[datensicherheit.de, 06.12.2023] „Jüngste Ereignisse aus der Cybercrime-Welt zeigen, dass die Übeltäter nicht nur über technisches Know-how verfügen, sondern auch über ein grundlegendes Verständnis für die Regulierung von Cyber-Verbrechen. Sie wissen, an welche Unternehmen sie sich halten müssen und nutzen dieses Wissen auch, um noch raffiniertere Cyber-Angriffe zu starten“, so Dr. Martin J. Krämer, „Security Awareness Advocate“ bei KnowBe4, in seiner aktuellen Stellungnahme.

Foto: KnowBe4

Dr. Martin J. Krämer: Die SEC verlangt von Unternehmen die Offenlegung von Art, Umfang und Zeitpunkt eines Cyber-Angriffs sowie dessen mögliche Auswirkungen!

Zusätzlicher Druck auf Ransomware-Opfer: Lösegeldforderung mit 24-Stunden-Ultimatum

Seit dem 26. Juli 2023 schreibe die US-amerikanische Börsenaufsicht SEC vor, dass börsennotierte Unternehmen bedeutende Cyber-Vorfälle innerhalb von vier Tagen melden müssten. Dr. Krämer erläutert: „Diese Vorschrift der SEC verlangt von Unternehmen die Offenlegung von Art, Umfang und Zeitpunkt eines Cyber-Angriffs sowie dessen mögliche Auswirkungen.“

Und genau dies machten sich nun Cybercrime-Gruppierungen wie „BlackCat („ALPHV“) zunutze, wie sich in einem kürzlichen Angriff dieser Ransomware-Gruppe gezeigt habe. „Am 7. November behaupteten sie, sensible Daten entwendet zu haben, was gemäß den SEC-Vorschriften eine Meldung bis zum 11. November erforderlich machte. Um zusätzlichen Druck auf die Opfer auszuüben, gab es für die Lösegeldzahlung ein 24-Stunden-Ultimatum“, berichtet Dr. Krämer,

Ransomware-Gruppe BlackCat berüchtigt für ihre dreifache Erpressung

In Deutschland seien vor allem Betreiber Kritischer Infrastrukturen (Kritis) dazu angehalten, den Vorfall innerhalb einer Frist an das BSI zu melden. Zudem erfordere die DSGVO die Meldung des Verlustes von personenbezogenen Daten innerhalb von 72 Stunden. Die Behörden hätten dazu eine Vielzahl an Dokumenten und Handreichungen erstellt, damit sich betroffene Organisationen grundlegend informieren könnten, welche Informationen bis zu welchem Zeitpunkt übermittelt werden müssen.

Bereits bekannt sei die Gruppe „BlackCat“ vor allem für ihre dreifachen Erpressungsmethoden, welche von Verschlüsselungs- und DoS-Angriffen bis hin zu Datendiebstahl und der Androhung öffentlicher Bloßstellung reichten. Die neu erdachte Methode, im Namen ihrer Opfer Berichte bei der SEC einzureichen, zeige eine ganz neue Raffinesse in ihrem Repertoire der Erpressungstaktiken.

Ransomware-Gruppen werden weiterhin Bemühungen anstellen, um an das Geld ihrer Opfer zu kommen

Dr. Krämer unterstreicht abschließend: „Diese Information unterstreicht die dringende Notwendigkeit für Unternehmen, bei ihren Cyber-Sicherheitsmaßnahmen wachsam und proaktiv zu handeln, denn Ransomware-Gruppen werden weiterhin Bemühungen anstellen, um an das Geld ihrer Opfer zu kommen.“

Eine „Unze Prävention“ sei hierbei also mehr wert als ein „Pfund Heilung“. Daher sollten Unternehmen ihre Mitarbeiter entsprechend schulen und ihre Sicherheitsvorkehrungen verstärken.

Weitere Informationen zum Thema:

U.S. SECURITIES AND EXCHANGE COMMISSION, 26.07.2023
SEC Adopts Rules on Cybersecurity Risk Management, Strategy, Governance, and Incident Disclosure by Public Companies

[datensicherheit.de, 11.10.2023] Kriminelle Hacker sollen laut Medienberichten eine große Menge interner Daten der Hotelkette Motel One veröffentlicht haben – darunter umfangreiche Übernachtungslisten der vergangenen Jahre mit Millionen von Namen, einschließlich des Hotelgründers, Dieter Müller. Motel One gilt als eine der größten Hotelketten Europas. Nun wurde diese Opfer einer Ransomware-Attacke, bei der die Hacker versucht haben sollen, Geld zu erpressen. Die Hacker-Gruppe „ALPHV“ veröffentlichte demnach die erbeuteten Daten im sogenannten Darknet – darunter etwa 24 Millionen Dateien und etwa sechs Terabyte an Informationen, darunter Text- und Datenbankdateien, „Excel“-Tabellen und PDF-Dateien. Die Verbraucherkanzlei Dr. Stoll & Sauer rät nach eigenen Angaben Verbrauchern generell, die möglicherweise Opfer eines Datenlecks geworden sind, zur kostenlosen Erstberatung im Online-Check.

Ransomware-Angriffe nehmen derzeit zu – Motel One nur ein Beispiel

MotelOne habe den Vorfall nach einem Bericht der „Süddeutschen Zeitung“ vom 6. Oktober 2023 gemeinsam mit IT-Sicherheitsexperten untersucht und am 30. September 2023 öffentlich bestätigt, Ziel eines Hacker-Angriffs gewesen zu sein.

Die Hacker hätten Adressdaten von Kunden und Kreditkartendaten abgegriffen. Das Unternehmen habe aber betont, dass der Geschäftsbetrieb zu keinem Zeitpunkt gefährdet gewesen sei.

Hacker-Gruppe ALPHV soll sich zu Angriff auf Motel One bekannt haben

Die Kanzlei Dr. Stoll & Sauer fasst zusammen, was über das Datenleck bei Motel One bisher bekannt ist:

• Die Hacker-Gruppe „ALPHV“, welche sich zu diesem Angriff bekannt habe, „verlangte von Motel One ein Lösegeld in Höhe von 50 Millionen Euro“. Motel One habe die Zahlung des Lösegelds aber abgelehnt – weshalb daraufhin die Daten im Darknet veröffentlicht worden und nun frei zugänglich seien.
• Unter den gehackten Daten sollen sich fast vollständige Listen zu den Übernachtungen, Rechnungsadressen, Geburtsdaten der Kunden, interne Geschäftszahlen, Mobilnummern der Angestellten befinden. Betroffen seien Daten teilweise bis ins Jahr 2016 zurück. Dies betreffe hauptsächlich die Übernachtungslisten. Die betroffenen Daten stammen laut Motel One von Gästen aus den Jahren 2016 bis 2023. Die Daten von Mitarbeitern seien offenbar aus den Jahren 2019 bis 2023. „Warum Motel One diese Listen so lang speichert, ist bislang unbekannt.“
• Die Tragweite des Datenlecks könnte erheblich sein, da es potenziell Millionen Menschen betreffe, „die in den vergangenen acht Jahren in einem Motel One übernachtet haben“. Die veröffentlichten Listen enthielten Namen, Aufenthaltsdaten und Zimmernummern, was es Dritten ermögliche, detaillierte Reiseprofile zu erstellen. „Nicht jeder will seine Daten über Reisen veröffentlicht wissen.“ Bei Geschäftsverbindungen könne dies ebenso kompromittierend sein wie bei privaten Reisen.
• Ransomware-Angriffe seien ein wachsendes Problem – und Motel One sei nicht das einzige betroffende Unternehmen. Die Erpresser professionalisierten sich – und die Dunkelziffer solcher Vorfälle sei hoch. Motel One plane einen Börsengang in den nächsten Jahren und habe einen erheblichen Unternehmenswert, einschließlich der Immobilientochter. „Da wollte sich die Hacker-Gruppe offensichtlich bedienen.“
• Das Ausmaß des Datenlecks werfe Fragen zur internen IT-Sicherheit von Motel One auf – und es gebe laut „Süddeutscher Zeitung“ Hinweise darauf, dass ein Computer am Standort Ulm als Einfallstor für die Hacker gedient haben könnte. „Es scheint, als ob Motel One verbesserungswürdige IT-Sicherheitspraktiken hatte, da Passwörter für Hotel-Systeme in den veröffentlichten Daten gefunden wurden.“
• Motel One habe Strafanzeige gestellt und arbeite mit Datenschutzbehörden und IT-Sicherheitsexperten zusammen, um den Vorfall zu untersuchen. Es gebe jedoch noch viele offene Fragen, und das Ausmaß des Schadens sei noch nicht vollständig bekannt.

Was das Datenleck bei Motel One für betroffene Verbraucher bedeutet:

Dieser Hacker-Angriff sei ein ernstzunehmender Vorfall nicht nur für Motel One, sondern vor allem für die Verbraucher. Das Datenschutzrecht gebe Betroffenen mehrere Möglichkeiten an die Hand zu reagieren:

• Die EU-Datenschutzgrundverordnung (DSGVO) schreibe vor, dass Betroffene eines Datenlecks informiert werden müssten, insbesondere bei hohen Risiken. Betroffene hätten auch das Recht auf Schadenersatz, „wenn ihnen durch einen DSGVO-Verstoß ein materieller oder immaterieller Schaden entstanden ist“.
• Motel One habe nach eigenen Angaben alle betroffenen Kunden und Mitarbeiter informiert. Das Unternehmen habe auch Maßnahmen ergriffen, um die Sicherheit der Daten zu erhöhen.
• Motel One werde von einigen Seiten kritisiert, weil das Unternehmen den Hacker-Angriff erst drei Wochen nach Bekanntwerden des Datenlecks öffentlich gemacht habe.
• Betroffene Kunden sollten ihre Kreditkartendaten sperren und eine neue Karte beantragen. Außerdem sollten sie ihre Passwörter für Online-Konten ändern, „die mit dem Motel-One-Konto verknüpft sind“.
• Kunden, deren Kreditkartendaten gestohlen wurden, sollten sich auch bei ihrer Bank melden und eine Sperrung der Karte beantragen. „Außerdem sollten sie ihre Bankkonten auf ungewöhnliche Aktivitäten überprüfen.“
• Die gestohlenen Daten könnten von Kriminellen für verschiedene Zwecke missbraucht werden: So könnten sie zum Beispiel für Identitätsdiebstahl, Phishing-Angriffe oder Online-Betrug genutzt werden.

Sollte Motel One gegen datenschutzrechtliche Bestimmungen verstoßen haben, könnten Betroffene Schadensersatzansprüche erheben

Fazit der Kanzlei Dr. Stoll & Sauer: „Das Datenleck bei Motel One ist für betroffene Verbraucher eine ernste Angelegenheit.“ Sensible personenbezogene Daten seien für jedermann einsehbar. Dieser Kontrollverlust über die eigenen Daten könne einen immateriellen Schaden darstellen. „Hat Motel One gegen datenschutzrechtliche Bestimmungen verstoßen, so können Betroffene Ansprüche auf Schadensersatz erfolgreich geltend machen.“ Laut EuGH-Urteil vom 4. Mai 2023 (Az.: C-300/21) bestünden Ansprüche auf Schadensersatz nur dann, „wenn durch einen Verstoß gegen die Datenschutzgrundverordnung (DSGVO) ein materieller oder immaterieller Schaden entstanden ist“.

Betroffene Nutzer sollten sich generell über die möglichen Folgen eines Datenlecks im Klaren sein und entsprechende Maßnahmen ergreifen, um sich beispielsweise vor Phishing-Angriffen zu schützen. Mit Hilfe kombinierter Informationen aus anderen Datenlecks könnten Cyber-Kriminelle gezielte Phishing-Angriffe gegen Verbraucher initiieren. Dr. Stoll & Sauer rät Verbrauchern, die möglicherweise Opfer eines Datenlecks wie bei Motel One geworden sind, zur kostenlosen Erstberatung im Online-Check. „Hier prüft die Kanzlei auch die mögliche Betroffenheit von Verbrauchern.“

Tipps für Opfer einer Phishing-Attacke ggf. in Folge des Angriffs auf Motel One:

Phishing bleibe eine beliebte Betrugsmasche unter Cyber-Kriminellen und scheine ein lukratives kriminelles Geschäftsmodell zu sein. Im April 2023 habe das LKA Niedersachsen beispielsweise vor Phishing-SMS und -E-Mails gewarnt, „die Opfer mit angeblichen Zollgebühren lockten“. Falls Verbraucher Opfer einer Phishing-Mail geworden sind, sollten sie folgende Maßnahmen ergreifen:

• Sofort sollten die Zugangsdaten für Online-Bankgeschäfte geändert werden.
• Die betroffene Bank sollte sofort informiert werden, damit weitere Schäden verhindert werden können.
• Die entsprechende Phishing-Mail sollte nicht gelöscht werden, sondern als Beweismittel gesichert und an die Bank weitergeleitet werden.
• Unbedingt Strafanzeige erstatten.

Weitere Informationen zum Thema:

Süddeutsche Zeitung, 10.10.2023
Nach Hacker-Angriff: Motel-One-Kunden sollten wachsam sein

Süddeutsche Zeitung, 09.10.2023
Motel One / Wie man einen Hack auf gar keinen Fall kommunizieren sollte

Süddeutsche Zeitung, 07.10.2023
Etliche Motel-One-Kundendaten im Darknet veröffentlicht

Dr. Stoll & Sauer, 04.05.2023
Gericht bejaht Ansprüche auf Schadensersatz bei DSGVO-Verstoß / EuGH stärkt Verbraucherrechte beim Datenschutz