Mega-Hack bei Marriott: Daten von 500 Millionen Hotelgästen gestohlen
Wie Marriott International am 30. November 2018 mitteilte, gab es bereits seit 2014 unautorisierten Zugriff auf die Reservierungsdatenbank des Tochterunternehmens Starwood Hotels & Resorts. Entdeckt wurde das – wir nennen es mal Problem – jedoch erst vor Kurzem: Nachdem ein internes Sicherheits-Tool am 8. September 2018 einen unbefugten Zugriff identifiziert hatte, dauerte es noch mehr als zwei Monate bis Marriott International die Daten am 19. November 2018 entschlüsseln und das Ausmaß des Datenlecks offenbaren konnte.
Laut Marriott International sollen Daten von schätzungsweise 500 Millionen Menschen, die am oder vor dem 10. September 2018 eine Reservierung tätigten, gestohlen worden sein. Man kann sich schon denken, dass in den vier Jahren wohl reihenweise Kunden betroffen sein dürften, aber gleich eine halbe Milliarde? Damit hätten auch wir beim besten Willen nicht gerechnet. Dabei ist die Zahl – wenn man einmal genauer darüber nachdenkt – gar nicht so abwegig: Unter Starwood Hotels & Resorts sind schließlich zahlreiche namhafte Hotelmarken wie Le Méridien oder Sheraton beheimatet.
Es ist zwar noch nicht geklärt, wie es zur Sicherheitslücke kommen konnte, was aber sicher ist: Der Vorfall wird definitiv als einer der größten Unternehmens-Hacks in die Geschichte eingehen.
Datenleck betrifft zahlreiche sensible Daten
Oberste Priorität für Starwood-Gäste hat nun die Frage: Welche meiner Daten sind in fremdem Besitz?
Von 327 Millionen Gästen, also etwa zwei Drittel aller Betroffenen, soll eine individuelle Kombination aus sensiblen personenbezogenen Informationen kopiert worden sein, darunter Name, Anschrift, Telefonnummer, E-Mail-Adresse, Passnummer, Bonusprogramm-Kontoinformationen, Geburtsdatum, Geschlecht, An- und Abreisedaten, Reservierungsdaten und Kommunikationspräferenzen. In einigen dieser Fälle sind sogar Zahlungskartennummern vom Datendiebstahl betroffen. Zwar wurden diese mittels Advanced Encryption Standard verschlüsselt, Marriott International kann zu diesem Zeitpunkt allerdings nicht mit Sicherheit sagen, ob nicht auch die beiden zur Entschlüsselung benötigten Komponenten in die Hände Dritter gelangt sind. Die rund 170 Millionen restlichen Gäste müssen hingegen “nur” befürchten, dass die Hacker Zugang zu ihrem Namen oder in manchen Fällen auch zu ihrer Anschrift, E-Mail-Adresse oder sonstigen Informationen erhielten.
Auch wenn es naheliegend ist, liegt die Schuld für das Datenleck nicht bei Marriott International – zumindest nicht direkt: Der Hotelkonzern hatte Starwood Hotels & Resorts erst im Jahr 2016 übernommen, also zu einer Zeit, in der der unautorisierte Zugriff auf die Reservierungsdatenbank schon längst bestand. Natürlich hätte dem Hotelkonzern das Datenleck aber schon deutlich früher – im besten Fall bei der Übernahme – auffallen müssen.
Kostbare Daten für Hacker
Ob und welche Auswirkungen der Hacker-Angriff haben wird, kann zu diesem Zeitpunkt nur gemutmaßt werden. Da die gestohlenen Daten für Kriminelle allerdings Gold wert sein dürften, sind folgende Vorgehensweisen wahrscheinlich:
(Spear-)Phishing
Durch den Zugriff auf Abermillionen persönlicher E-Mail-Adressen haben Cyberkriminelle jetzt leichtes Spiel, über E-Mail-Phishing an noch mehr sensible Daten zu gelangen. Da auch die Namen der einzelnen Gäste bekannt sind, werden die Phishing-Versuche vermutlich nicht nur generisch ausfallen, sondern die Empfänger werden gezielt angesprochen werden – dadurch wirkt eine solche E-Mail für den Laien noch glaubwürdiger.
Ebenso ist es denkbar, dass sich die Hacker mit den erhaltenen Informationen in die einzelnen Kundenkonten einloggen, um so schnell und einfach an die dort hinterlegten Daten zu kommen.
Finanzieller Betrug
Auch wenn bislang nicht feststeht, ob eine Entschlüsselung der Kreditkartennummern für die Hacker überhaupt möglich ist, dürften die betroffenen Starwood-Gäste momentan vor allem finanziellen Betrug fürchten.
Identitätsdiebstahl
Da auch zahlreiche Passnummern in unbefugtem Besitz sind, können leider auch schwerwiegende Identitätsdiebstähle nicht mehr ausgeschlossen werden. So könnten Kriminelle mit den erbeuteten Passdaten beispielsweise problemlos im Namen eines Starwood-Gastes einen Kredit abschließen.
Telefon-Scamming
Nicht nur online lauern Gefahren, die Betroffenen können auch leicht Ziel von betrügerischen Anrufen werden – ihre Telefonnummern haben die Hacker ja jetzt.
Welche Schutzmaßnahmen ergreift Marriott International aktuell?
“We deeply regret this incident happened”, verkündet Marriott-International-Präsident und -CEO Arne Sorenson in der offiziellen Stellungnahme. Man habe die folgenden Schritte eingeleitet, um die Gäste bestmöglichst zu informieren und zu schützen:
Dedizierte Webseite
Unter “info.starwoodhotels.COM” wurde eine extra Webseite eingerichtet, auf der einerseits häufig gestellte Fragen beantwortet, andererseits die empfohlenen Vorsichtsmaßnahmen angepriesen werden.
Call Center
Zusätzlich wurde den Gästen die Möglichkeit eingeräumt, sich bei Fragen an ein durchgehend erreichbares, mehrsprachiges Call Center zu wenden. Marriott International bittet diesbezüglich um Geduld, da ein hohes Anrufvolumen erwartet wird.
E-Mail-Benachrichtigung
Seit dem 30. September 2018 erhalten Gäste, die dem Hacker-Angriff zum Opfer gefallen sind, außerdem eine Benachrichtigung per E-Mail. Es wird allerdings davor gewarnt, dabei nicht auf Phishing-E-Mails, die sich als Marriott International ausgeben, hereinzufallen.
Kostenlose WebWatcher-Anmeldung
Betroffene Starwood-Gäste aus Ländern wie den USA, Kanada oder Großbritannien erhalten darüber hinaus ein Jahr lang kostenlosen Zugang zu WebWatcher. Hierbei handelt es sich um ein Überwachungs-Tool, das den Verbraucher alarmiert, sobald personenbezogene Daten gemeinsam genutzt werden. Für Gäste aus Deutschland steht dieser Service leider nicht zur Verfügung.
Was das Datenleck letztendlich verursachte, ist noch nicht bekannt. Der Fall Marriott International verdeutlicht jedoch so gut wie kaum ein anderes Beispiel, welcher Schaden entstehen kann, wenn Server nicht ausreichend geschützt werden.
Sind Sie mit Ihrem aktuellen Server unzufrieden? Bei InterNetX erwartet Sie eine erstklassige Auswahl an sicheren Server-Lösungen.