• Deutsch
  • Aktuelles
  • Peter Hense zum Marriot Hotel Hack und wie sich die Hotelbranche rüsten sollte

Peter Hense zum Marriot Hotel Hack und wie sich die Hotelbranche rüsten sollte

 

Die Nachricht erschüttert eine ganze Branche: der US-Hotelkonzern Marriott musste einräumen, dass Daten von bis zu 500 Millionen Gästen der Konzerntochter Starwood durch einen Hack abgegriffen wurden. Zu den sensiblen Daten der Gäste, unter denen auch US-Regierungsmitarbeiter und Militärangehörige waren, gehörten auch Daten von Reisepässen. Travel Industry Law und Datenschutz Anwalt Peter Hense erläutert die Dimension des Vorgangs und empfiehlt die Professionalisierung durch IT- und Rechtsexperten. Die Fragen stellte Raphaela Kwidzinski.

Der Marriott-Konzern hat bekannt gegeben, dass Hacker durch ein Datenleck über mehrere Jahre sensible Daten von Kunden abgegriffen haben. Wie schätzen Sie die Angriff und die Folgen für die Hotelbranche ein?

Marriott hat dieses Datenleck offenbar von Starwood geerbt, denn nach eigenen Angaben bestand der unberechtigte Zugriff bereits seit 2014, also einem Zeitpunkt deutlich vor der Fusion beider Unternehmen. Der Apfel hatte also bereits zum Zeitpunkt des Kaufs eine faule Stelle. Das Ausmaß des Zugriffs und der Kompromittierung von sensiblen Gästedaten ist derzeit noch unklar. Es würde nicht verwundern, wenn auch hier der tatsächliche Umfang des Datendiebstahls erst über die kommenden Monate und Jahre offenbar wird.

Bekannt ist, dass neben Namen und Kontaktdaten sowie Passwörtern eben auch Daten aus der Buchungshistorie sowie Präferenzen von Gästen bekannt wurden, nicht zuletzt deshalb, weil auch das Rewards-Programm betroffen ist. Besondere Kritik wurde von Experten der IT-Sicherheit an der Speicherung von Ausweisdaten geübt sowie an der Tatsache, dass Marriott Kreditkartendaten zwar verschlüsselt gespeichert hatte, aber den Schlüssel selbst offenbar auch auf den betroffenen Servern abgelegt hatte. Das ist natürlich sicherheitstechnisch ein Anfängerfehler, der professionellen Unternehmen nicht passieren darf.

Gäste sehen sich nun mehreren Risiken ausgesetzt. Besonders in den USA aber auch in anderen Ländern ist das Risiko eines Identitätsdiebstahls sehr hoch. Auch unberechtigte Abbuchungen von Kreditkarten sind möglich. Der Aufwand, sich vor diesen Risiken zu schützen, ist erheblich, es kostet Geld und Zeit, hier Schutzmaßnahmen zu ergreifen. Da auch Passwörter der Gäste ausgelesen wurden und identische Passwörter von Nutzern gern für verschiedene Dienste verwendet werden liegt auch hier nahe, dass es zu Folgeschäden durch Passwortmissbrauch kommt.

Es wird daher dringend empfohlen, Passwörter zu kritischen Diensten zu ändern und idealerweise auf 2-Faktor-Authentifizierung umzustellen. Wer also für PayPal, Amazon oder Facebook das gleiche Passwort nutzt, wie für seine Hotelbuchungen, der muss handeln, möchte man nicht böse Überraschungen erleben. Ein weiterer Tipp von Experten ist, dass man für Online-Transaktionen eine eigene Kreditkarte einsetzt mit begrenztem Verfügungsrahmen, um im Fall von Missbrauch den Schaden gering zu halten. Es ist nämlich nicht gesagt, dass stets jeder Missbrauch von Zahlungsdaten auch von den kreditkartenausgebenden Unternehmen ersetzt wird. Generell sollte man davon absehen, Kreditkartendaten auf Websites zu speichern. Nicht nur US-Bürger sind zudem von unberechtigten Eintragungen bei Wirtschaftsauskunfteien betroffen, auch Deutsche sollten regelmäßig bei Schufa und Co. eine nach DSGVO kostenlose Anfrage starten, ob Identitätsbetrüger vielleicht Verträge zu ihren Lasten geschlossen haben, die sich negativ auf die eigene Kreditwürdigkeit auswirken. Sehr viele Schufa-Einträge sind fehlerhaft, hier hat der Nutzer einen Löschungs- bzw. Korrekturanspruch.

Schwerwiegender ist jedoch der Vertrauensverlust, den die Hotelkette jetzt einfährt. Wenn selbst ein Branchenprimus nicht sicher ist, wer soll es dann sein? Die Hotellerie insgesamt scheint trotz der in unschöner Regelmäßigkeit auftretenden Datenverluste kein Mittel zu finden, die Daten ihrer Gäste auf Dauer adäquat zu schützen. Für die Zukunft wird Hotelgästen an vielen Stellen bereits empfohlen, beim Check-in weniger freigiebig mit ihren Daten zu sein. Für einen Direktvertrieb, der auf Kontaktdaten seiner Gäste angewiesen ist, sind das keine guten Nachrichten.

Foto von Unsplash

 

Welche Vorkehrungen muss der Hotelkonzern Marriott nun treffen? Drohen hier Klagen der geschädigten Gäste?

Ich gehe davon aus, dass Marriott hier bereits einen ausgereiften Plan hat und diesen strukturiert abarbeitet. Mit den Konsequenzen des Datenverlustes muss der Konzern leben und verlorengegangenes Vertrauen schnell wiederherstellen, damit das Kerngeschäft nicht länger als erwartbar in Mitleidenschaft gezogen wird. In erster Linie wird die Herstellung von IT-Sicherheit eine große Rolle spielen und auch jede Menge Geld kosten. Denn große Hotelketten bleiben ja aufgrund der Datenmassen, die sie sammeln, ein beliebte Ziel für Cyberangriffe. Wo ein Trog steht, kommen die Schweine, sagt das Sprichwort. Das gilt auch für mögliche Schadensersatzklagen. Bereits am Wochenende haben zwei US-Rechtsanwälte in Oregon, die auch Gäste der Hotelkette waren, eine Sammelklage eingereicht und das Unternehmen auf die bedeutende Summe von 12.5 Milliarden US-Dollar verklagt. Entscheidend hierbei ist nicht die Summe, die beeindruckt, sondern die Rechtsfolgen einer Klage. Im Wege einer „Discovery“ können Kläger im US-Recht firmeninterne Dokumente und Kommunikation einfordern, die möglicherweise belastendes Material enthält, was typischerweise die Einigungsbereitschaft mit dem Unternehmen fördert.

Hat man gegen Hackerangriffe überhaupt eine Chance? Welche konkreten Maßnahmen sollte man zur Vorbeugung ergreifen - ob nun multinationales Hotelkette oder als kleines Privathotel?

Man kann derartige Angriffe nie vollständig ausschließen, sondern nur das Risiko absenken. Die zu ergreifenden Maßnahmen sind ähnlich, gleich ob ich ein Einzelhotel bin oder eine internationale Kette. Wir beraten seit 2011 im Bereich Informationssicherheit für Hotels und haben immer wieder ganz einfache Tipps zur Hand, wie man sich schützen kann:

  1. IT ist Sache von Profis, also finden Sie Experten, die ihre IT managen. Diese kommen in der Regel weder aus der Hotellerie noch sind es Praktikanten.
  2. Lassen Sie von Spezialisten regelmäßig „Penetration-Tests“ durchführen. Besser, sie werden von einem Freund gehackt, der die Lücke danach schließt, als von einem Feind. Lassen Sie insbesondere POS-Terminals in Restaurant und Spa überprüfen.
  3. Löschen bzw. verschlüsseln Sie Altdaten. Was nicht greifbar ist, kann nicht wegkommen.
  4. Schließen Sie eine Cybersecurity-Versicherung ab, um die finanziellen Folgen eines Datenlecks beherrschbar zu halten.
  5. Bestellen Sie Datenschutzbeauftragte, denn ohne sauberen Datenschutz zahlt keine Versicherung.
  6. Verzichten Sie auf die Speicherung von Kreditkartendaten. Wenn Sie solche Daten erhalten, löschen Sie diese umgehend.
  7. Vereinbaren Sie Updateverpflichtungen und Versicherungsnachweise in allen IT-Serviceverträgen. Die meisten Datenlecks entstehen auf IT-Systemen, auf die ihre Dienstleister (PMS, IBE etc.) Zugriff haben

Wie konnte es passieren, dass es bei Marriott so lange ein solches Leck gegeben hat, das über mehrere Jahre offensichtlich keiner bemerkt hat?

Es ist nicht untypisch, dass von der Kompromittierung eines Systems bis zum Eintritt des Schadensfalls einige Zeit vergeht. Um den genauen Zeitpunkt und Weg der Kompromittierung zu verschleiern ist das sogar sehr schlau. Sie können davon ausgehen, dass auf sehr vielen PCs und Servern Schadsoftware schlummert, die nur darauf wartet, bei Gelegenheit Informationen zu senden. Die Hotellerie ist hier keine Ausnahme. Je interessanter das Ziel ist, desto intelligenter der Angriff. Im Gegensatz zu Banken investieren Hotels allerdings nicht in gleichem Maße in IT-Sicherheit, das gibt die Marge einfach nicht her. Daher sind Hotels eher leichte Ziele für derartige Angriffe.

In welchem Zustand ist die Hotelbranche jetzt? Sollten nun auch andere Hotelunternehmen ihre Datenbestände auf Lecks überprüfen?

Der Daten- und Kontrollverlust ist riesig. Selbstverständlich sind jetzt auch alle anderen Marktteilnehmer alarmiert und prüfen seit Tagen ihre Systeme. Wenn der Data Breach bei Marriott etwas Gutes hat, dann, dass das Thema IT-Sicherheit wieder in den Fokus der Budgetplanung rückt. Qualifizierte Sicherheitsüberprüfungen kosten Geld und die Ressourcen sind begrenzt. Insofern ist man gut beraten, sich mit der Beauftragung von Dienstleistern zu beeilen, bevor die Ressourcen der guten Anbieter für 2019 erschöpft sind.

Was ist für den Hotelier zu tun, wenn ein Hack entdeckt worden ist?

Schnell und verantwortlich handeln. Ohne spezialisierte Hilfe von IT-Experten und Rechtsberatern geht das nicht. Insbesondere sollte widersprüchliche Kommunikation mit Gästen, Dienstleistern, Versicherern und Behörden vermieden werden. Das neue Datenschutzrecht sieht bei relevanten Datenverlusten eine Meldepflicht bei den Datenschutzbehörden binnen 72 Stunden vor, das macht jede Minute kostbar.

Daher mein Tipp: Setzen Sie sich mit den relevanten Mitarbeitern aus Marketing, IT, Rezeption und Verwaltung zusammen und üben sie den Ernstfall „Datenleck“ wenigstens einmal jährlich. Klären Sie dabei mögliche Risikofelder und Verantwortlichkeiten, Vertretungsregelungen und Budgetfragen. Der Fachbegriff lautet hier „Incident Response Management“. Und wenn Sie das einmal durchgespielt haben, lassen Sie sich von Experten helfen, dieses Management um die notwendigen juristischen Komponenten abzurunden.

 

Travel Industry Law, IT- und Datenschutzrecht

Haben Sie als Hotelier weitere Fragen zum Thema IT-Rechtsberatung oder benötigen Sie eine Schulung?
 
Sprechen sie uns an, wir helfen Ihnen gern weiter:
Freecall +49 800 2482000 oder Email info@spiritlegal.com 

Peter Hense ist Mitglied der International Association of Privacy Professionals (IAPP), der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD), des Travel Industry Club e.V. sowie der Hospitality Sales and Marketing Association Deutschland e.V. (HSMA). Seit 2012 ist er Vorstand der Schutzgemeinschaft Hotelprotect e. V. unter der Schirmherrschaft des Hotelverbands Deutschland (IHA).

Einen Kommentar schreiben

Tags

Vergütung Unterlassung Mindestlohn Pseudonomisierung Online-Portale Auftragsverarbeitung Bußgeld britain § 15 MarkenG fristen Booking.com 5 UWG Markenrecht Kinder Soziale Netzwerke CNIL Digitalwirtschaft Social Engineering Opentable Geschäftsführer Sperrwirkung Anonymisierung Gesamtpreis Custom Audiences Irreführung Data Breach Medienrecht Datenschutzbeauftragter Kinderrechte Facebook Einstellungsverbot Google AdWords Corporate Housekeeping Wettbewerbsbeschränkung Kennzeichnung Limited Kapitalmarkt § 5 MarkenG Urteile #bsen Presse Datengeheimnis Lizenzrecht Bundesmeldegesetz Sicherheitslücke Vertragsrecht Compliance #emd15 verlinken Kundenbewertungen Datenpanne DSGVO Website Event FashionID Hotelvermittler Leipzig Schöpfungshöhe Boehmermann drohnen entgeltgleichheit Domainrecht Störerhaftung Schleichwerbung Kartellrecht Technologie Urheberrecht Hotelkonzept kommunen Online-Bewertungen privacy shield Impressum Suchalgorithmus Hotellerie FTC Gäste information technology 2014 Ofcom Tipppfehlerdomain Herkunftsfunktion Wettbewerb Informationsfreiheit Entschädigung Conversion Human Resource Management Algorithmen copter Adwords Keyword-Advertising Urteil Werktitel Beschäftigtendatenschutz Unlauterer Wettbewerb Berlin verlinkung Produktempfehlungen events Sponsoring Interview Online Marketing Hinweispflichten E-Mail-Marketing Ferienwohnung Kundenbewertung Registered Newsletter Anmeldung Konferenz München data security Online Shopping kündigungsschutz Recht ePrivacy Preisangabenverordnung ReFa Hackerangriff Bestpreisklausel Influencer SSO TeamSpirit Gesundheit geldwäsche EU-Textilkennzeichnungsverordnung berufspflicht PPC Bildrecherche Lebensmittel Plattformregulierung Einzelhandel ransom Unternehmensgründung wetteronline.de Xing KUG Löschungsanspruch Datenschutz Check-in Bundeskartellamt Cyber Security drohnengesetz Haftung Hack data § 24 MarkenG Bachblüten Social Networks Crowdfunding Panoramafreiheit fake news Textilien SEA Künstliche Intelligenz Internet Telefon Phishing Reiserecht Haftungsrecht Europa Dark Pattern §75f HGB Überwachung vertrag Webdesign Wahlen gender pay gap handel videoüberwachung Kreditkarten Linkhaftung ITB gezielte Behinderung Neujahr Meldepflicht Großbritannien Einverständnis Hotel Meinung Urlaub Team neu online werbung Einwilligungsgestaltung Osteopathie Journalisten Arbeitsrecht Datenschutzgrundverordnung Sperrabrede arbeitnehmer Trademark gdpr ecommerce AGB LG Hamburg html5 AIDA Apps GmbH Hotels

Die Rechtsanwaltssozietät Spirit Legal berät in- und ausländische Unternehmen mit internationaler Ausrichtung. Unser fachlicher Beratungsschwerpunkt liegt in den Bereichen E-Commerce, Gesellschafts-, Wettbewerbs-, Marken-, IT- und Datenschutzrecht. Dank unserer Branchenerfahrung sind wir in rechtlichen Fragen der spezialisierte Ansprechpartner für Start-ups, Reiseunternehmen und die Hotellerie.

© Spirit Legal 2013 - 2019, alle Rechte vorbehalten