Hacker hatten vier Jahre lang unentdeckten Zugriff auf Starwood-Reservierungssystem
Hacker verschafften sich 2014 Zugang zum Reservierungssystem der Hotelkette Starwood, einer Tochtergesellschaft von Marriott International, und konnten dort vier Jahre lang unentdeckt sensible Daten von rund 500 Millionen Hotelgästen abgreifen. Die kompromittierten Informationen umfassen hochsensible persönliche Daten wie Passnummern, Kreditkarteninformationen und Adressen – ein beispielloser Fall von Cyberkriminalität in der Hotelbranche.
Betroffen sind Gäste der zur Starwood-Gruppe gehörenden Luxushotels und Hotelketten, darunter W Hotels, St. Regis, Sheraton und Westin. Die schiere Größe des Datenleck und die lange Dauer des unentdeckten Zugriffs machen diesen Vorfall zu einem der schwerwiegendsten Fälle von Datendiebstahl in der Geschichte der Tourismusbranche.
Die Liste der kompromittierten Informationen liest sich wie ein Albtraum für Datenschützer: Namen, vollständige Postadressen, Reisepass- und Personalausweisnummern, Geburtsdaten, E-Mail-Adressen sowie Kreditkarteninformationen landeten in den Händen der Cyberkriminellen. Besonders brisant: Obwohl die Kreditkartendaten verschlüsselt waren, besteht die Möglichkeit, dass die Hacker auch Zugriff auf die entsprechenden Entschlüsselungsschlüssel erlangten.
Beginn des Hackerangriffs
Unbekannte Hacker verschaffen sich erstmals Zugang zum Reservierungssystem von Starwood Hotels
Bekanntgabe des Datenlecks
Marriott informiert die Öffentlichkeit über den massiven Datendiebstahl, der 500 Millionen Hotelgäste betrifft
Marriott konnte nach eigenen Angaben nicht eindeutig bestätigen, ob es den Angreifern tatsächlich gelungen ist, die Kreditkarteninformationen zu entschlüsseln. Diese Unsicherheit verschärft die Situation für die betroffenen Hotelgäste zusätzlich, da unklar bleibt, ob ihre Zahlungsinformationen nun für Identitätsdiebstahl oder Kreditkartenbetrug missbraucht werden können.
Dass die Hacker sich vier Jahre lang praktisch ungestört in den Systemen bewegen konnten, wirft ernste Fragen über die IT-Sicherheitsmaßnahmen der Hotelkette auf. Die lange Zeit der Unentdecktheit deutet auf gravierende Schwachstellen in den Überwachungs- und Sicherheitssystemen von Marriott und Starwood hin.
Beobachter merken kritisch an, dass Marriott die Enthüllung des Datenlecks an einem Freitag bekanntgab – eine in der Unternehmenskommunikation bekannte Taktik, um die Medienberichterstattung zu minimieren, da wichtige Nachrichten am Wochenende typischerweise weniger Aufmerksamkeit erhalten.
Zum Zeitpunkt der Bekanntgabe blieben mehrere zentrale Fragen ungeklärt: Wer steckt hinter dem Angriff? Welche Behörden ermitteln? Mit welchen rechtlichen und finanziellen Konsequenzen muss Marriott rechnen? Und wie haben Datenschutzbehörden und Aufsichtsorgane auf den Vorfall reagiert?
Die fehlenden Informationen über die Täter und den genauen Zeitpunkt der Entdeckung erschweren eine vollständige Bewertung des Falls. Klar ist jedoch: Für die betroffenen 500 Millionen Hotelgäste bedeutet dieser Vorfall ein erhebliches Risiko für ihre Privatsphäre und finanzielle Sicherheit.
Der Fall unterstreicht einmal mehr die Verwundbarkeit großer Unternehmen gegenüber professionellen Cyberangriffen und die potentiell verheerenden Folgen unzureichender IT-Sicherheit in einer zunehmend digitalisierten Welt.