500 Millionen Kundendatensätze: Marriott meldet riesiges Datenleck

Die Marriott-Hotelkette ist von einem riesigen, weltweit wohl einzigartigen Datenschutzverstoß betroffen, bei dem bis zu 500 Millionen Kunden Opfer von Cyber-Kriminellen wurden. Berichten zufolge wurden rund 327 Millionen Datensätze gestohlen, einschließlich Zahlungsinformationen und Passdaten, was einen jahrelangen Identitätsdiebstahl und Cyber-Angriffe auf die Opfer nach sich ziehen könnte.

Die internationale Gästedatenbank der Starwood-Sparte des Marriott Hotels gehacked worden ist. Die Lücke, die im September entdeckt wurde, ermöglichte Hackern den Zugriff auf Namen, Adressen, Telefonnummern, Passwörtern und in einigen Fällen Details zu Zahlungskarten von bis zu 500 Millionen Gästen. Ermittlungen zufolge, die seit der Entdeckung der Lücke erfolgten, haben Hacker seit 2014 Zugriff auf das Netzwerk.

Schockierend an dieser Datenschutzverletzung ist, dass die Cyber-Kriminellen möglicherweise sowohl mit den verschlüsselten Daten, als auch mit den Methoden zur Entschlüsselung der Daten davongekommen sind. Denn Marriott hat es offenbar versäumt, die persönlichen und sensiblen Daten ihrer Kunden mit ausreichenden Cyber-Sicherheitsmaßnahmen zu schützen.

„In der Vergangenheit bestand das Hauptproblem bei solchen Datenschutzverletzungen oft darin, dass die Unternehmen, in deren Hände die Sicherheit der Kundendaten gelegt wurde, einen Schutz vor Identitätsdiebstahl nur für einen Zeitraum von bis zu einem Jahr Schutz angeboten haben“, kommentiert Joseph Carson, Chief Security Scientist von Thycotic, den Vorfall. „Viele der gestohlenen Identitätsinformationen haben in der Regel aber eine Laufzeit zwischen 5 und 10 Jahren, man denke etwa an Kreditkarten oder Reisepässe.“

Die Opfer sind also jahrelang ernsthaften Risiken ausgesetzt, solange sie kompromittierte Karten oder Dokumente nicht neu beantragen, was in der Regel mit Aufwand und Kosten verbunden ist. „Unternehmen, die ihre Kunden nicht vor Datendiebstahl schützen, sollten zumindest für die Kosten der Ersatzbeschaffung kompromittierter Dokumente in die Verantwortung gezogen werden können, anstatt jegliche Verantwortlichkeit von sich abzuwenden“, so Carson weiter.

Der aktuelle Vorfall wirft nun einige Fragen auf, etwa seit wann Marriott über die Datenschutzverletzung Bescheid wusste, und ob das Unternehmen weltweite Vorschriften und Regularien wie die Datenschutzgrundverordnung der EU erfüllt hat. „Letztere sieht bei Nichteinhaltung immerhin Geldstrafen in Höhe von 20 Millionen Euro oder 4 Prozent des Jahresumsatzes vor“, so Carson weiter. „Für potenziell betroffene Marriott-Kunde zählt nun vor allem eines: Sie müssen wissen, ob und welche ihrer Daten gefährdet sind, um gegebenenfalls Vorsichtsmaßnahmen treffen zu können.“

Eine Lücke wie diese beleuchtet die Bedeutung von automatischer Bedrohungserkennung. „Wenn man den hohen Wert an Daten berücksichtigt, die Unternehmen wie Marriott halten – Namen, Adressen, Details zu Zahlungen etc. – ist es nicht überraschend, dass Hacker kontinuierlich versuchen, Zugriff darauf zu erlangen“, erklärt Ross Brewer, Vice President EMEA bei LogRhythm. „Es ist besonders überraschend und extrem besorgniserregend, dass Ermittlungen ergaben, dass seit 2014 ein unautorisierter Zugang zum Starwood-Netzwerk bestand. Wir sind stets von Unternehmen verblüfft, die nicht in der Lage sind ungewöhnliche Netzwerkaktivitäten zu erkennen, aber es sind auch meistens keine Aktivitäten, die über so einen langen Zeitraum unentdeckt bleiben.“ (rhh)

Hier geht es zu Thycotic

Hier geht es zu LogRhythm