Hotelkette Mandarin Oriental findet Kreditkarten stehlende Malware

Die Luxushotel-Kette Mandarin Oriental hat eine Malware von ihren Systemen entfernt, die Kreditkartendaten von Hotelgästen stahl. Sie fand sich in Hotels in Europa und den USA, nicht aber in Asien, soweit bekannt. Einzelne betroffene Hotels hat die Kette nicht benannt.

Das einzige Mandarin-Oriental-Hotel Deutschlands findet sich in der Münchner Innenstadt. Zu den europäischen Standorten zählen außerdem Barcelona, Genf, London, Paris und Prag. Die Kette verzeichnet 14 Hotels in EMEA, 10 in den USA und 20 in Asien. Auf ihrer Website wirbt sie mit prominenten Stammgästen, darunter die französische Schauspielerin Sophie Marceau und ihre chinesische Kollegin Maggie Cheung, Liam Neeson und auch Morgan Freeman.

Der Pressemitteilung zufolge erfolgten Kreditkartendiebstähle „in einer isolierten Zahl Hotels“. Das Schadprogramm werde „von keinem Antivirensystem“ gefunden. Wie lange es installiert war, auf welchen Systemen und wie es dorthin gelangte, bleibt vorerst offen.

„Den uns bisher vorliegenden Informationen zufolge betraf der Sicherheitsvorfall nur Kreditkartendaten und keine anderen persönlichen Daten von Gästen, und die Sicherheitscodes von Kreditarten wurden nicht kompromittiert“, heißt es. Ob mit Letzterem PIN-Codes oder die rückseitigen CSV-Sicherheitscodes gemeint sind, ist ebenfalls unklar.

Die Kette erforscht den Vorfall zusammen mit Kreditkartenfirmen, Polizei und Forensik-Experten. Sie plant, ihre Sicherheitsmaßnahmen zu erhöhen und so eine Wiederholung möglichst auszuschließen. Konkrete Maßnahmen nannte sie nicht. Anwender, die einen Missbrauch ihrer Kreditkarten beobachten, sollten sich direkt an die Polizei wenden.

Auch wenn Mandarin Oriental dies nicht explizit erwähnt, fand sich die Malware aller Wahrscheinlichkeit nach auf an der Rezeption genutzten Computern, die auch für Kreditkartenzahlungen der Gäste genutzt werden. Darauf tippt auch der unabhängige Sicherheitsforscher Brian Krebs. Mit einer zumindest ähnlichen Malware wurden im Herbst 2013 beim US-Elektronikhändler Target und im New Yorker Luxuskaufhaus Neiman Marcus Millionen Kundenkartendaten gestohlen. Einen ähnlichen Befall mit Malware meldete Mitte 2014 The UPS Store, also die Filialen des Paketdiensts UPS. In Europa waren bisher keine vergleichbaren Fälle bekannt.

Der Gründer und CEO von Netzwerk-Sicherheitsanbieter iboss, Paul Martini, kommentierte gegenüber ZDNet.com: „Diese erneute große Fall von Datendiebstahl erinnert uns daran, dass Cybersecurity-Systeme wahrscheinlich nicht ausreichen, um den Verlust vertraulicher Kundendaten zu verhindern. Solche Zwischenfälle ereignen ich immer öfter, und viele Computersysteme sind für moderne, raffinierte Datendiebstahlsverfahren anfällig. Firmen müssen in Post-Infection-Software investieren, die solche Sicherheitspannen schnell erkennt, um den Diebstahl wertvoller Informationen zu verhindern.“

Das Heimatschutzministerium der USA gab im August 2014 eine Sicherheitsmeldung zu einer Malware namens Backoff heraus. Sie wurde seit Ende 2013 in drei Fällen auf Kassensystemen gefunden. Laut dem im Ministerium angesiedelten US Computer Emergency Readiness Team (US-CERT) wird sie von kaum einer Virenerkennung oder anderen Sicherheitssoftware entdeckt. Ob auch die Hotelkette von einer Backoff-Variante getroffen wurde, ist aber reine Spekulation.

[mit Material von Charlie Osborne, ZDNet.com]

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de