zum Hauptinhalt
Die App "Flink" des Berliner Start-ups Flink Lebensmittel GmbH. Hier gelang es Hackern relativ Leicht, Daten von Kunden einzusehen. Das Leck soll jetzt geschlossen sein.

© Kevin P. Hoffmann

Datenpanne bei Berliner Start-up: Bringdienst-App Flink war nicht ganz dicht

Das junge Start-up Flink profitiert vom Boom der Lieferdienste. Nun hatte seine App ein Datenleck. Steckt dahinter ein strukturelles Problem?

Die Geschichte hinter der neuen Lieferdienst-App Flink beginnt wie ein Märchen aus der Berliner Gründerszene, wie eine dieser Geschichten, die Verantwortliche aus Politik und Verbänden so lieben, weil sie damit erklären können, warum Stadt und Staat solchen Firmen hofieren muss, andernfalls werde der Standort die Digitalisierung verschlafen und wirtschaftlich abgehängt werden. Doch so einfach ist es nicht.

Vor gar nicht langer Zeit gab es also drei Männer, die hatten schon in anderen erfolgreichen Berliner Techfirmen wie Delivery Hero und Home 24 mitgemischt und in atemraubendem Tempo eine neue Firma an den Start gebracht. Die trägt das angestrebte Wachstumstempo sogar im Namen: Flink Lebensmittel GmbH, für Kunden einfach nur „Flink“. Das Geschäftsmodell bringt diese Firma, die in den Ortsteilen Westend und in Kreuzberg residiert und nicht einmal verraten will, wie viele Mitarbeiter sie hat, so auf den Punkt: „Dein Einkauf, geliefert in 10 min. We are Flink.“

Das Modell passt prima in die Zeit: Lieferweltmeister Amazon hatte den Gewinn während der Corona-Pandemie auf umgerechnet 5,3 Milliarden Euro im Quartal verdreifacht, Berliner Unternehmen wie Delivery Hero oder Hello Fresh sind Börsenstars. Und in dieser Stadt hatten zwei Gründer bereits Erfolg beim Geldeintreiben für Gorilla, einer Kopie des Geschäftsmodells der US-Firma Gopuff, die 2019 umgerechnet 628 Millionen Euro bei der japanischen Softbank einsammeln konnte.

Vor diesem Hintergrund war es nicht so schwer für Julian Dames, Christoph Cordes und Oliver Merkel, auch Investoren für ihre flinke Idee zu finden: Erst vergangene Woche gab ihr Start-up das Ergebnis der jüngsten Finanzierungsrunde bekannt. Demnach habe Flink Kapital in Höhe von 43 Millionen Euro erhalten. Dabei hatten Geldgeber bei Start vor erst sieben Wochen bereits zehn Millionen gegeben.

Den Lieferdienst gibt es nur in ausgewählten Stadtteilen

Doch was bietet Flink den Investoren im Gegenzug? Außer die Aussicht, dass ein großer Konkurrent womöglich irgendwann eine absurd hohe Kaufsumme auf den Tisch legt. Ein riesiger Kundenstamm ist es nicht: Flink bietet Endverbrauchern seinen Einkaufsservice neben Berlin zwar auch in Hamburg, München, Nürnberg, Köln und Düsseldorf an – allerdings jeweils nur in ausgewählten Stadtteilen. In Berlin lässt sich der Dienst in einem Areal zwischen Wilmersdorf, Schöneberg und Friedenau nutzen.

[Wenn Sie alle aktuellen Entwicklungen zur Coronavirus-Pandemie live auf Ihr Handy haben wollen, empfehlen wir Ihnen unsere App, die Sie hier für Apple- und Android-Geräte herunterladen können.]

Diese Kundinnen und Kunden mussten am Montag per E-Mail erfahren, dass ihr Name, Adresse und Teile der Kreditkartennummer für geübte Hacker relativ leicht abzugreifen waren. Mitglieder der in Ulm registrierten Initiative „Zerforschung“ berichten in ihrem Blog im Detail und mit viel Süffisanz, wie erschreckend leicht es für sie gewesen sei, Einblick in Daten von mehr als 4000 Bestellvorgängen zu bekommen.

„Dieser und ähnliche Fehler passieren leicht mal“, erklärt ein Aktivist der Gruppe auf Nachfrage dieser Redaktion, die durch einen Bericht des RBB aufmerksam wurde. „Es wurde vermutlich einfach vergessen, dass die Anfragen nach Bestellungen besonders geschützt sein müssen“. Der Fehler sei selbst von außen sehr leicht zu finden gewesen, behauptet der Hacker, der nicht mit Namen genannt werden will. „Flink hätte vor dem Launch nach solchen Fehlern suchen müssen. Wenn dies nicht passiert, ist das stümperhaftes Arbeiten.“

Hacker kritisiert Geschäftsmodelle von Start-ups wie Flink

Die Gruppe Zerforschung will ihre Aktion als Kritik an den Geschäftsmodellen einiger Tech-Firmen verstanden wissen. „Gerade in Start-ups hat Datensicherheit oft nicht die höchste Priorität. Es scheint wichtiger, erstmal ein neues Feature einzubauen als bestehende Probleme zu beheben oder sich um IT-Sicherheit zu kümmern.“

[Alle wichtigen Nachrichten rund Technologiethemen finden Sie in unserem Informationsdienst Tagesspiegel Background Digitalisierung & IT.]

Die Flink Lebensmittel GmbH hat die Lücke am vergangenen Wochenende offenbar geschlossen und die betroffenen Kunden sowie die Landesdatenschutzbeauftragte über den Vorfall informiert, teilte das Unternehmen mit. Die Aktivisten begrüßen dies und würdigen auch, dass Nutzerinnen und Nutzer informiert worden seien. Allerdings sei ihnen nicht mitgeteilt worden, auf welche Daten genau zugegriffen worden sein könnte. Auch über die Social-Media-Kanäle habe Flink nicht informiert. „Das geht besser!“

Das Unternehmen hatte offenbar erst durch die IT-Aktivisten von dem Datenleck erfahren. „Unsere IT-Systeme und die dazugehörigen Sicherheitssystem sind durch unser schnelles Wachstum erheblichen Belastungen ausgesetzt worden“, schrieb ein Flink-Sprecher dem Tagesspiegel. „In Folge gab es eine Sicherheitslücke, die wir umgehend geschlossen haben. Ein Missbrauch von Kundendaten konnte nicht festgestellt werden.“ Der Zugriff sei „nur sehr kurzfristig“ möglich gewesen, erklärte er – ohne dies näher zu beschreiben. Man habe ein renommiertes IT-Sicherheitsunternehmen beauftragt, einen externen Check durchzuführen. Die Systeme mit neuen Sicherheitseinstellungen und Schutzmaßnahmen liefen wieder „normal“.

Leider werden mit zunehmender Digitalisierung auch Datenlecks zur Normalität: Erst vergangene Woche hatten Zoo und Tierpark Berlin mitteilen müssen, dass ihr Ticketdienstleister Ticketcounter, ein Start-up aus den Niederlanden, Opfer krimineller Hacker geworden ist.

Zur Startseite