Fast 6 Terabyte an Daten wurden von einer Cybergang namens BlackCat im Darknet veröffentlicht, darunter auch sensible personenbezogene Informationen von Gästen der Hotelkette MotelOne. 

Für die im Jahr 2000 gegründete Budget-Design-Hotelgruppe MotelOne mit Hauptsitz in München gab es vor dem spektakulären Zwischenfall eigentlich nur eine Richtung: nach oben und weiter nach vorn mit 25.273 Zimmern in 90 Niederlassungen sowie einem Umsatz von zuletzt 639 Millionen Euro im In- und Ausland. Doch Erfolg macht auch neugierig und angreifbar, wie sich jetzt zeigt. Denn eine Cybergang namens BlackCat hat dem Vernehmen nach mehr als fünf Terabyte an Daten mit mehreren Millionen Datensätzen aus dem Bestand der Hotelkette in „Geiselhaft“ genommen und nach Ablauf einer 5-Tagesfrist im Darknet veröffentlicht, nachdem kein Lösegeld geflossen ist. Und das ausgerechnet, als MotelOne-Gründer Dieter Müller verkünden wollte, die Hotelkette zusammen mit den Eignern an die Börse zu bringen.

Zahlen oder nicht zahlen? Das ist immer die Frage. Sicherheitsexpert:innen raten eher davon ab, um Cyberkriminelle nicht noch mehr zu motivieren. Aber, wenn plötzlich Kundendaten im Internet oder im Darknet auftauchen, kann das im Einklang mit der DSGVO auch empfindliche Bußgeldforderungen nach sich ziehen.

Für Fachmedien kam die Veröffentlichung der Daten nicht überraschend. Denn BlackCat alias ALPHV sei bekannt dafür, es nicht nur bei leeren Drohungen zu belassen und habe im Darknet schon mehrmals umfangreiche Datensätze einschließlich Patientendaten hochgeladen.

Auf dem BlackCat-Webserver sind in dem Fall verschiedene Daten von MotelOne zu finden, vermeintlich harmlose wie Marketingmaterial und Speisekarten ebenso wie Gästelisten und eine Keepass-Passwortdatenbank, auch wenn die sich als veraltet herausgestellt hat. Von Expert:innen entnommene Stichproben lassen darauf schließen, dass die Daten teilweise über fünf Jahre alt sind, aber es gibt auch einige von August 2023, also kurz vor der Bekanntgabe des umfangreichen Datendiebstahls.

Wie eine Hotel-Sprecherin sagte, habe man nach Bekanntwerden des Datenklaus „unverzüglich sichergestellt, dass keine weiteren personenbezogenen Daten von der Hackergruppe erlangt werden können“. Außerdem habe MotelOne die zuständigen Behörden darüber informiert, Strafanzeige gestellt und alle Kreditkarteninhaber:innen informiert, sofern ihre Karten noch gültig sind. Es soll sich dabei um 150 Personen handeln. Außerdem habe MotelOne externe Sicherheitsexpert:innen hinzugezogen. Das dürfte aber weder die Kreditkartenhalter:innen noch die Datenschützer beruhigen.

Die EuGD genannte Gesellschaft für Datenschutz mbH hat als Prozessfinanzierer schon eine Informationsseite für Betroffene eingerichtet. EuGD-Geschäftsführer Thomas Bindl warnt laut Medienberichten davor, den Vorfall auf die leichte Schulter zu nehmen. Auf Basis der geleakten Daten könnten die Hacker über fast fünf Jahre hinweg Reiseprofile erstellen, Geschäftsbeziehungen und auch private Hotel-Aufenthalte analysieren, „deren Veröffentlichung zu signifikanten Einschnitten im Leben der Betroffenen führen kann“.

Abgesehen von immateriellen Schadensansprüchen haben die Betroffenen gemäß DSGVO auch umfangreiche Auskunftsrechte. Wer daher in der Hotelkette in den letzten fünf Jahren zu Gast war, kann sich per E-Mail über „privacy@motel-one.com“ oder eine eigens eingerichtete Kontaktadresse direkt an MotelOne wenden, um davon Gebrauch zu machen.

Dessen ungeachtet könnten MotelOne auch Ärger mit Aufsichtsbehörden und hohe Geldbußen gemäß der DSGVO drohen. Die britische Aufsichtsbehörde ICO hat etwa 2019 gegen die Hotelkette Marriot nach einem Datenleck in ihrem Buchungssystem ein neunstelliges Bußgeld verhängt. Allerdings kommt die Muttergesellschaft Marriot Internationals mit 22,77 Milliarden Dollar auf mehr als das 35-fache des Jahresumsatzes von MotelOne.

Wie das Bayerische Landesamt für Datenschutzaufsicht auf Anfrage der Deutschen Presse-Agentur (dpa) mitteilte, bestehe „zunächst vor allem Anlass zu erhöhter Aufmerksamkeit bei Mail-Eingängen unbekannter oder auch nur überraschender Absender“. Laut web.de gehe es darum, mögliche Angriffs- und Manipulationsversuche, bei denen die veröffentlichten Daten missbräuchlich verwendet werden könnten, frühzeitig zu erkennen. Der Rheinischen Post zufolge sollen mögliche Betroffene wachsam sein.

Wachsamkeit ist nach einem solchen Vorfall aber auch präventiv immer angezeigt. Die Frage, Lösegeld zahlen oder nicht, ist dagegen nicht so einfach zu beantworten. Am besten ist es, zusammen mit einem IT-Security-Spezialisten oder einem Lösungspartner wie Axians dafür Sorge zu tragen, dass solche Hackerangriffe erst gar nicht vorkommen können. Software- und Hardware-Vorrichtungen gehören dazu ebenso wie Aufklärung. Denn allzu oft entscheidet der Faktor Mensch über Sicherheit und Unsicherheit der Systeme.

Der Klassiker sind allzu offensichtliche oder offen herumliegende Passwörter. Aber Wachsamkeit und Achtsamkeit ist auch bei E-Mails geboten. Was der Enkeltrick im Privaten ist der Cheftrick oder CEO Fraud bei Unternehmen. Manche Unternehmen wurden so von solchen Phishing-Attacken schon um Hunderttausende, wenn nicht Millionen von Euro „erleichtert“. Auch sollten die IT-Verantwortlichen ihren Kolleg:innen immer wieder klarmachen, welche Gefahren Freeware und Shareware aus dem Internet bergen, Stichwort Schatten-IT. Denn kostenlose Software mag zwar der Firma und der eigenen Arbeit dienen, oft dient sie aber vielmehr als Vehikel für Cyberkriminelle, um sich darüber Zugang zu sensiblen Unternehmensdaten zu verschaffen.

Quelle Titelbild: Adobe / James Thew