Marriott gesteht schwere Datenpanne
HI+

Marriott gesteht schwere Datenpanne

Amsterdam/Bethesda. Nach Hilton 2015, Hyatt, Trump Hotels und sogar IHG im letzten Jahr ist Marriott nun das jüngste Opfer einer ernsthaften Datenpanne. Es handelt sich um die grösste Datenpanne in der Hotel-Welt und die zweitgrösste in der Geschichte aller Branchen zusammengenommen, die Marriott nicht nur viel Geld, sondern auch das Vertrauen seiner Mitglieder kosten könnte.

Was war passiert? Letzte Woche gab Marriott bekannt, eine Datenpanne zu prüfen, bei der möglicherweise sensible Daten von rund 500 Millionen Gästen erbeutet worden sind. Das Unternehmen sagte, dass bei 327 Millionen Gästen persönliche Daten wie Reisepass-Angaben, Geschlecht, Reisedaten und Vorlieben, Telefonnummern und eMail-Adressen erbeutet worden sein könnten. In anderen Fällen auch Kreditkarten-Informationen. Marriott gab an, von dem Datenleck erfahren zu haben, "nachdem ein internes Sicherheitstool am 8. September Alarm geschlagen hatte", doch das Unternehmen weiss, dass die Daten bereits weit vor diesem Datum gehackt worden waren. War Starwood hier das Trojanische Pferd?

Wäre das Datenleck vermeidbar gewesen?

Viele Cyber-Sicherheits-Experten sind sich sicher, dass Marriott versäumt hat, für die Integrität seiner Server zu sorgen und die hochsensiblen und vertraulichen Daten seiner Kunden umfassend zu schützen. Viele glauben sogar, dass das riesige Hotel-Unternehmen die Gelegenheit versäumt hat, das Problem während eines kleineren Datenlecks 2015 zu erfassen und zu beheben. "Sie hätten in der Lage sein müssen, Hacker zu isolieren, als Starwood bekannt gab, 2016 Opfer eines Lecks gewesen zu sein", so ein weiterer Experte dem Wall Street Journal gegenüber.

Gestern veröffentlichte Reuters einen Artikel, in dem stand, dass China hinter dem Hack stehen könnte. Den Quellen von Reuters zufolge könnten chinesische Hacker unter Umständen eine Kampagne gestartet haben, die dazu diente, Daten zu Spionage-Zwecken für Peking zu erbeuten und nicht zur finanziellen Bereicherung. Die Nachrichtenagentur bezieht sich auf private Investigatoren, die angaben, Hacker-Tools ebenso wie andere Techniken gefunden zu haben, die früheren chinesischen Hacker-Angriffen zugerechnet werden. Aber das ist nicht die einzige Theorie…

Loyalty-Punkte bei Hackern beliebt

Warum Marriott? Laut einem Artikel, der vor einigen Tagen von Bloomberg veröffentlicht wurde, sind Hacker ebenso an Loyalty-Punkten wie an Kreditkarten-Daten interessiert. Betrüger haben es auf die Loyalty-Branche abgesehen, die 238 Millionen Dollar schwer ist, da der Zugriff auf die Rewards-Portale einfach ist und sie schnell die hart verdienten Punkte oder Meilen der Kunden einlösen können. Allein in den USA unterhalten Verbraucher 3,3 Milliarden Mitgliedschaften in solchen Programmen und verdienen sich Punkte und Meilen im Wert von rund 48 Milliarden Dollar pro Jahr.

Den Experten von Bloomberg zufolge kann ein Hacker, nachdem er sich Zugang zum Loyalty-Konto eines Kunden verschafft hat, die Punkte oder Meilen gegen Geschenk-Karten oder materielle Güter im Shopping-Portal des Programms einlösen. In einigen Fällen werden Punkte in Hotel-Aufenthalte oder Flüge umgewandelt, die später wiederum storniert werden, um Geschenk-Karten zu erhalten. Die mit diesen Programmen verbundenen Daten werden für Kriminelle offenbar immer wichtiger, da sie sich im Dark Web besser verkaufen lassen. Eine Sozialversicherungs-Nummer ist im Darknet 1 Dollar wert, die Daten eines Loyalty-Kontos das 20fache.

Versicherung gegen Ruf-Schädigung

Cyber-Expertin Lindsay Nelson von CFC Underwriting Ltd zufolge kann der Loyalty-Betrug grossen Schaden beim Unternehmen selbst anrichten. Die Expertin sagte Bloomberg gegenüber, dass Kunden zwar das grösste Asset des Unternehmens hinsichtlich seiner Rewards- und Loyalty-Programme ausmachen, ein Leck aber erheblichen Einfluss auf denk zukünftigen Verkauf haben kann. Schutz vor Rufschädigung ist nicht in jeder Cyber-Versicherung enthalten, aber immer mehr Versicherer bieten ihn seit einigen Jahren an.

Gegen Marriott wird aktuell mehrfach ermittelt, darunter durch die Senatoren der Republikanischen Partei in den USA, die Justizminister und die europäischen Regulierungs-Behörden. Es wurde eine Sammelklage gegen die Hotel-Kette eingereicht. Ein Analyst von Morgan Stanley schrieb vor einigen Tagen, dass Marriott mit rund 200 Millionen an Strafzahlungen und Vergleichen rechnen muss. Am Dienstag sagte Leeny Oberg, Marriotts CFO, bei der Barclays Gaming and Lodging Conference in den USA, dass es "noch zu früh ist, die Kosten für das Unternehmen zu benennen", nachdem einige Schätzungen sich sogar bis auf eine Milliarde Dollar beliefen. Die Marriott-Aktien sind um rund 6,8 Prozent eingebrochen, seit der Daten-Diebstahl bekannt wurde.

Die Opfer schützen

Anfang der Woche kündigte das Hotel-Unternehmen an, dass die Kunden, die von diesem umfangreichen Datenangriff betroffen sind, kostenlose Monitoring-Software zur Überwachung ihrer Konten erhalten. Das Unternehmen hält ausserdem ein Auge auf das Risiko durch einen Reisepass-Betrug. "Da es sich hier auch um einen möglichen Reisepass-Betrug handelt, arbeiten wir eng mit den Kunden zusammen, die vermuten, zu Opfer geworden zu sein, da ihre Reisepass-Daten von diesem Vorfall betroffen waren", bestätigte ein Marriott-Mitarbeiter gegenüber MarketWatch, einer amerikanischen Agentur für Börsen-Nachrichten.

In den sozialen Medien gehen die Opfer harsch gegen das Unternehmen vor. Sein Ruf ist geschädigt und damit auch das Vertrauen von Millionen Reisenden in Marriott. "Wenn es um Cyber-Sicherheit geht, reden Hotel-Ketten nur, unternehmen am Ende aber nicht die notwendigen Investitionen", so ein Experte im BusinessInsider abschliessend. Das ist eine teure Lektion für Marriott, das gerade angekündigt hatte, seine Investitionen in Daten-Sicherheit zu erhöhen. hotelnewsnow, der Newsletter von STR, hat eine Timeline von Daten-Diebstühlen erstellt, bis ins Jahr 2014 zurückreichend. Eine interessante Lektüre. / SD

Verwandte Artikel

Die ständige Bedrohung

Die ständige Bedrohung

19.10.2017

München. Hacker sind in der Lage, ein Hotel in 20 Minuten zu knacken, Server in 10 Minuten, Check-in-Vorgänge in 15 Minuten. Digitale Angriffe auf Hotels haben von 2015 auf 2016 um 40 Prozent zugenommen und deren Zahl steigt weiter. Die Hotellerie scheint dieses Problem jedoch stark zu unterschätzen: Zu viele Betreiber wissen nicht, wie sie die Bedrohung abwenden und im Fall eines Angriffs reagieren sollen. Und noch schlimmer: Der wahre Schaden ist nicht der Angriff selbst, sondern die Reaktion der Gäste. Sie werden einem "nicht sicheren" Hotel fernbleiben. Beim jüngsten "Hospitality Industry Dialogue", der Hotel-Konferenz der Expo Real, haben Cyber-Experten, Hoteliers und Investoren über eines der heissesten Themen der Branche diskutiert.

Gute Basis für Hacker

Gute Basis für Hacker

12.3.2015

Berlin. Google ist ein hervorragender Helfer, wenn es darum geht, sich unerlaubterweise in andere IT-Systeme einzuhacken. Über Webcams kann man leicht mitbeobachten und mithören… Und die richtigen Passwörter zu filtern, ist für geübte Hacker oft nur eine Frage der Zeit. Der sehr verbreitete, fahrlässige Umgang mit Kundendaten wurde am 10. "ITB Hospitality Day" an der ITB Berlin letzte Woche dem Publikum drastisch und live vor Augen geführt. "Check out – Hack in" hiess der Titel des Live-Hackings zum Beginn der Konferenz. Staunen Sie mit!

8 Millionen Gästedaten von Best Western im Cyber-Untergrund angeboten

29.8.2008

Glasgow/Eschborn. Die britische Zeitung "The Sunday Herald" berichtete letzten Montag, dass es einem indischen Hacker Ende letzter Woche gelungen sein soll, die elektronischen Datenbanksätze von über acht Millionen Hotelgästen zu stehlen. Die Hotelgruppe dementierte seitenlang, gab aber zu, dass es zu einem Vorfall in einem einzelnen Hotel in Deutschland gekommen ist. Der britische Technologie-Journalist, der den Vorfall an den Tag brachte, nannte gegenüber hospitalityInside.com einige Details.

{"host":"www.hospitalityinside.com","user-agent":"claudebot","accept":"*/*","x-forwarded-for":"35.172.231.232","x-forwarded-host":"www.hospitalityinside.com","x-forwarded-port":"443","x-forwarded-proto":"https","x-forwarded-server":"d9311dca5b36","x-real-ip":"35.172.231.232","accept-encoding":"gzip"}REACT_APP_OVERWRITE_FRONTEND_HOST:hospitalityinside.com &&& REACT_APP_GRAPHQL_ENDPOINT:http://app/api/v1