Kundendaten der Hotelkette Mariott entwendet – abermals Probleme in der IT-Sicherheit

Hotel Mariott Datenleck

Marriott International betreibt Hotels auf der ganzen Welt. Zur Kette gehören verschiedene Marken bis hin zu Hotels mit fünf Sternen. Die Cybersecurity ist anscheinend nicht ganz auf diesem Niveau. Wie das Unternehmen zugeben musste, gab er erneut ein Datenleck.

Ende Februar 2020 bemerkte Mariott, dass Daten über zwei Accounts von Mitarbeitern gestohlen wurden. Unbekannte nutzten Zugänge externer Franchise-Nehmer und erhielten Zugriff auf etwa 5,2 Millionen Datensätze von Kunden der Hotelkette. Die Sicherheitslücke wurde ersten Erkenntnissen zufolge bereits seit etwa Mitte Januar ausgenutzt. Das Unternehmen informierte inzwischen die zuständigen Behörden über das Datenleck. Wer hinter dem Datenklau steckt, ist bis jetzt nicht bekannt. Die betroffenen Accounts, über die der Zugang zu den internen Daten hergestellt wurde, sind bereits deaktiviert.

Zu den Daten, die entwendet wurden, zählen unter anderem Namen, Angaben zum Geschlecht und den Arbeitgebern sowie die Geburtsdaten. Auch Adressen, Telefonnummern, Mail-Adressen und weitere Kontaktdaten konnten von den Unbekannten erbeutet werden. Ebenfalls befanden sich in den Datensätzen Angaben zu spezifischen Aufenthalten in den Hotels sowie dem Treueprogramm des Unternehmens. Kritische persönliche Daten sind nach Angaben der Hotelkette hingegen nicht betroffen. So wurden keine Kreditkartendaten, Ausweisinformationen, Passwörter oder PINs entwendet.

Mariott hat die betroffenen Hotelgäste via E-Mail über den Sachverhalt und die betroffenen Daten informiert. Außerdem wurden die digitalen Kundenzugänge und Passwörter zurückgesetzt. Dies soll einen etwaigen Missbrauch individueller Zugänge verhindern. Weiterhin gibt es ein Online-Portal für Betroffene. Über diese Seite können Kunden der Hotelkette prüfen, ob ihre Daten von dem Diebstahl betroffen sind. Das Portal ist über die Adresse https://privacyportal-cdn.onetrust.com/dsarwebform/0894cd2c-85ba-4d0b-8ec1-e18f3735e0e0/33594ced-a988-47c1-97c6-37764e40d3f6.html erreichbar. Zusätzlich hat der Hotelbetreiber eine Hotline eingerichtet. Unter der Nummer 0800-6644414 gibt das Unternehmen Hilfestellungen und weitere Informationen. Der Support ist jedoch primär in englischer und französischer Sprache verfügbar. Auf Anfrage soll Gästen jedoch auch in anderen Sprachen weitergeholfen werden.

Es ist bereits das zweite Mal innerhalb relativ kurzer Zeit, dass der Hotelbetreiber von einer Sicherheitslücke im IT-System betroffen ist. Im Jahre 2018 wurde bekannt, dass Unbefugte jahrelang Zugriff auf Daten von Kunden hatten. Damals wurden etwa 340 Millionen Datensätze von Gästen kompromittiert. Im Gegensatz zu dem jetzigen Vorfall wurden damals auch kritische Daten entwendet. So gelangten Datensätze mit Kreditkarteninformationen sowie Ausweisdaten in die Hände von Kriminellen. Im Zuge der Ermittlungen wurde das Unternehmen zu einer Strafe von 99,2 Millionen Pfund, was umgerechnet etwa 110 Millionen Euro sind, verurteilt, da gegen Datenschutzgesetze verstoßen wurde. Auf das Hotel kommen jetzt eventuell weitere Rechtsverfahren und Strafzahlungen zu.