• Deutsch
  • Aktuelles
  • Peter Hense zum Marriot Hotel Hack und wie sich die Hotelbranche rüsten sollte

Peter Hense zum Marriot Hotel Hack und wie sich die Hotelbranche rüsten sollte

 

Die Nachricht erschüttert eine ganze Branche: der US-Hotelkonzern Marriott musste einräumen, dass Daten von bis zu 500 Millionen Gästen der Konzerntochter Starwood durch einen Hack abgegriffen wurden. Zu den sensiblen Daten der Gäste, unter denen auch US-Regierungsmitarbeiter und Militärangehörige waren, gehörten auch Daten von Reisepässen. Travel Industry Law und Datenschutz Anwalt Peter Hense erläutert die Dimension des Vorgangs und empfiehlt die Professionalisierung durch IT- und Rechtsexperten. Die Fragen stellte Raphaela Kwidzinski.

Der Marriott-Konzern hat bekannt gegeben, dass Hacker durch ein Datenleck über mehrere Jahre sensible Daten von Kunden abgegriffen haben. Wie schätzen Sie die Angriff und die Folgen für die Hotelbranche ein?

Marriott hat dieses Datenleck offenbar von Starwood geerbt, denn nach eigenen Angaben bestand der unberechtigte Zugriff bereits seit 2014, also einem Zeitpunkt deutlich vor der Fusion beider Unternehmen. Der Apfel hatte also bereits zum Zeitpunkt des Kaufs eine faule Stelle. Das Ausmaß des Zugriffs und der Kompromittierung von sensiblen Gästedaten ist derzeit noch unklar. Es würde nicht verwundern, wenn auch hier der tatsächliche Umfang des Datendiebstahls erst über die kommenden Monate und Jahre offenbar wird.

Bekannt ist, dass neben Namen und Kontaktdaten sowie Passwörtern eben auch Daten aus der Buchungshistorie sowie Präferenzen von Gästen bekannt wurden, nicht zuletzt deshalb, weil auch das Rewards-Programm betroffen ist. Besondere Kritik wurde von Experten der IT-Sicherheit an der Speicherung von Ausweisdaten geübt sowie an der Tatsache, dass Marriott Kreditkartendaten zwar verschlüsselt gespeichert hatte, aber den Schlüssel selbst offenbar auch auf den betroffenen Servern abgelegt hatte. Das ist natürlich sicherheitstechnisch ein Anfängerfehler, der professionellen Unternehmen nicht passieren darf.

Gäste sehen sich nun mehreren Risiken ausgesetzt. Besonders in den USA aber auch in anderen Ländern ist das Risiko eines Identitätsdiebstahls sehr hoch. Auch unberechtigte Abbuchungen von Kreditkarten sind möglich. Der Aufwand, sich vor diesen Risiken zu schützen, ist erheblich, es kostet Geld und Zeit, hier Schutzmaßnahmen zu ergreifen. Da auch Passwörter der Gäste ausgelesen wurden und identische Passwörter von Nutzern gern für verschiedene Dienste verwendet werden liegt auch hier nahe, dass es zu Folgeschäden durch Passwortmissbrauch kommt.

Es wird daher dringend empfohlen, Passwörter zu kritischen Diensten zu ändern und idealerweise auf 2-Faktor-Authentifizierung umzustellen. Wer also für PayPal, Amazon oder Facebook das gleiche Passwort nutzt, wie für seine Hotelbuchungen, der muss handeln, möchte man nicht böse Überraschungen erleben. Ein weiterer Tipp von Experten ist, dass man für Online-Transaktionen eine eigene Kreditkarte einsetzt mit begrenztem Verfügungsrahmen, um im Fall von Missbrauch den Schaden gering zu halten. Es ist nämlich nicht gesagt, dass stets jeder Missbrauch von Zahlungsdaten auch von den kreditkartenausgebenden Unternehmen ersetzt wird. Generell sollte man davon absehen, Kreditkartendaten auf Websites zu speichern. Nicht nur US-Bürger sind zudem von unberechtigten Eintragungen bei Wirtschaftsauskunfteien betroffen, auch Deutsche sollten regelmäßig bei Schufa und Co. eine nach DSGVO kostenlose Anfrage starten, ob Identitätsbetrüger vielleicht Verträge zu ihren Lasten geschlossen haben, die sich negativ auf die eigene Kreditwürdigkeit auswirken. Sehr viele Schufa-Einträge sind fehlerhaft, hier hat der Nutzer einen Löschungs- bzw. Korrekturanspruch.

Schwerwiegender ist jedoch der Vertrauensverlust, den die Hotelkette jetzt einfährt. Wenn selbst ein Branchenprimus nicht sicher ist, wer soll es dann sein? Die Hotellerie insgesamt scheint trotz der in unschöner Regelmäßigkeit auftretenden Datenverluste kein Mittel zu finden, die Daten ihrer Gäste auf Dauer adäquat zu schützen. Für die Zukunft wird Hotelgästen an vielen Stellen bereits empfohlen, beim Check-in weniger freigiebig mit ihren Daten zu sein. Für einen Direktvertrieb, der auf Kontaktdaten seiner Gäste angewiesen ist, sind das keine guten Nachrichten.

Foto von Unsplash

 

Welche Vorkehrungen muss der Hotelkonzern Marriott nun treffen? Drohen hier Klagen der geschädigten Gäste?

Ich gehe davon aus, dass Marriott hier bereits einen ausgereiften Plan hat und diesen strukturiert abarbeitet. Mit den Konsequenzen des Datenverlustes muss der Konzern leben und verlorengegangenes Vertrauen schnell wiederherstellen, damit das Kerngeschäft nicht länger als erwartbar in Mitleidenschaft gezogen wird. In erster Linie wird die Herstellung von IT-Sicherheit eine große Rolle spielen und auch jede Menge Geld kosten. Denn große Hotelketten bleiben ja aufgrund der Datenmassen, die sie sammeln, ein beliebte Ziel für Cyberangriffe. Wo ein Trog steht, kommen die Schweine, sagt das Sprichwort. Das gilt auch für mögliche Schadensersatzklagen. Bereits am Wochenende haben zwei US-Rechtsanwälte in Oregon, die auch Gäste der Hotelkette waren, eine Sammelklage eingereicht und das Unternehmen auf die bedeutende Summe von 12.5 Milliarden US-Dollar verklagt. Entscheidend hierbei ist nicht die Summe, die beeindruckt, sondern die Rechtsfolgen einer Klage. Im Wege einer „Discovery“ können Kläger im US-Recht firmeninterne Dokumente und Kommunikation einfordern, die möglicherweise belastendes Material enthält, was typischerweise die Einigungsbereitschaft mit dem Unternehmen fördert.

Hat man gegen Hackerangriffe überhaupt eine Chance? Welche konkreten Maßnahmen sollte man zur Vorbeugung ergreifen - ob nun multinationales Hotelkette oder als kleines Privathotel?

Man kann derartige Angriffe nie vollständig ausschließen, sondern nur das Risiko absenken. Die zu ergreifenden Maßnahmen sind ähnlich, gleich ob ich ein Einzelhotel bin oder eine internationale Kette. Wir beraten seit 2011 im Bereich Informationssicherheit für Hotels und haben immer wieder ganz einfache Tipps zur Hand, wie man sich schützen kann:

  1. IT ist Sache von Profis, also finden Sie Experten, die ihre IT managen. Diese kommen in der Regel weder aus der Hotellerie noch sind es Praktikanten.
  2. Lassen Sie von Spezialisten regelmäßig „Penetration-Tests“ durchführen. Besser, sie werden von einem Freund gehackt, der die Lücke danach schließt, als von einem Feind. Lassen Sie insbesondere POS-Terminals in Restaurant und Spa überprüfen.
  3. Löschen bzw. verschlüsseln Sie Altdaten. Was nicht greifbar ist, kann nicht wegkommen.
  4. Schließen Sie eine Cybersecurity-Versicherung ab, um die finanziellen Folgen eines Datenlecks beherrschbar zu halten.
  5. Bestellen Sie Datenschutzbeauftragte, denn ohne sauberen Datenschutz zahlt keine Versicherung.
  6. Verzichten Sie auf die Speicherung von Kreditkartendaten. Wenn Sie solche Daten erhalten, löschen Sie diese umgehend.
  7. Vereinbaren Sie Updateverpflichtungen und Versicherungsnachweise in allen IT-Serviceverträgen. Die meisten Datenlecks entstehen auf IT-Systemen, auf die ihre Dienstleister (PMS, IBE etc.) Zugriff haben

Wie konnte es passieren, dass es bei Marriott so lange ein solches Leck gegeben hat, das über mehrere Jahre offensichtlich keiner bemerkt hat?

Es ist nicht untypisch, dass von der Kompromittierung eines Systems bis zum Eintritt des Schadensfalls einige Zeit vergeht. Um den genauen Zeitpunkt und Weg der Kompromittierung zu verschleiern ist das sogar sehr schlau. Sie können davon ausgehen, dass auf sehr vielen PCs und Servern Schadsoftware schlummert, die nur darauf wartet, bei Gelegenheit Informationen zu senden. Die Hotellerie ist hier keine Ausnahme. Je interessanter das Ziel ist, desto intelligenter der Angriff. Im Gegensatz zu Banken investieren Hotels allerdings nicht in gleichem Maße in IT-Sicherheit, das gibt die Marge einfach nicht her. Daher sind Hotels eher leichte Ziele für derartige Angriffe.

In welchem Zustand ist die Hotelbranche jetzt? Sollten nun auch andere Hotelunternehmen ihre Datenbestände auf Lecks überprüfen?

Der Daten- und Kontrollverlust ist riesig. Selbstverständlich sind jetzt auch alle anderen Marktteilnehmer alarmiert und prüfen seit Tagen ihre Systeme. Wenn der Data Breach bei Marriott etwas Gutes hat, dann, dass das Thema IT-Sicherheit wieder in den Fokus der Budgetplanung rückt. Qualifizierte Sicherheitsüberprüfungen kosten Geld und die Ressourcen sind begrenzt. Insofern ist man gut beraten, sich mit der Beauftragung von Dienstleistern zu beeilen, bevor die Ressourcen der guten Anbieter für 2019 erschöpft sind.

Was ist für den Hotelier zu tun, wenn ein Hack entdeckt worden ist?

Schnell und verantwortlich handeln. Ohne spezialisierte Hilfe von IT-Experten und Rechtsberatern geht das nicht. Insbesondere sollte widersprüchliche Kommunikation mit Gästen, Dienstleistern, Versicherern und Behörden vermieden werden. Das neue Datenschutzrecht sieht bei relevanten Datenverlusten eine Meldepflicht bei den Datenschutzbehörden binnen 72 Stunden vor, das macht jede Minute kostbar.

Daher mein Tipp: Setzen Sie sich mit den relevanten Mitarbeitern aus Marketing, IT, Rezeption und Verwaltung zusammen und üben sie den Ernstfall „Datenleck“ wenigstens einmal jährlich. Klären Sie dabei mögliche Risikofelder und Verantwortlichkeiten, Vertretungsregelungen und Budgetfragen. Der Fachbegriff lautet hier „Incident Response Management“. Und wenn Sie das einmal durchgespielt haben, lassen Sie sich von Experten helfen, dieses Management um die notwendigen juristischen Komponenten abzurunden.

 

Travel Industry Law, IT- und Datenschutzrecht

Haben Sie als Hotelier weitere Fragen zum Thema IT-Rechtsberatung oder benötigen Sie eine Schulung?
 
Sprechen sie uns an, wir helfen Ihnen gern weiter:
Freecall +49 800 2482000 oder Email info@spiritlegal.com 

Peter Hense ist Mitglied der International Association of Privacy Professionals (IAPP), der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD), des Travel Industry Club e.V. sowie der Hospitality Sales and Marketing Association Deutschland e.V. (HSMA). Seit 2012 ist er Vorstand der Schutzgemeinschaft Hotelprotect e. V. unter der Schirmherrschaft des Hotelverbands Deutschland (IHA).

Einen Kommentar schreiben

Tags

Urheberrecht Distribution unternehmensrecht fotos Webdesign data Sicherheitslücke Bestandsschutz Doxing Werbung Autocomplete Niederlassungsfreiheit Minijob Nutzungsrecht Conversion Löschung Meldepflicht Wettbewerbsrecht Internetrecht Rechtsanwaltsfachangestellte Preisangabenverordnung Apps Internet Europa Restaurant Rechtsprechung § 15 MarkenG Data Breach Online-Portale custom audience Tipppfehlerdomain WLAN Internet of Things Dynamic Keyword Insertion Gegendarstellung Resort §75f HGB Cyber Security Medienrecht ecommerce transparenzregister CNIL Leipzig Extremisten Newsletter Journalisten 2014 LG Köln Consent Management Impressum Osteopathie gdpr Geschmacksmuster Personenbezogene Daten privacy shield Persönlichkeitsrecht verlinken datenverlust Konferenz Hotelvermittler Einwilligung Ofcom britain Linkhaftung technology Boehmermann Suchfunktion patent Algorithmus Transparenz FTC Datenschutzbeauftragter Ferienwohnung NetzDG Kritik Bundesmeldegesetz Türkisch Urheberrechtsreform OTMR fake news Unionsmarke Kreditkarten Gäste jahresabschluss brexit Ring Hinweispflichten Online Marketing ransom Touristik Telefon Google Exklusivitätsklausel Erbe Chat Großbritannien gezielte Behinderung Vergütung Herkunftsfunktion fristen handelsrecht EC-Karten Störerhaftung Entschädigung Heilkunde Amazon Überwachung § 24 MarkenG besondere Darstellung veröffentlichung Finanzierung gender pay gap Social Media Ruby on Rails Unterlassung Hotel Weihnachten Finanzaufsicht Domainrecht Hack Informationsfreiheit schule copter ISPs Anmeldung html5 Hausrecht Beacons Website information technology zugangsvereitelung Werktitel Handynummer Reisen drohnengesetz TeamSpirit Vertragsgestaltung Creative Commons zahlungsdienst SEA Bundeskartellamt informationstechnologie Produktempfehlungen geldwäsche Gesamtpreis email marketing Abwerbeverbot Soziale Netzwerke Behinderungswettbewerb Social Engineering LMIV Data Protection Panoramafreiheit Kleinanlegerschutz Beleidigung anwaltsserie Dokumentationspflicht GmbH Marketing wetteronline.de Einzelhandel hate speech Suchmaschinenbetreiber Zustellbevollmächtigter Wettbewerb Fotografen Meinungsfreiheit Influencer berufspflicht EU-Kosmetik-Verordnung videoüberwachung E-Mail-Marketing Presse Sponsoring Schleichwerbung Onlinevertrieb #emd15 Art. 13 GMV Sitzverlegung Gepäck kündigungsschutz Digitalwirtschaft Scam Geschäftsführer Verbandsklage Opentable Erschöpfungsgrundsatz Customer Service Einverständnis ADV Datenschutzrecht Irreführung Kosmetik Online Shopping Kekse c/o Meinung Flugzeug Asien Ratenparität Beweislast

Die Rechtsanwaltssozietät Spirit Legal LLP berät in- und ausländische Unternehmen mit internationaler Ausrichtung. Unser fachlicher Beratungsschwerpunkt liegt in den Bereichen E-Commerce, Gesellschafts-, Wettbewerbs-, Marken-, IT- und Datenschutzrecht. Dank unserer Branchenerfahrung sind wir in rechtlichen Fragen der spezialisierte Ansprechpartner für Start-ups, Reiseunternehmen und die Hotellerie.

© Spirit Legal LLP 2013 - 2019, alle Rechte vorbehalten