Die Hotelkette Marriott gehörte zu den ersten Unternehmen, die nach Inkrafttreten der DSGVO ein hohes Datenschutz-BuĂgeld bezahlen musste. Im Juli 2019 wurde von der britischen Datenschutzbehörde ICO ein BuĂgeld in Höhe von 110.390.200 Euro angeordnet, das allerdings im Oktober 2020 auf ânurâ 20,4 Mio. Euro herabgesetzt wurde. Bereits 2018 war es Unbekannten gelungen, durch einen Cybervorfall in die IT-Systeme von Marriott einzudringen und die Daten von mehr als 500 Mio. Kunden abzugreifen. Marriott hatte bei der Ăbernahme der Starwood-Hotelgruppe die Sorgfaltspflicht verletzt und Schwachstellen in den Systemen ĂŒbersehen. Zudem hatte die Hotelkette den Vorfall erst stark verspĂ€tet im November 2018 bei der Datenschutzbehörde gemeldet.
Eineinhalb Jahre spĂ€ter hatte es ein weiteres Datenleck gegeben, bei dem mutmaĂlich weitere 5,2 Mio. HotelgĂ€ste betroffen gewesen waren.
Nun wurde im Juli 2022 ein weiteres Datenleck bei Marriott bestĂ€tigt. Im Juni hatte es in einem US-Flughafenhotel einen Vorfall von Social Engineering gegeben, bei dem sich ein Unbekannter ĂŒber eine gutglĂ€ubige Hotelmitarbeiterin Zugriff auf einen Hotelcomputer und die angeschlossenen Server ermöglicht hatte. Dabei wurden 20 GB Kundendaten gestohlen. Unter den Daten waren vertrauliche GeschĂ€ftsunterlagen und Zahlungsinformationen der Kunden. Die Kriminellen hatten im Nachgang versucht Marriott mit den Daten zur Zahlung eines Lösegeldes zu erpressen, worauf das Unternehmen allerdings nicht einging. Laut der Marriott-Sprecherin hĂ€tten die Kriminellen keinen Zugriff auf das Kernnetzwerk der Hotelkette gehabt, sondern ânurâ auf die Daten des betroffenen Hotels. Marriott hatte die Strafverfolgungsbehörden ebenfalls eingeschaltet und gab an, die betroffenen Personen (zwischen 300 und 400 GĂ€ste) ĂŒber den Vorfall informieren zu wollen. AbschlieĂend bleibt wohl nur zu hoffen, dass die Hotelkette das Thema âSocial Engineeringâ auf die Agenda der nĂ€chsten Mitarbeiterschulungen setzt.
Quellenangabe:
- Artikel „Wieder Datenleck bei Hotelkette Marriott: Firmen- und Kundendaten kompromittiert“, abgerufen am 27.07.2022 unter https://www.heise.de/news/Wieder-Datenleck-bei-Hotelkette-Marriot-Firmen-und-Kundendaten-kompromittiert-7164705.html?wt_mc=nl.red.ho.ho-nl-daily.2022-07-07.ansprache.ansprache