Hotelkonzern Marriott räumt Verlust von unverschlüsselten Personalausweisnummern ein

Die Hotelkette Marriott hat die Angaben zu dem Ende November öffentlich gemachten Hackerangriff auf die Konzerntochter Starwood aktualisiert. Statt 500 Millionen sollen nun weniger als 383 Millionen Gäste von dem Vorfall betroffen sein. Allerdings stellte das Unternehmen bei seiner Untersuchung auch fest, dass ungefähr 5,25 Millionen Ausweisnummern unverschlüsselt gespeichert waren und somit den Angreifern im Klartext in die Hände fielen.

Wie viele unterschiedliche Gäste tatsächlich betroffen sind, lässt sich laut Marriott nicht ermitteln. Der Hotelkonzern geht davon aus, dass eine nicht unerhebliche Zahl von Gästen mehrfach in der Reservierungsdatenbank hinterlegt war.

Außerdem erbeuteten die Hacker neben den 5,25 Millionen unverschlüsselten Ausweisnummern auch 20,3 Millionen verschlüsselte Ausweisnummern. „Es gibt keine Hinweise darauf, dass die unbefugten Dritten auf den für die Entschlüsselung benötigten Master-Schlüssel zugegriffen haben“, heißt es in einer aktuellen Börsenpflichtmeldung von Marriott. Die Formulierung legt allerdings die Vermutung nahe, dass der Schlüssel zumindest in Reichweite der Angreifer war.

Gäste, die befürchten, dass ihre Ausweisnummer kompromittiert wurde, können sich in Kürze über die Call Center des Unternehmens informieren, ob ihre Ausweisdaten tatsächlich unverschlüsselt gespeichert wurden. Sobald der Service eingerichtet ist, soll er auch auf der speziell für Opfer des Hackerangriffs eingerichteten Website info.starwoodhotels.com angeboten werden.

Das Update enthält außerdem erstmals eine Zahl zu gestohlenen Kreditkartendaten. Ungefähr 8,6 Millionen Daten – laut Marriott alle verschlüsselt – von Kreditkarten von Hotelgästen waren in der geknackten Reservierungsdatenbank hinterlegt. Allerdings sollen im September 2018 nur 354.000 Kreditkarten gültig gewesen sein. Auch hier fand Marriott keine Beweise dafür, dass die für die Entschlüsselung benötigten Informationen ebenfalls entwendet wurden. Allerdings schließt Marriott nicht aus, dass Bezahldaten versehentlich in nicht dafür vorgesehen Felder der Reservierungsdatenbank eingetragen wurden – die folglich auch nicht verschlüsselt wurden. Nach ersten Schätzungen könnte dies auf rund 2000 Gäste zutreffen.

Der Datenverlust ist die Folge eines Hackerangriffs, mit dem sich Unbekannte zwischen 2014 und September 2018 den Zugriff auf die Reservierungsdatenbank von Starwood gesichert hatten. Erst am 8. September 2018 machte ein internes Sicherheitstool auf einen versuchten Zugriff aufmerksam, woraufhin Sicherheitsexperten mit einer Untersuchung beauftragt wurden. Die betroffene Reservierungsdatenbank wurde inzwischen vollständig abgeschaltet – Starwood benutzt inzwischen das von der Attacke nicht betroffene Reservierungssystem der Marriott-Kette.

HIGHLIGHT

Report: State of Digital Transformation EMEA 2019

Zu den größten Hürden der digitalen Transformation zählen der mobile Zugriff auf Unternehmensdaten und Anwendungen, die Nutzung unsicherer Netzwerke und nicht verwalteter Geräte. Das geht aus dem Report „State of Digital Transformation EMEA 2019“ von Zscaler hervor. Jetzt den vollständigen Report herunterladen!

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

6 Stunden ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

10 Stunden ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

11 Stunden ago

Lags beim Online-Gaming? DSL-Vergleich und andere Tipps schaffen Abhilfe

Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…

12 Stunden ago

GenKI-Fortbildung immer noch Mangelware

Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…

12 Stunden ago

Netzwerk-Portfolio für das KI-Zeitalter

Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…

14 Stunden ago