Die Gruppe zerforschung hat in der Hotellerie-Software "LIKE MAGIC" eine Schwachstelle gefunden. Ausweisdaten von Hunderttausenden Hotelgästen waren ungeschützt.
24. September 2025, 17:01 Uhr
Spät in einer fremden Stadt ankommen und dann noch eine gefühlte Ewigkeit an der Hotelrezeption auf die Zimmerkarte warten müssen – nervt, klar. Viele Hotels bieten ihren Gästen deshalb an, vorab einzuchecken. Dafür müssen sie nur ihre persönlichen Daten online eingeben oder ein Bild des Personalausweises hochladen. Man mag das bequem finden. Doof nur, wenn diese Daten dann theoretisch für alle anderen Kunden abrufbar sind.
Hackerinnen und Hacker der Gruppe zerforschung haben Anfang September eine gravierende Sicherheitslücke in einer Software des schweizerischen Unternehmens LIKE MAGIC entdeckt. Über dessen gleichnamige Hotellerie-Plattform lassen viele Hotels ihre Gäste online einchecken. Dabei hätten die Sicherheitsforscher bis zu einer halben Million Personen- und Rechnungsdaten abrufen können, schätzen sie. In einer öffentlich einsehbaren Liste sind knapp 50 Domains von Hotels und Hotelketten in Deutschland, Österreich und der Schweiz verzeichnet, die auf Server von LIKE MAGIC verweisen – und damit möglicherweise von der Sicherheitslücke betroffen waren.
Der Fall wirft die Frage auf, wie Hotels mit den Ausweis- und Personendaten ihrer Gäste umgehen. Und: Ob sie diese überhaupt speichern sollten.
Bis zu einer halben Million Dateien betroffen
Die Sicherheitslücke fiel bereits am 5. September auf, als ein Mitglied von zerforschung in einem Hotel der Kette McDreams in Wuppertal einchecken wollte. In einer Mail des Hotels wurde man aufgefordert, persönliche Daten einzugeben – Name, Geburtsdatum, digitale Unterschrift. Für die IT-Experten ein Alarmsignal: Erst im Juni war eine Sicherheitslücke bei der Hotelkette Numa bekannt geworden, durch die ähnliche Daten öffentlich zugänglich waren.
Die Mitglieder der Gruppe begannen aus Neugier, nach Lücken in der Hotel-Software bei McDreams zu suchen. So erzählen sie es im Gespräch mit der ZEIT. Schnell seien sie fündig geworden. Sie entdeckten eine ungeschützte Schnittstelle, über die sie auf einzelne Kundendaten zugreifen konnten. Schnittstellen sind Punkte, über die eine Website mit einem Server kommunizieren kann. In diesem Fall griff die Hotelwebsite auf diese Weise über die Plattform von LIKE MAGIC auf Buchungsdaten der Gäste zu.
Die IT-Sicherheits-Fachleute machten sich den Fehler in dieser Schnittstelle zunutze. Sie schickten eine Anfrage dorthin und konnten sich so die eigene Unterschrift anzeigen lassen. Dafür mussten sie nur den Dateinamen kennen, der sich aber anhand der Buchungsnummer – eine zehnstellige Buchstabenfolge – leicht erraten ließ. Auch die Unterschriften und Ausweisdokumente von einer mitreisenden Person, deren Buchungsnummer sie kannten, konnten sie so abfragen.
Eigentlich hätte das System an dieser Stelle prüfen müssen, ob der Account der zerforschung-Mitglieder die Berechtigung hat, auf die Daten zuzugreifen. Das geschah in diesem Fall aber nicht – es genügte die Information, dass die Person, die auf die Daten zugreifen möchte, als Kunde des Hotels eingeloggt war. Mit welchem Account war aber egal. "Das ist so, als ob eine Hoteltür nur fragt, ob man irgendeine Zimmerkarte an das Schloss hält, und nicht, welche Karte", sagt Maxi, ein Mitglied des Kollektivs im Gespräch mit der ZEIT. Die Mitglieder treten in der Öffentlichkeit nur mit Vornamen auf, auch aus Sorge vor negativen Konsequenzen.
Über die Website von LIKE MAGIC wurden die IT-Experten auf eine weitere Schnittstelle aufmerksam. Darüber ließen sich alle einer Buchungsnummer zugehörigen Daten anzeigen, auch ohne erst einen Dateinamen erraten zu müssen. Doch das Problem ging noch weiter: Schon Teile der Buchungsnummer reichten aus, um Daten anzuzeigen.
"Weil die Buchungsnummern immer mit einem Großbuchstaben beginnen und schon ein Buchstabe reicht, um die Suche zu starten, könnte man mit nur 26 Anfragen die Dateien aller Buchungen abrufen", schreiben die IT-Experten in einem Blog-Eintrag. Sie schätzen, dass sie so mehr als eine halbe Million Dateien von rund 200.000 Buchungen – darunter 90.000 Ausweisdokumente, in denen Buchungsdaten der McDreams-Gäste gespeichert sind – hätten einsehen können.
Dabei handelt es sich um Namen, Adressen, Unterschriften, Fotos von Personalausweisen und Hotelrechnungen. Eine kleine Stichprobe der Daten konnte DIE ZEIT teilweise einsehen. "Das sind Daten, bei denen man nicht will, dass sie so frei im Internet zugänglich sind", sagt Maxi. Mit solchen persönlichen Daten – insbesondere den Kopien von Personalausweisen – können Kriminelle im Internet gezielt Personen betrügen, Identitätsdiebstahl und Phishing betreiben.
