Zum wiederholten Mal ist die Hotelkette Marriott von einem Datendiebstahl betroffen. Diesmal sind vermutlich 5,2 Millionen Gäste betroffen – das räumte das Unternehmen kürzlich in einer Stellungnahme ein. Bereits 2018 hatte Marriott einen massiven Datendiebstahl erlitten, bei dem sensible Daten von wahrscheinlich mehr als 300 Millionen Kunden kompromittiert wurden.
Unbekannte nutzten Schwachstelle bei Franchise-Nehmer
Zwei Mitarbeiter eines Franchise-Nehmers waren offenbar das Eintrittstor. Das Datenleck begann den Angaben zufolge im Januar, entdeckt wurde es Ende Februar. Mutmasslich verschafften sich die Angreifer Zugang zu den Login-Daten dieser Mitarbeiter. Abgeflossen sind dabei sensible Hoteldaten: Ausweisnummern, Beizahlinformationen, Teile von Geburtsdaten, Kontaktdaten, Angaben zu Arbeitgebern und Details zur Nutzung des Kundenbindungsprogramms. Passwörter und PINs waren laut Marriott nicht betroffen. Die Hotelkette hat die zuständigen Aufsichts- und Strafverfolgungsbehörden informiert.
Betroffene können sich direkt bei der Hotelkette informieren
Marriott hat für möglicherweise betroffene Kunden eine eigene Online-Präsenz eingerichtet, über die themenbezogene Anfragen gestellt werden können. Betroffene wurden ausserdem per E-Mail informiert. Zusätzlich gibt es eine Hotline unter 0800 66 444 14 – aus Deutschland kostenfrei erreichbar, standardmässig auf Englisch oder Französisch, in Ausnahmefällen auch in anderen Sprachen.
Als Vorsichtsmassnahme hat Marriott die Zugangsdaten des Treueprogramms zurückgesetzt. Du musst also ein neues Passwort festlegen, um dich weiterhin einloggen zu können. Ergänzend bietet Marriott den Dienst von Experian an: Der Dienstleister prüft die kompromittierten Daten auf Missbrauchsanzeichen. Kunden können den Dienst ein Jahr lang nutzen und werden bei auffälligen Befunden informiert.
Datenleck von 2018 rückt wieder in Erinnerung
2018 war der Umfang noch deutlich grösser: Rund 339 Millionen Kunden waren damals vermutlich betroffen. Über eine Tochterfirma gelangten die Angreifer an die Datenbank für Hotelreservierungen – und zapften sie offenbar mehrere Jahre unbemerkt an, bevor der Vorfall publik wurde. Die britische Datenschutzbehörde verhängte daraufhin eine Strafe von 110 Millionen Euro. Der Vorwurf: ein gravierender Verstoss gegen europäische Datenschutzvorschriften – Marriott hatte weder ausreichend geschützt noch rechtzeitig kommuniziert. Das Unternehmen wehrte sich juristisch, scheiterte aber vor Gericht.
Was Marriott Kunden jetzt beachten sollten
Auch wenn Marriott Sicherheitsmassnahmen ergriffen hat, bleibt der Diebstahl sensibler Daten für einzelne Personen gefährlich. Halte in nächster Zeit ein wachsames Auge auf auffällige Aktivitäten rund um deine persönlichen Daten.
Besonders wichtig: Passwörter auf anderen Plattformen ändern – vor allem dann, wenn du dasselbe Passwort an mehreren Stellen verwendest. Das ist der Punkt, an dem ein einzelner Datensatz zum Generalschlüssel wird. Mit wenig Aufwand erlangen Angreifer so Zugriff auf viele weitere Konten.
Auch grosse Konzerne haben noch immer Probleme beim Datenschutz
Der Fall wirft eine unbequeme Frage auf: Sind grosse Konzerne überhaupt in der Lage, Kundendaten verlässlich zu schützen? Marriotts wiederholtes Auftreten als Angriffsziel – trotz der Konsequenzen aus 2018 – legt nahe, dass die getroffenen Massnahmen nicht gereicht haben. Dazu kommt: Zwischen Beginn des Angriffs im Januar und der Entdeckung Ende Februar lagen Wochen. Kunden erfahren oft erst spät, dass ihre Daten kompromittiert wurden – manchmal gar nicht, oder erst dann, wenn Missbrauch bereits stattgefunden hat.
Gleichzeitig kannst du selbst etwas tun: sichere Passwörter wählen, sie nie mehrfach verwenden und regelmässig wechseln. Ein Passwort-Manager hilft dabei, den Überblick zu behalten.
Offenheit und Transparenz können helfen
Die DSGVO fordert von Unternehmen nicht nur Schutz, sondern auch Offenheit. Nur wer Angriffe offen kommuniziert, ermöglicht eine schnelle und wirksame Reaktion. Wer dagegen aus Angst vor Imageschäden schweigt oder erst spät informiert, macht es Angreifern leichter – und Betroffenen schwerer. Genau das hatte die britische Datenschutzbehörde im Blick, als sie 2018 die Millionenstrafe verhängte.