Marriott: Erster Mega-Datendiebstahl der DSGVO-Ära

Offenbar lieber Geld in Werbung investiert als in den Schutz höchstsensibler Kundendaten

[datensicherheit.de, 30.11.2018] Thomas Ehrlich, „Country Manager DACH“ von Varonis, kommentiert die „unglaubliche Zahl von bis zu 500 Millionen Kundendaten“, welche der Hotelkette Marriott offensichtlich gestohlen worden sind. Eine halbe Milliarde Menschen sei nun in der misslichen Situation, u.a. ihre Kreditkartenabrechnungen überprüfen zu müssen. Er kritisiert den langen zeitlichen Vorlauf: „Zügige Aufklärung sieht in aller Regel anders aus.“

Weiteren Betrugsfällen Tür und Tor geöffnet

Ehrlich: „Die unglaubliche Zahl von bis zu 500 Millionen Kundendaten (einschließlich Namen, E-Mail-Adressen, Anschriften, Passnummern, Geburtsdatum und Aufenthaltszeitraum) sind der Hotelkette Marriott gestohlen worden.“
Eine halbe Milliarde Menschen sei nun also in der misslichen Situation, ihre Kreditkartenabrechnungen zu überprüfen, wobei das wahrscheinlich noch der unproblematischste Aspekt des Datendiebstahls sei: Eine Kreditkarte könne man kündigen, die Passnummer oder seine Adresse ließen sich nicht ohne Weiteres ändern, vom Geburtsdatum ganz abgesehen.
„All diese Informationen in den Händen Krimineller öffneten Tür und Tor für weitere Betrugsfälle, etwa durch gezieltes Spear Phishing“, warnt Ehrlich.

Foto: Varonis Systems

Thomas Ehrlich, Country Manager DACH von Varonis

Millionen für Werbung statt für Datensicherheit ausgegeben

Es sei ein wenig befremdlich feststellen zu müssen, dass in Zeiten der massiven Datenschutzverletzungen große Marken zwar Millionen für Werbung und Kundenbindungsprogramme ausgäben, aber nicht das schützten, was am wichtigsten und letztlich am wertvollsten sei: die Personendaten ihrer loyalen Kunden.
Ehrlich: „Vielleicht ist es nun auch an der Zeit, dass die DSGVO ihre Zähne zeigt und die Verantwortlichen genau prüfen, was passiert ist und ob Marriott nicht nur alles getan hat, um den Vorfall zu vermeiden (spontan ist man versucht zu sagen: nein), sondern ob auch die Meldefristen eingehalten wurden.“ Die erste Alarmierung datiere vom 8. September 2018, woraufhin festgestellt worden sei, dass bereits seit 2014 unbefugter Zugriff auf das System bestanden habe. „Erst am 19. November konnten die Daten entschlüsselt und damit das Ausmaß erkannt werden. Und wiederum elf Tage später wurde die Öffentlichkeit informiert“, erläutert Ehrlich. Zügige Aufklärung sehe in aller Regel anders aus.

Weitere Informationen zum Thema:

datensicherheit.de, 30.11.2018
Hotelkette Marriott: Riesiges Datenleck gemeldet

datensicherheit.de, 08.09.2018
Lehren aus der Datenschutzvorfall beim Credit Bureau Equifax

datensicherheit.de, 24.07.2018
Datenleck bei Automobil-Zulieferer: Schutz von Daten jenseits der Unternehmensgrenzen

datensicherheit.de, 01.03.2018
Daten als wertvollstes Asset müssen ins Zentrum der Sicherheitsstrategie gestellt werden