Hotelkonzern Marriott räumt Verlust von unverschlüsselten Personalausweisnummern ein

Die Hotelkette Marriott hat die Angaben zu dem Ende November öffentlich gemachten Hackerangriff auf die Konzerntochter Starwood aktualisiert. Statt 500 Millionen sollen nun weniger als 383 Millionen Gäste von dem Vorfall betroffen sein. Allerdings stellte das Unternehmen bei seiner Untersuchung auch fest, dass ungefähr 5,25 Millionen Ausweisnummern unverschlüsselt gespeichert waren und somit den Angreifern im Klartext in die Hände fielen.

Wie viele unterschiedliche Gäste tatsächlich betroffen sind, lässt sich laut Marriott nicht ermitteln. Der Hotelkonzern geht davon aus, dass eine nicht unerhebliche Zahl von Gästen mehrfach in der Reservierungsdatenbank hinterlegt war.

Außerdem erbeuteten die Hacker neben den 5,25 Millionen unverschlüsselten Ausweisnummern auch 20,3 Millionen verschlüsselte Ausweisnummern. „Es gibt keine Hinweise darauf, dass die unbefugten Dritten auf den für die Entschlüsselung benötigten Master-Schlüssel zugegriffen haben“, heißt es in einer aktuellen Börsenpflichtmeldung von Marriott. Die Formulierung legt allerdings die Vermutung nahe, dass der Schlüssel zumindest in Reichweite der Angreifer war.

Gäste, die befürchten, dass ihre Ausweisnummer kompromittiert wurde, können sich in Kürze über die Call Center des Unternehmens informieren, ob ihre Ausweisdaten tatsächlich unverschlüsselt gespeichert wurden. Sobald der Service eingerichtet ist, soll er auch auf der speziell für Opfer des Hackerangriffs eingerichteten Website info.starwoodhotels.com angeboten werden.

Das Update enthält außerdem erstmals eine Zahl zu gestohlenen Kreditkartendaten. Ungefähr 8,6 Millionen Daten – laut Marriott alle verschlüsselt – von Kreditkarten von Hotelgästen waren in der geknackten Reservierungsdatenbank hinterlegt. Allerdings sollen im September 2018 nur 354.000 Kreditkarten gültig gewesen sein. Auch hier fand Marriott keine Beweise dafür, dass die für die Entschlüsselung benötigten Informationen ebenfalls entwendet wurden. Allerdings schließt Marriott nicht aus, dass Bezahldaten versehentlich in nicht dafür vorgesehen Felder der Reservierungsdatenbank eingetragen wurden – die folglich auch nicht verschlüsselt wurden. Nach ersten Schätzungen könnte dies auf rund 2000 Gäste zutreffen.

Der Datenverlust ist die Folge eines Hackerangriffs, mit dem sich Unbekannte zwischen 2014 und September 2018 den Zugriff auf die Reservierungsdatenbank von Starwood gesichert hatten. Erst am 8. September 2018 machte ein internes Sicherheitstool auf einen versuchten Zugriff aufmerksam, woraufhin Sicherheitsexperten mit einer Untersuchung beauftragt wurden. Die betroffene Reservierungsdatenbank wurde inzwischen vollständig abgeschaltet – Starwood benutzt inzwischen das von der Attacke nicht betroffene Reservierungssystem der Marriott-Kette.