gäste als gering ein und verzichteten daher auf eine individuelle Benachrichtigung. Der Verband in Mecklenburg-Vorpommern erklärte, betroffen seien lediglich Namens- und Adressdaten einer kleinen Zahl von Gästen, während Zerforschung von deutlich umfangreicheren Datensätzen ausgeht.

Auch der Münchner Hotelkonzern Motel One veröffentlichte eine Stellungnahme, in der er über den Vorfall informiert. Derzeit werde untersucht, ob Daten tatsächlich an Dritte gelangt seien. Nach bisherigen Erkenntnissen gebe es dafür keine Hinweise, auch ein Missbrauch sei bislang nicht festgestellt worden. Die betroffenen Gäste sollen zeitnah kontaktiert werden.

Lücke geschlossen, Behörden informiert

Nach Recherchen von NDR, SZ und WDR hat die Gubse AG die Sicherheitslücken inzwischen behoben und am 12. September 2025 die zuständigen Datenschutzbehörden im Saarland und weiteren Bundesländern sowie betroffene Kunden über den Vorfall informiert.

Die Redaktion dankt Community-Mitglied FrAGgi für den Hinweis zu dieser Meldung.

Als Google 2012 die Google Glass vorstellte, dachten wir irgendwie, dass es nicht mehr lange dauert, bis jeder Dritte auf der Straße so ein Teil trägt. Aber wir merkten sehr schnell, dass es gesellschaftliche, vor allem aber auch technische (und preisliche) Hürden gab, die wir überwinden mussten. 13 Jahre später haben sich Brillen in viele verschiedene Richtungen entwickelt.

Die „Smart Glasses“, die wir heute kennen, wie beispielsweise die Modelle, die Meta und Ray-Ban ins Rennen schicken, unterscheiden sich optisch kaum noch von herkömmlichen Brillen und sind auch deutlich günstiger als die Google Glass seinerzeit. 

Wann tragen wir denn nun alle Smart Glasses?

Das bedeutet aber noch längst nicht, dass jetzt ein Punkt erreicht ist, an dem eine kritische Masse diese Brillen trägt. Mit Anton, der sich für nextpit und inside digital schon lange intensiv mit dieser Produktklasse beschäftigt, unterhielt ich mich auch darüber ausführlich.

In unserem entspannten Talk haben wir uns aber weniger auf die Technik dieser Gadgets konzentriert (falls Ihr aber daran interessiert seid: In den Show Notes findet Ihr den Verweis auf den entsprechenden überMORGEN-Podcast und auch einige unserer Artikel zum Thema). Seht Euch unbedingt auch dieses Video an, in dem Lilly und Anton uns die IFA-Neuheiten vorstellen:

Stattdessen wollte ich mit ihm besprechen, was für einen Impact diese Smart Glasses haben werden, wenn sie erst einmal ein Massenphänomen geworden sind. Werden Träger:innen dieser Brillen vielleicht pauschal unter Generalverdacht gestellt, dass sie jemanden filmen oder fotografieren? Werden wir dank der Brillen mehr und mehr auf Smartphones verzichten? Und was bedeutet es, wenn Tech-Milliardäre noch mehr Daten von uns einkassieren und quasi alles mitbekommen, was wir sehen und hören? 

Wir haben uns wirklich schlimme, aber eben auch positive Szenarien durch den Kopf gehen lassen und behaupte mal frech, dass wir da eine unterhaltsame Folge zum Thema abgeliefert haben. Wenn Ihr das beim Hören ähnlich empfindet, dann lasst gerne ein bisschen Podcast-Liebe da: Teilt unseren Podcast gerne, empfehlt uns weiter, bewertet uns da, wo immer man Podcasts bewerten kann, und hinterlasst uns auch gerne Kommentare. Viel Vergnügen mit der 168. Ausgabe der Casa Casi!

Show Notes 168: