[datensicherheit.de, 30.11.2018] Thomas Ehrlich, „Country Manager DACH“ von Varonis, kommentiert die „unglaubliche Zahl von bis zu 500 Millionen Kundendaten“, welche der Hotelkette Marriott offensichtlich gestohlen worden sind. Eine halbe Milliarde Menschen sei nun in der misslichen Situation, u.a. ihre Kreditkartenabrechnungen überprüfen zu müssen. Er kritisiert den langen zeitlichen Vorlauf: „Zügige Aufklärung sieht in aller Regel anders aus.“

Weiteren Betrugsfällen Tür und Tor geöffnet

Ehrlich: „Die unglaubliche Zahl von bis zu 500 Millionen Kundendaten (einschließlich Namen, E-Mail-Adressen, Anschriften, Passnummern, Geburtsdatum und Aufenthaltszeitraum) sind der Hotelkette Marriott gestohlen worden.“
Eine halbe Milliarde Menschen sei nun also in der misslichen Situation, ihre Kreditkartenabrechnungen zu überprüfen, wobei das wahrscheinlich noch der unproblematischste Aspekt des Datendiebstahls sei: Eine Kreditkarte könne man kündigen, die Passnummer oder seine Adresse ließen sich nicht ohne Weiteres ändern, vom Geburtsdatum ganz abgesehen.
„All diese Informationen in den Händen Krimineller öffneten Tür und Tor für weitere Betrugsfälle, etwa durch gezieltes Spear Phishing“, warnt Ehrlich.

Foto: Varonis Systems

Thomas Ehrlich, Country Manager DACH von Varonis

Millionen für Werbung statt für Datensicherheit ausgegeben

Es sei ein wenig befremdlich feststellen zu müssen, dass in Zeiten der massiven Datenschutzverletzungen große Marken zwar Millionen für Werbung und Kundenbindungsprogramme ausgäben, aber nicht das schützten, was am wichtigsten und letztlich am wertvollsten sei: die Personendaten ihrer loyalen Kunden.
Ehrlich: „Vielleicht ist es nun auch an der Zeit, dass die DSGVO ihre Zähne zeigt und die Verantwortlichen genau prüfen, was passiert ist und ob Marriott nicht nur alles getan hat, um den Vorfall zu vermeiden (spontan ist man versucht zu sagen: nein), sondern ob auch die Meldefristen eingehalten wurden.“ Die erste Alarmierung datiere vom 8. September 2018, woraufhin festgestellt worden sei, dass bereits seit 2014 unbefugter Zugriff auf das System bestanden habe. „Erst am 19. November konnten die Daten entschlüsselt und damit das Ausmaß erkannt werden. Und wiederum elf Tage später wurde die Öffentlichkeit informiert“, erläutert Ehrlich. Zügige Aufklärung sehe in aller Regel anders aus.

Weitere Informationen zum Thema:

datensicherheit.de, 30.11.2018
Hotelkette Marriott: Riesiges Datenleck gemeldet

datensicherheit.de, 08.09.2018
Lehren aus der Datenschutzvorfall beim Credit Bureau Equifax

datensicherheit.de, 24.07.2018
Datenleck bei Automobil-Zulieferer: Schutz von Daten jenseits der Unternehmensgrenzen

datensicherheit.de, 01.03.2018
Daten als wertvollstes Asset müssen ins Zentrum der Sicherheitsstrategie gestellt werden

[datensicherheit.de, 30.11.2018] Die Hotelkette Marriott ist laut Medienberichten von einem riesigen, weltweit wohl einzigartigen Datenschutzverstoß betroffen – bis zu 500 Millionen Kunden könnten Opfer dieses Angriffs sein. Joseph Carson von Thycotic kommentiert, dass schockierend an dieser Datenschutzverletzung sei, dass die Cyber-Kriminellen möglicherweise sowohl mit den verschlüsselten Daten als auch mit den Methoden zur Entschlüsselung der Daten davongekommen sind.

Offenbar versäumt, persönliche und sensible Daten der Gäste angemessen zu schützen

Joseph Carson, „Chief Security Scientist“ von Thycotic, führt aus: „Die Marriott-Hotelkette ist von einem riesigen, weltweit wohl einzigartigen Datenschutzverstoß betroffen, bei dem bis zu 500 Millionen Kunden Opfer von Cyber-Kriminellen wurden. Berichten zufolge wurden rund 327 Millionen Datensätze gestohlen, einschließlich Zahlungsinformationen und Passdaten, was einen jahrelangen Identitätsdiebstahl und Cyber-Angriffe auf die Opfer nach sich ziehen könnte.“
Schockierend an dieser Datenschutzverletzung sei, dass die Cyber-Kriminellen möglicherweise sowohl mit den verschlüsselten Daten als auch mit den Methoden zur Entschlüsselung der Daten davongekommen sind. „Denn Marriott hat es offenbar versäumt, die persönlichen und sensiblen Daten ihrer Kunden mit ausreichenden Cyber-Sicherheitsmaßnahmen zu schützen“, sagt Carson.

Foto: Thycotic

Joseph Carson: Zu fragen ist, seit wann Marriott über diese Datenschutzverletzung Bescheid wusste…

Kostenübernahme für Ersatzbeschaffung kompromittierter Dokumente gefordert

In der Vergangenheit habe das Hauptproblem bei solchen Datenschutzverletzungen oft darin gelegen, dass die Unternehmen, in deren Hände die Sicherheit der Kundendaten gelegt wurde, einen Schutz vor Identitätsdiebstahl nur für einen Zeitraum von bis zu einem Jahr angeboten hätten. Viele der gestohlenen Identitätsinformationen hätten in der Regel aber eine Laufzeit zwischen fünf und zehn Jahren – man denke etwa an Kreditkarten oder Reisepässe.
Carson: „Die Opfer sind also jahrelang ernsthaften Risiken ausgesetzt, solange sie kompromittierte Karten oder Dokumente nicht neu beantragen, was in der Regel mit Aufwand und Kosten verbunden ist.“ Unternehmen, die ihre Kunden nicht vor Datendiebstahl schützen, sollten zumindest für die Kosten der Ersatzbeschaffung kompromittierter Dokumente in die Verantwortung gezogen werden können, anstatt jegliche Verantwortlichkeit von sich abzuwenden.

Kunden müssen jetzt wissen, ob und welche ihrer Daten gefährdet sind!

„Der aktuelle Vorfall wirft nun einige Fragen auf, etwa seit wann Marriott über die Datenschutzverletzung Bescheid wusste und ob das Unternehmen weltweite Vorschriften und Regularien wie die Datenschutz-Grundverordnung der EU erfüllt hat.“
Letztere sehe bei Nichteinhaltung immerhin Geldstrafen in Höhe von 20 Millionen Euro oder vier Prozent des Jahresumsatzes vor. „Für potenziell betroffene Marriott-Kunde zählt nun vor allem eines: Sie müssen wissen, ob und welche ihrer Daten gefährdet sind, um gegebenenfalls Vorsichtsmaßnahmen treffen zu können“, betont Carson.

Weitere Informationen zum Thema:

datensicherheit.de, 25.10.2018
Kritik am Umgang mit Datenleck bei Cathay Pacific