Starwood Hotels hat am Freitag einen massiven Sicherheitsvorfall in einer öffentlichen Mitteilung eingeräumt. Unbekannte verschafften sich Zugriff auf die Reservierungsdatenbank der Hotel-Kette. Bis zu 500 Millionen Kundendaten wurden dabei gestohlen. Das weltweit aktive Hotel- und Freizeitunternehmen (u.a. Marriot, Sheraton, Westin, Le Méridien) bemerkte laut eigenen Angaben das Problem am 8. September 2018 und leitete eine Untersuchung ein. Das Ergebnis der Untersuchung zeigte, dass tatsächlich die Starwood Gäste-Reservierungs-Datenbank angegriffen worden war. Betroffen seien alle Daten, die bis zum 10. September 2018 dort gespeichert waren. Außerdem zeigte die Untersuchung, dass das Problem bereits seit dem Jahr 2014 bestand. Später fand das Unternehmen verschlüsselte Informationen im Netz, die ein Unbekannter online gestellt hatte. Deren Entschlüsselung ergab am 19. November 2018, dass die Daten von der eigenen Gästedatenbank stammt.
Auch interessant: British Airways – Details zum Kundendaten-Diebstahl Aktuell noch Gegenstand der Untersuchung ist, wie viele Informationen gestohlen wurden. Man gehe aber davon aus, dass die Informationen von bis zu 500 Millionen Hotelgästen entwendet wurden, die zwischen 2014 und dem 10. September 2018 eine Reservierung bei einem Starwood-Angebot durchgeführt hatten. Zu den entwendeten Daten zählen unter anderem die Namen, Mail-Adressen, Geburtsdaten, Adressen, Pass-Nummern, Reisedaten, Telefonnummern und weitere Daten. Ebenfalls entwendet wurden in vielen Fällen die Kreditkartennummern und die Ablaufdaten der Kreditkarten. Die Kreditkartennummern seien zwar per AES-128 verschlüsselt gewesen, allerdings können nicht ausgeschlossen werden, dass auch die zur Entschlüsselung der Kreditkarteninformationen notwendigen Daten entwendet wurden. Starwood Hotels / Marriott arbeitet mit den Ermittlungsbehörden zusammen, um die Täter zu ermitteln. Die betroffenen Kunden werden außerdem ab heute mit einer Mail über den Vorfall informiert. Gemeinsam mit Sicherheitsexperten wurde außerdem die Website info.starwoodhotels.com eingerichtet. Hier finden Kunden alle Informationen zu dem Vorfall. Betroffene Kunden aus den USA, Großbritannien und Kanada können hier auch kostenlos einen Sicherheitsdienst aktivieren, der sie (auch finanziell) vor einen Missbrauch ihrer gestohlenen Daten schützt. Dieser Dienst könne allerdings aus rechtlichen und regulatorischen Gründen nicht allen Kunden weltweit angeboten werden.
Die Tatsache, dass auch Europäer von dem Vorfall betroffen sind, dürfte dafür sorgen, dass dem Unternehmen eine saftige Geldstrafe wegen eines Verstoßes gegen die DSGVO-Regeln blüht. Die Maximalstrafe liegt bei 20 Millionen oder bei 4 Prozent des insgesamt weltweit erzielten Jahresumsatzes im vergangenen Geschäftsjahr, je nachdem, welcher Wert höher liegt.