Die Hotelkette Marriott gehörte zu den ersten Unternehmen, die nach Inkrafttreten der DSGVO ein hohes Datenschutz-Bußgeld bezahlen musste. Im Juli 2019 wurde von der britischen Datenschutzbehörde ICO ein Bußgeld in Höhe von 110.390.200 Euro angeordnet, das allerdings im Oktober 2020 auf „nur“ 20,4 Mio. Euro herabgesetzt wurde. Bereits 2018 war es Unbekannten gelungen, durch einen Cybervorfall in die IT-Systeme von Marriott einzudringen und die Daten von mehr als 500 Mio. Kunden abzugreifen. Marriott hatte bei der Übernahme der Starwood-Hotelgruppe die Sorgfaltspflicht verletzt und Schwachstellen in den Systemen übersehen. Zudem hatte die Hotelkette den Vorfall erst stark verspätet im November 2018 bei der Datenschutzbehörde gemeldet.

Eineinhalb Jahre später hatte es ein weiteres Datenleck gegeben, bei dem mutmaßlich weitere 5,2 Mio. Hotelgäste betroffen gewesen waren.

Nun wurde im Juli 2022 ein weiteres Datenleck bei Marriott bestätigt. Im Juni hatte es in einem US-Flughafenhotel einen Vorfall von Social Engineering gegeben, bei dem sich ein Unbekannter über eine gutgläubige Hotelmitarbeiterin Zugriff auf einen Hotelcomputer und die angeschlossenen Server ermöglicht hatte. Dabei wurden 20 GB Kundendaten gestohlen. Unter den Daten waren vertrauliche Geschäftsunterlagen und Zahlungsinformationen der Kunden. Die Kriminellen hatten im Nachgang versucht Marriott mit den Daten zur Zahlung eines Lösegeldes zu erpressen, worauf das Unternehmen allerdings nicht einging. Laut der Marriott-Sprecherin hätten die Kriminellen keinen Zugriff auf das Kernnetzwerk der Hotelkette gehabt, sondern „nur“ auf die Daten des betroffenen Hotels. Marriott hatte die Strafverfolgungsbehörden ebenfalls eingeschaltet und gab an, die betroffenen Personen (zwischen 300 und 400 Gäste) über den Vorfall informieren zu wollen. Abschließend bleibt wohl nur zu hoffen, dass die Hotelkette das Thema „Social Engineering“ auf die Agenda der nächsten Mitarbeiterschulungen setzt.

Quellenangabe:

  • Artikel „Wieder Datenleck bei Hotelkette Marriott: Firmen- und Kundendaten kompromittiert“, abgerufen am 27.07.2022 unter https://www.heise.de/news/Wieder-Datenleck-bei-Hotelkette-Marriot-Firmen-und-Kundendaten-kompromittiert-7164705.html?wt_mc=nl.red.ho.ho-nl-daily.2022-07-07.ansprache.ansprache