Zum wiederholten Mal ist die Hotelkette Marriott von einem Datendiebstahl betroffen. Von der Datenpanne sind dieses Mal vermutlich 5,2 Millionen Gäste des Unternehmens betroffen. Das räumte das Unternehmen kürzlich in einer Stellungnahme ein. Erst 2018 war die Hotelkette von einem grossen Datendiebstahl betroffen. Damals wurden sensible Daten von wahrscheinlich mehr als 300 Millionen Kunden kompromittiert.
Unbekannte nutzten Schwachstelle bei Franchise-Nehmer
Zwei Mitarbeiter eines Franchise-Nehmers der Hotelkette waren offenbar Eintrittstor für unbekannte Daten-Diebe. Das Datenleck nahm den Angaben zufolge im Januar seinen Anfang. Entdeckt wurde der Datendiebstahl Ende Februar. Mutmasslich verschafften sich die Angreifer Zugang zu den Login-Daten der genannten Mitarbeiter. Durch das Leck flossen sensible Daten der Hotelkunden ab. Darunter waren Ausweisnummern und Angaben zu Beizahlinformationen. Auch Teile von Geburtsdaten, Kontaktdaten, Informationen zu Arbeitgebern und Details zur Nutzung des Kundenbindungsprogramms von Marriott sind von dem Datenabfluss betroffen. Passwörter oder PINs waren den Angaben der Hotelkette dagegen nicht von dem Diebstahl betroffen. Die Hotelkette hat die zuständigen Aufsichts- und Strafverfolgungsbehörden über den Vorfall informiert.
Betroffene können sich direkt bei der Hotelkette informieren
Der Hotelriese hat für Kunden, die von der Datenpanne betroffen sein könnten, eine eigene Online-Präsenz eingerichtet. Darüber können themenbezogene Anfragen gesendet werden. Ausserdem wurden betroffene Kunden per E-Mail über den Vorfall informiert. Dazu gibt es auch eine extra eingerichtete Kunden-Hotline, die Fragen von betroffenen oder vermeintlich betroffenen Kunden beantwortet. Die Nummer ist aus Deutschland zwar kostenfrei erreichbar. Der Service steht standardmässig allerdings nur auf Französisch oder Englisch zur Verfügung und wird nur in Ausnahmefällen in anderen Sprachen verfügbar gemacht. Die Nummer der Hotline lautet 0800 66 444 14. Anrufe sind kostenfrei. Als Vorsichtsmassnahme hat Marriott die Zugangsdaten ihres Treueprogramms zurückgesetzt. Kunden müssen nun ein neues Passwort festlegen, um sich weiterhin einloggen zu können. Zu den Angeboten wird wohl auch die kostenlose Bereitstellung des Service von Experian zählen. Der Dienstleister überprüft die kompromittierten Daten auf Anzeichen von Missbrauch. Kunden sollen den Dienst ein Jahr lang in Anspruch nehmen können und würden im Falle auffälliger Daten informiert.
Datenleck von 2018 rückt wieder in Erinnerung
Bereits 2018 war die Hotelkette von einem fatalen Datendiebstahl betroffen. Damals war der Umfang noch deutlich grösser als in dem aktuellen Fall. 339 Millionen Kunden waren vermutlich von der Attacke betroffen. Über eine Tochterfirma von Marriott konnten die Angreifer damals auf die Datenbank für Hotelreservierungen zugreifen. Daten sind damals vermutlich mehrere Jahre lang abgeflossen, bevor der Vorfall öffentlich und das Leck gestopft wurde. Der Vorfall hatte damals eine Strafe von 110 Millionen Euro zur Folge, die von der britischen Behörde für Datenschutz verhängt wurde. Es handelte sich um einen gravierenden Verstoss gegen europäische Datenschutzvorschriften, die Unternehmen anhalten, strengen Richtlinien zu folgen, um Kundendaten zu schützen. Ausserdem müssen Unternehmen schnell und offen kommunizieren, wenn Daten verloren gehen. Diese Punkte habe die Hotelkette damals missachtet. Marriott wehrte sich gegen diese Strafe, konnte sich vor Gericht aber nicht durchsetzen.
Was Marriott Kunden jetzt beachten sollten
Auch wenn die Hotelkette zahlreiche Sicherheitsmassnahmen ergriffen hat, um Kunden vor Datenmissbrauch zu schützen, ist der Diebstahl sensibler Daten keineswegs ungefährlich für einzelne Kunden. Betroffene sollten daher in nächster Zeit ein besonders offenes Auge für auffällige Aktivitäten mit ihren persönlichen Daten haben. Zu den Sicherheitsvorkehrungen gehört auch, Passwörter auf anderen Seiten zu verändern. Gerade dann, wenn Kunden aus Bequemlichkeit dasselbe Passwort für mehrere Logins verwenden. In diesem Fall ist der Hack besonders gefährlich. Mit einem einzigen Datensatz erlangen die Diebe Zugriff auf eine Vielzahl weiterer persönlicher Daten und können so erheblichen Schaden anrichten.
Auch grosse Konzerne haben noch immer Probleme beim Datenschutz
Der Datendiebstahl in diesem speziellen Fall wirft auch die Frage auf, ob grosse Konzerne überhaupt in der Lage sind, Kundendaten effektiv zu schützen. Dass Marriott nach der 2018 bekanntgewordenen Attacke wieder einmal zum Ziel wird zeigt, dass die getroffenen Massnahmen nicht ausreichen, um einen wirksamen Schutz zu garantieren. Auch die lange Dauer zwischen Beginn des Angriffs und seiner Entdeckung macht deutlich, dass sensible Daten häufig nicht sicher verwahrt sind. Kunden erfahren oft erst lange Zeit später, dass ihre Daten kompromittiert wurden. In vielen Fällen erfahren sie es vermutlich nie oder erst, wenn Daten missbraucht werden, um kriminelle Aktivitäten zu verdecken. Jeder Einzelne kann allerdings auch einen Beitrag leisten, um gemeinsam mit Konzernen einen effektiven Schutz der sensiblen Informationen zu ihrer Person zu schützen. Dazu gehört, wirklich sichere Passwörter zu vergeben, Passwörter niemals mehrfach zu verwenden und sie regelmässig zu wechseln. Spezielle Tools zur Passwortverwaltung erleichtern es Nutzern, sichere Login-Daten zu generieren und zugleich den Überblick zu behalten.
Offenheit und Transparenz können helfen
Eine wichtige Grundlage für die Bekämpfung von Datendiebstahl legt die europäische Datenschutzgrundverordnung DSGVO auch damit, dass sie Offenheit und Transparenz aufseiten der Unternehmen fordert. Nur wenn Unternehmen über Angriffe offen und ehrlich kommunizieren, können Massnahmen effektiv angepasst werden. Werden dagegen Angriffe aus Furcht vor Imageschäden oder Umsatzverlusten vertuscht oder erst spät kommuniziert, ist es umso schwerer, den Kriminellen beizukommen. Auch darauf wollte die britische Datenschutzbehörde hinaus, als sie die Millionenstrafe verhängte.
