Datenleck, NefosPuffPal

Datenleck Nefos/ PuffPal: Eine Million Ausweisdokumente offen

01.07.2026 - 13:10:09 | boerse-global.de

Schwerer Datenschutzvorfall bei Nefos/PuffPal: Mitgliederausweise und Reisepässe waren ungeschützt im Netz abrufbar.

Sicherheitslücke bei Cannabis-Club-Software legt Millionen Daten offen
Datenleck - Ein digitales Vorhängeschloss-Symbol über einem leuchtenden Datenstrom auf einem dunklen Bildschirm, mit unscharfen Cannabisblättern im Hintergrund. 01.07.2026 - Bild: über boerse-global.de

Ein schwerwiegender Sicherheitsvorfall bei der Kassensoftware Nefos/PuffPal legt sensible Daten von Cannabis-Club-Mitgliedern offen. Reisepässe und Ausweisfotos waren wochenlang für Unbefugte abrufbar.

Hintertür offen wie ein Scheunentor

Die Software ist speziell für Verwaltung und Abrechnung in Cannabis-Clubs konzipiert. Doch die Architektur des Backends CCS Nube hatte ein fatales Problem: Hochgeladene Dokumente lagen unter vorhersagbaren URLs – ohne jede Zugangskontrolle. Wer die Adresse kannte, konnte die Dateien direkt abrufen. Eine Authentifizierung? Fehlanzeige.

Etwa eine Million Identitätsdokumente wurden so kompromittiert. Der Vorfall reiht sich ein in eine Serie von Sicherheitsmängeln in digitalen Lieferketten, die in den vergangenen Monaten immer häufiger auftreten.

Harte Landung für Club-Betreiber

Für die Cannabis-Clubs wird der Vorfall teuer. Sie sind als Verantwortliche für die Datenerhebung haftbar – und zwar nach der Datenschutz-Grundverordnung (DSGVO). Der unkontrollierte Abfluss von Ausweisdaten ist ein eklatanter Verstoß gegen die gesetzlichen Sicherheitsanforderungen.

Anzeige

Der unkontrollierte Abfluss sensibler Mitgliederdaten zeigt, wie schnell Versäumnisse bei der Dokumentation zum Haftungsrisiko werden. Mit dieser kostenlosen Excel-Vorlage und Anleitung erstellen Sie Ihr rechtssicheres Verarbeitungsverzeichnis zeitsparend und vermeiden Bußgelder von bis zu 2 % des Jahresumsatzes. Kostenlose Muster-Vorlage für Ihr Verarbeitungsverzeichnis jetzt herunterladen

Die betroffenen Organisationen müssen die Vorfälle nun an die Aufsichtsbehörden melden. Ob die offenliegenden Daten bereits für Betrug missbraucht wurden, ist unklar. Der Fall zeigt: Branchenlösungen ohne grundlegende Sicherheitsstandards in der Cloud-Infrastruktur sind ein Risiko – für Betreiber und Mitglieder gleichermaßen.

Anzeige

Sicherheitslücken in der Cloud-Infrastruktur können für Verantwortliche schwerwiegende rechtliche Konsequenzen nach sich ziehen. Dieser kostenlose DSGVO-Leitfaden unterstützt Sie in 5 konkreten Schritten dabei, Ihre gesetzlichen Pflichten zu erfüllen und Ihr Unternehmen vor teuren Abmahnungen zu schützen. In 5 Schritten zur DSGVO-Umsetzung – Kostenloser Ratgeber

Der Fall zeigt eindrucksvoll, dass die Auswahl sicherer Software-Partner für Unternehmen jeder Größe überlebenswichtig geworden ist.

de | wissenschaft | 69667058 |