Amsterdam/Bethesda. Nach Hilton 2015, Hyatt, Trump Hotels und sogar IHG im letzten Jahr ist Marriott nun das jüngste Opfer einer ernsthaften Datenpanne. Es handelt sich um die grösste Datenpanne in der Hotel-Welt und die zweitgrösste in der Geschichte aller Branchen zusammengenommen, die Marriott nicht nur viel Geld, sondern auch das Vertrauen seiner Mitglieder kosten könnte.
Was war passiert? Letzte Woche gab Marriott bekannt, eine Datenpanne zu prüfen, bei der möglicherweise sensible Daten von rund 500 Millionen Gästen erbeutet worden sind. Das Unternehmen sagte, dass bei 327 Millionen Gästen persönliche Daten wie Reisepass-Angaben, Geschlecht, Reisedaten und Vorlieben, Telefonnummern und eMail-Adressen erbeutet worden sein könnten. In anderen Fällen auch Kreditkarten-Informationen. Marriott gab an, von dem Datenleck erfahren zu haben, "nachdem ein internes Sicherheitstool am 8. September Alarm geschlagen hatte", doch das Unternehmen weiss, dass die Daten bereits weit vor diesem Datum gehackt worden waren. War Starwood hier das Trojanische Pferd?
Wäre das Datenleck vermeidbar gewesen?
Viele Cyber-Sicherheits-Experten sind sich sicher, dass Marriott versäumt hat, für die Integrität seiner Server zu sorgen und die hochsensiblen und vertraulichen Daten seiner Kunden umfassend zu schützen. Viele glauben sogar, dass das riesige Hotel-Unternehmen die Gelegenheit versäumt hat, das Problem während eines kleineren Datenlecks 2015 zu erfassen und zu beheben. "Sie hätten in der Lage sein müssen, Hacker zu isolieren, als Starwood bekannt gab, 2016 Opfer eines Lecks gewesen zu sein", so ein weiterer Experte dem Wall Street Journal gegenüber.
Gestern veröffentlichte Reuters einen Artikel, in dem stand, dass China hinter dem Hack stehen könnte. Den Quellen von Reuters zufolge könnten chinesische Hacker unter Umständen eine Kampagne gestartet haben, die dazu diente, Daten zu Spionage-Zwecken für Peking zu erbeuten und nicht zur finanziellen Bereicherung. Die Nachrichtenagentur bezieht sich auf private Investigatoren, die angaben, Hacker-Tools ebenso wie andere Techniken gefunden zu haben, die früheren chinesischen Hacker-Angriffen zugerechnet werden. Aber das ist nicht die einzige Theorie…
Loyalty-Punkte bei Hackern beliebt
Warum Marriott? Laut einem Artikel, der vor einigen Tagen von Bloomberg veröffentlicht wurde, sind Hacker ebenso an Loyalty-Punkten wie an Kreditkarten-Daten interessiert. Betrüger haben es auf die Loyalty-Branche abgesehen, die 238 Millionen Dollar schwer ist, da der Zugriff auf die Rewards-Portale einfach ist und sie schnell die hart verdienten Punkte oder Meilen der Kunden einlösen können. Allein in den USA unterhalten Verbraucher 3,3 Milliarden Mitgliedschaften in solchen Programmen und verdienen sich Punkte und Meilen im Wert von rund 48 Milliarden Dollar pro Jahr.
Den Experten von Bloomberg zufolge kann ein Hacker, nachdem er sich Zugang zum Loyalty-Konto eines Kunden verschafft hat, die Punkte oder Meilen gegen Geschenk-Karten oder materielle Güter im Shopping-Portal des Programms einlösen. In einigen Fällen werden Punkte in Hotel-Aufenthalte oder Flüge umgewandelt, die später wiederum storniert werden, um Geschenk-Karten zu erhalten. Die mit diesen Programmen verbundenen Daten werden für Kriminelle offenbar immer wichtiger, da sie sich im Dark Web besser verkaufen lassen. Eine Sozialversicherungs-Nummer ist im Darknet 1 Dollar wert, die Daten eines Loyalty-Kontos das 20fache.
Versicherung gegen Ruf-Schädigung
Cyber-Expertin Lindsay Nelson von CFC Underwriting Ltd zufolge kann der Loyalty-Betrug grossen Schaden beim Unternehmen selbst anrichten. Die Expertin sagte Bloomberg gegenüber, dass Kunden zwar das grösste Asset des Unternehmens hinsichtlich seiner Rewards- und Loyalty-Programme ausmachen, ein Leck aber erheblichen Einfluss auf denk zukünftigen Verkauf haben kann. Schutz vor Rufschädigung ist nicht in jeder Cyber-Versicherung enthalten, aber immer mehr Versicherer bieten ihn seit einigen Jahren an.
Gegen Marriott wird aktuell mehrfach ermittelt, darunter durch die Senatoren der Republikanischen Partei in den USA, die Justizminister und die europäischen Regulierungs-Behörden. Es wurde eine Sammelklage gegen die Hotel-Kette eingereicht. Ein Analyst von Morgan Stanley schrieb vor einigen Tagen, dass Marriott mit rund 200 Millionen an Strafzahlungen und Vergleichen rechnen muss. Am Dienstag sagte Leeny Oberg, Marriotts CFO, bei der Barclays Gaming and Lodging Conference in den USA, dass es "noch zu früh ist, die Kosten für das Unternehmen zu benennen", nachdem einige Schätzungen sich sogar bis auf eine Milliarde Dollar beliefen. Die Marriott-Aktien sind um rund 6,8 Prozent eingebrochen, seit der Daten-Diebstahl bekannt wurde.
Die Opfer schützen
Anfang der Woche kündigte das Hotel-Unternehmen an, dass die Kunden, die von diesem umfangreichen Datenangriff betroffen sind, kostenlose Monitoring-Software zur Überwachung ihrer Konten erhalten. Das Unternehmen hält ausserdem ein Auge auf das Risiko durch einen Reisepass-Betrug. "Da es sich hier auch um einen möglichen Reisepass-Betrug handelt, arbeiten wir eng mit den Kunden zusammen, die vermuten, zu Opfer geworden zu sein, da ihre Reisepass-Daten von diesem Vorfall betroffen waren", bestätigte ein Marriott-Mitarbeiter gegenüber MarketWatch, einer amerikanischen Agentur für Börsen-Nachrichten.
In den sozialen Medien gehen die Opfer harsch gegen das Unternehmen vor. Sein Ruf ist geschädigt und damit auch das Vertrauen von Millionen Reisenden in Marriott. "Wenn es um Cyber-Sicherheit geht, reden Hotel-Ketten nur, unternehmen am Ende aber nicht die notwendigen Investitionen", so ein Experte im BusinessInsider abschliessend. Das ist eine teure Lektion für Marriott, das gerade angekündigt hatte, seine Investitionen in Daten-Sicherheit zu erhöhen. hotelnewsnow, der Newsletter von STR, hat eine Timeline von Daten-Diebstühlen erstellt, bis ins Jahr 2014 zurückreichend. Eine interessante Lektüre. / SD