Motel One: Hacker veröffentlichten große Menge interner Daten der Hotelkette

Motel One soll Zahlung von Ransomware-Lösegeld abgelehnt haben

[datensicherheit.de, 11.10.2023] Kriminelle Hacker sollen laut Medienberichten eine große Menge interner Daten der Hotelkette Motel One veröffentlicht haben – darunter umfangreiche Übernachtungslisten der vergangenen Jahre mit Millionen von Namen, einschließlich des Hotelgründers, Dieter Müller. Motel One gilt als eine der größten Hotelketten Europas. Nun wurde diese Opfer einer Ransomware-Attacke, bei der die Hacker versucht haben sollen, Geld zu erpressen. Die Hacker-Gruppe „ALPHV“ veröffentlichte demnach die erbeuteten Daten im sogenannten Darknet – darunter etwa 24 Millionen Dateien und etwa sechs Terabyte an Informationen, darunter Text- und Datenbankdateien, „Excel“-Tabellen und PDF-Dateien. Die Verbraucherkanzlei Dr. Stoll & Sauer rät nach eigenen Angaben Verbrauchern generell, die möglicherweise Opfer eines Datenlecks geworden sind, zur kostenlosen Erstberatung im Online-Check.

Ransomware-Angriffe nehmen derzeit zu – Motel One nur ein Beispiel

MotelOne habe den Vorfall nach einem Bericht der „Süddeutschen Zeitung“ vom 6. Oktober 2023 gemeinsam mit IT-Sicherheitsexperten untersucht und am 30. September 2023 öffentlich bestätigt, Ziel eines Hacker-Angriffs gewesen zu sein.

Die Hacker hätten Adressdaten von Kunden und Kreditkartendaten abgegriffen. Das Unternehmen habe aber betont, dass der Geschäftsbetrieb zu keinem Zeitpunkt gefährdet gewesen sei.

Hacker-Gruppe ALPHV soll sich zu Angriff auf Motel One bekannt haben

Die Kanzlei Dr. Stoll & Sauer fasst zusammen, was über das Datenleck bei Motel One bisher bekannt ist:

• Die Hacker-Gruppe „ALPHV“, welche sich zu diesem Angriff bekannt habe, „verlangte von Motel One ein Lösegeld in Höhe von 50 Millionen Euro“. Motel One habe die Zahlung des Lösegelds aber abgelehnt – weshalb daraufhin die Daten im Darknet veröffentlicht worden und nun frei zugänglich seien.
• Unter den gehackten Daten sollen sich fast vollständige Listen zu den Übernachtungen, Rechnungsadressen, Geburtsdaten der Kunden, interne Geschäftszahlen, Mobilnummern der Angestellten befinden. Betroffen seien Daten teilweise bis ins Jahr 2016 zurück. Dies betreffe hauptsächlich die Übernachtungslisten. Die betroffenen Daten stammen laut Motel One von Gästen aus den Jahren 2016 bis 2023. Die Daten von Mitarbeitern seien offenbar aus den Jahren 2019 bis 2023. „Warum Motel One diese Listen so lang speichert, ist bislang unbekannt.“
• Die Tragweite des Datenlecks könnte erheblich sein, da es potenziell Millionen Menschen betreffe, „die in den vergangenen acht Jahren in einem Motel One übernachtet haben“. Die veröffentlichten Listen enthielten Namen, Aufenthaltsdaten und Zimmernummern, was es Dritten ermögliche, detaillierte Reiseprofile zu erstellen. „Nicht jeder will seine Daten über Reisen veröffentlicht wissen.“ Bei Geschäftsverbindungen könne dies ebenso kompromittierend sein wie bei privaten Reisen.
• Ransomware-Angriffe seien ein wachsendes Problem – und Motel One sei nicht das einzige betroffende Unternehmen. Die Erpresser professionalisierten sich – und die Dunkelziffer solcher Vorfälle sei hoch. Motel One plane einen Börsengang in den nächsten Jahren und habe einen erheblichen Unternehmenswert, einschließlich der Immobilientochter. „Da wollte sich die Hacker-Gruppe offensichtlich bedienen.“
• Das Ausmaß des Datenlecks werfe Fragen zur internen IT-Sicherheit von Motel One auf – und es gebe laut „Süddeutscher Zeitung“ Hinweise darauf, dass ein Computer am Standort Ulm als Einfallstor für die Hacker gedient haben könnte. „Es scheint, als ob Motel One verbesserungswürdige IT-Sicherheitspraktiken hatte, da Passwörter für Hotel-Systeme in den veröffentlichten Daten gefunden wurden.“
• Motel One habe Strafanzeige gestellt und arbeite mit Datenschutzbehörden und IT-Sicherheitsexperten zusammen, um den Vorfall zu untersuchen. Es gebe jedoch noch viele offene Fragen, und das Ausmaß des Schadens sei noch nicht vollständig bekannt.

Was das Datenleck bei Motel One für betroffene Verbraucher bedeutet:

Dieser Hacker-Angriff sei ein ernstzunehmender Vorfall nicht nur für Motel One, sondern vor allem für die Verbraucher. Das Datenschutzrecht gebe Betroffenen mehrere Möglichkeiten an die Hand zu reagieren:

• Die EU-Datenschutzgrundverordnung (DSGVO) schreibe vor, dass Betroffene eines Datenlecks informiert werden müssten, insbesondere bei hohen Risiken. Betroffene hätten auch das Recht auf Schadenersatz, „wenn ihnen durch einen DSGVO-Verstoß ein materieller oder immaterieller Schaden entstanden ist“.
• Motel One habe nach eigenen Angaben alle betroffenen Kunden und Mitarbeiter informiert. Das Unternehmen habe auch Maßnahmen ergriffen, um die Sicherheit der Daten zu erhöhen.
• Motel One werde von einigen Seiten kritisiert, weil das Unternehmen den Hacker-Angriff erst drei Wochen nach Bekanntwerden des Datenlecks öffentlich gemacht habe.
• Betroffene Kunden sollten ihre Kreditkartendaten sperren und eine neue Karte beantragen. Außerdem sollten sie ihre Passwörter für Online-Konten ändern, „die mit dem Motel-One-Konto verknüpft sind“.
• Kunden, deren Kreditkartendaten gestohlen wurden, sollten sich auch bei ihrer Bank melden und eine Sperrung der Karte beantragen. „Außerdem sollten sie ihre Bankkonten auf ungewöhnliche Aktivitäten überprüfen.“
• Die gestohlenen Daten könnten von Kriminellen für verschiedene Zwecke missbraucht werden: So könnten sie zum Beispiel für Identitätsdiebstahl, Phishing-Angriffe oder Online-Betrug genutzt werden.

Sollte Motel One gegen datenschutzrechtliche Bestimmungen verstoßen haben, könnten Betroffene Schadensersatzansprüche erheben

Fazit der Kanzlei Dr. Stoll & Sauer: „Das Datenleck bei Motel One ist für betroffene Verbraucher eine ernste Angelegenheit.“ Sensible personenbezogene Daten seien für jedermann einsehbar. Dieser Kontrollverlust über die eigenen Daten könne einen immateriellen Schaden darstellen. „Hat Motel One gegen datenschutzrechtliche Bestimmungen verstoßen, so können Betroffene Ansprüche auf Schadensersatz erfolgreich geltend machen.“ Laut EuGH-Urteil vom 4. Mai 2023 (Az.: C-300/21) bestünden Ansprüche auf Schadensersatz nur dann, „wenn durch einen Verstoß gegen die Datenschutzgrundverordnung (DSGVO) ein materieller oder immaterieller Schaden entstanden ist“.

Betroffene Nutzer sollten sich generell über die möglichen Folgen eines Datenlecks im Klaren sein und entsprechende Maßnahmen ergreifen, um sich beispielsweise vor Phishing-Angriffen zu schützen. Mit Hilfe kombinierter Informationen aus anderen Datenlecks könnten Cyber-Kriminelle gezielte Phishing-Angriffe gegen Verbraucher initiieren. Dr. Stoll & Sauer rät Verbrauchern, die möglicherweise Opfer eines Datenlecks wie bei Motel One geworden sind, zur kostenlosen Erstberatung im Online-Check. „Hier prüft die Kanzlei auch die mögliche Betroffenheit von Verbrauchern.“

Tipps für Opfer einer Phishing-Attacke ggf. in Folge des Angriffs auf Motel One:

Phishing bleibe eine beliebte Betrugsmasche unter Cyber-Kriminellen und scheine ein lukratives kriminelles Geschäftsmodell zu sein. Im April 2023 habe das LKA Niedersachsen beispielsweise vor Phishing-SMS und -E-Mails gewarnt, „die Opfer mit angeblichen Zollgebühren lockten“. Falls Verbraucher Opfer einer Phishing-Mail geworden sind, sollten sie folgende Maßnahmen ergreifen:

• Sofort sollten die Zugangsdaten für Online-Bankgeschäfte geändert werden.
• Die betroffene Bank sollte sofort informiert werden, damit weitere Schäden verhindert werden können.
• Die entsprechende Phishing-Mail sollte nicht gelöscht werden, sondern als Beweismittel gesichert und an die Bank weitergeleitet werden.
• Unbedingt Strafanzeige erstatten.

Weitere Informationen zum Thema:

Süddeutsche Zeitung, 10.10.2023
Nach Hacker-Angriff: Motel-One-Kunden sollten wachsam sein

Süddeutsche Zeitung, 09.10.2023
Motel One / Wie man einen Hack auf gar keinen Fall kommunizieren sollte

Süddeutsche Zeitung, 07.10.2023
Etliche Motel-One-Kundendaten im Darknet veröffentlicht

Dr. Stoll & Sauer, 04.05.2023
Gericht bejaht Ansprüche auf Schadensersatz bei DSGVO-Verstoß / EuGH stärkt Verbraucherrechte beim Datenschutz