Hotelkonzern Marriott: Unbekannte erbeuten Daten von 500 Millionen Gästen

Der weltgrößte Hotelkonzern Marriott hat gemeldet, dass Unbekannte schon länger Zugriff auf die Reservierungsdatenbank des Tochterunternehmens Starwood hatten und unberechtigt an die Daten von einer halben Milliarde Gäste gelangten. Neben persönlichen Daten wurden dabei teilweise auch Kreditkarteninformationen entwendet.

„Dieser Hackerangriff hat das Potenzial, zum zweitgrößten Datenleck der Geschichte – direkt nach dem massiven Hackerangriff auf Yahoo im Jahr 2013 mit drei Milliarden betroffenen Nutzerkonten – zu werden“, kommentiert Adam Brown, Manager Security Solutions bei Synopsys. „Unter den bislang bekannten 327 Millionen betroffenen Hotelgästen werden viele EU-Bürger sein. Diese Tatsache könnte empfindliche Sanktionen gemäß DSGVO nach sich ziehen.“

Wie aus einer Meldung Marriots an die US-Börsenaufsicht SEC hervorgeht, begannen die Zugriffe schon im Jahr 2014, wurden aber jahrelang nicht bemerkt. Erst am 8. September 2018 habe ein internes Sicherheitstool auf einen versuchten Zugriff aufmerksam gemacht, woraufhin Marriott führende Sicherheitsexperten mit einer Untersuchung beauftragte. Das Unternehmen habe inzwischen in Erfahrung gebracht, dass unbefugte Dritte Informationen in erheblichem Umfang abgegriffen und ihrerseits in einer verschlüsselten Datenbank gespeichert hätten. Nachdem diese entdeckt und entschlüsselt wurde, stand dann am 19. November 2018 fest, dass die entwendeten Daten aus der Reservierungsdatenbank von Starwood stammten.

Starwood wurde 2016 von Marriott übernommen und betreibt Hotels und Resorts der Oberklasse. Diese firmieren unter Marken wie W Hotels, St. Regis, Sheraton Hotels & Resorts, Westin Hotels & Resorts, Element Hotels, Aloft Hotels, The Luxury Collection, Tribute Portfolio, Le Méridien Hotels & Resorts, Four Points by Sheraton and Design Hotels. Die Marriott-Hotels selbst sollen von dem Hackerangriff nicht betroffen sein, da sie nicht mit derselben Reservierungsdatenbank arbeiten.

Laut Marriott wurden nach bisheriger Kenntnis von 327 Millionen Starwood-Gästen Informationen wie Namen, Postadresse, Telefonnummer, E-Mail-Adresse, Nummer des Reisepasses, Starwood-Kontoinformationen, Aufenthaltszeiten und mehr entwendet. Für manche Gäste seien auch Kreditkartendaten gestohlen worden – Marriott nannte aber nicht ihre Zahl.

„Bei manchen schlossen die Informationen auch Kartennummern und die Ablaufdaten der Bezahlkarten ein, aber die Kartennummern waren mit Advanced Encryption Standard (AES-128) verschlüsselt“, heißt es dazu in der SEC-Meldung. „Es sind zwei Komponenten erforderlich, um die Nummern der Bezahlkarten zu entschlüsseln, und zu diesem Zeitpunkt kann Marriott nicht ausschließen, das beide entwendet wurden.“

„Dass die betroffenen Daten teilweise verschlüsselt waren, bietet keinerlei Schutz, da die Hacker vermutlich auch die zur Entschlüsselung notwendigen Daten abgegriffen haben“, merkt Adam Brown von der Sicherheitsfirma Synopsys dazu an. „Dies kann entweder auf eine unsichere Schlüsselspeicherung oder die Verwendung ungeeigneter Verschlüsselungsmechanismen zurückzuführen sein. Um zu verhindern, dass ein Datenklau über Jahre hinweg unerkannt bleibt, sollten Firmen und Organisationen eine Protokollierung und Überwachung solcher Daten gemäß OWASP Top 10 durchführen.“

Bei weiteren Hotelgästen bis zu insgesamt rund 500 Millionen wurden Marriott zufolge Einzelinformationen wie Namen und Adressen abgegriffen. Der Hotelkonzern hat damit begonnen, alle betroffenen Gäste per E-Mail zu informieren. Außerdem wurde mit info.starwoodhotels.com eine Website mit weiteren Informationen eingerichtet.

Der Hotelkonzern hat Ermittlungsbehörden eingeschaltet und kündigte die Abwicklung der offenbar veralteten Starwood-Systeme an. Starwood erlitt schon 2015 und erneut 2016 Datenverluste durch Malware-Infektionen seiner Bezahlsysteme. In diesem Zeitraum bestätigte auch Hilton Worldwide, dass dass Malware in Bezahlsystemen seiner weltweiten Hotelketten Kreditkartendaten erbeutete.