Datenverlust kostet Marriott wahrscheinlich mehrere Milliarden Dollar

Die Offenlegung des Hackerangriffs, bei dem Daten von bis zu 500 Millionen Gästen kompromittiert wurden, wird die Hotelkette Marriott in den kommenden Jahren wahrscheinlich mehrere Milliarden Dollar kosten. Das legt eine erst kürzlich veröffentlichte Studie nahe, die das Ponemon Institute im Auftrag von IBM ausgeführt hat. Sie schätzt die Ausgaben für den Verlust von 50 Millionen Daten auf bereits 350 Millionen Dollar.

Hackerangriffe führen der Studie zufolge zu zusätzlichen Ausgaben für Technologien und Sicherheit und zu steigenden Rechts- und Beratungskosten. Sie basiert auf tatsächlichen finanziellen Belastungen, die elf Unternehmen nach „Mega-Datenverlusten“ in den vergangenen zwei Jahren entstanden sind.

Berücksichtigt wurden auch Kosten durch entgangene Geschäfte und die Abwanderung von Kunden, sowie Kosten für deren Zurückgewinnung. Schwer zu beurteilen ist jedoch im Fall Marriott, inwieweit Nutzer anhand der großen Verbreitung der Marriott- und Starwood-Hotels überhaupt in der Lage sind, dem Unternehmen konsequent den Rücken zu kehren.

Trotzdem ergibt sich laut der Studie im schlimmsten Fall eine Mehrbelastung von 3,5 Milliarden Dollar bei 500 Millionen betroffenen Verbrauchern. Liegt die Zahl der Betroffenen eher im Bereich von 300 Millionen, käme immerhin noch ein Betrag von rund 2,1 Milliarden Dollar auf die Hotelkette zu. Durchschnittlich nehmen IBM und Ponemon zudem Kosten von bis zu 148 Dollar pro gestohlenen Datensatz an, die jedoch durch Tools wie künstliche Intelligenz und ein Incident Response Team gesenkt werden können.

Eine Variable im Fall Marriott, die von der Studie nicht erfasst wurde, ist der sehr lange Zeitraum, in dem der Hackerangriff unentdeckt blieb. Immerhin war die Datenbank der Tochter Starwood seit 2014 den Cyberkriminellen zugänglich, also über einen Zeitraum von rund vier Jahren. Die Studie ermittelte indes eine durchschnittliche Zeit bis zur Aufdeckung eines Einbruchs von 197 Tagen, sowie weitere 69 Tage, bis ein Angriff eingedämmt wurde.

In einer Börsenpflichtmeldung weist Marriott auch darauf hin, dass es über eine Cyber-Risk-Versicherung verfügt. Sie decke aber möglicherweise nicht alle Verluste ab beziehungsweise gelte wahrscheinlich nicht für alle denkbaren Ansprüche, die sich aus Cyberangriffen und Sicherheitsvorfällen ergäben. Zudem betont die Hotelkette, dass künftig die Prämien für eine solche Versicherung steigen könnten und dann möglicherweise nicht mehr wirtschaftlich seien.

Einen ersten Vorgeschmack auf die tatsächlich möglichen Kosten bietet eine nur Stunden nach Offenlegung des Angriffs eingereichte Sammelklage gegen Marriott. Sie fordert für jedes Opfer umgerechnet 25 Dollar zum Ausgleich von Kosten und Schäden – was sich bei 500 Millionen Betroffenen jedoch auf 12,5 Milliarden Dollar summieren würde. Die beiden im US-Bundesstaat Oregon ansässigen Kläger sagten einer Lokalzeitung, dass die 25 Dollar ein absolutes Minimum seien als Aufwandsentschädigung beispielsweise für die Sperrung einer Kreditkarte.