Hackerangriff auf Hotelkette Motel One

(MB) Bei einem Hackerangriff auf die deutsche Hotelkette Motel One ist es Angreifern gelungen, Daten in einem großen Umfang zu erbeuten.

Motel One berichtet über Hackerangriff

Das Unternehmen teilte am 30.September 2023 in einem Beitrag auf der Online-Plattform X mit, dass es Ziel einer Ransomware-Attacke geworden sei. Insgesamt sollen Daten in einem Umfang von sechs Terabyte gestohlen worden sein, bei denen es sich um Adress- und Rechnungsdaten sowie in 150 Fällen um Kreditkarteninformationen handele.

Die Süddeutsche Zeitung berichtet von Millionen Betroffenen. Konkret seien Übernachtungslisten aus den letzten Jahren seit 2016 gestohlen worden, die privaten Rechnungsadressen, Geburtsdaten von Kunden, interne Geschäftszahlen und Handynummern von Mitarbeitenden enthielten.

Motel One betont, dass sie über umfassende und hohe Sicherheitsstandards zum Schutz von personenbezogenen Daten verfügen und der erfolgreiche Zugriff auf ihre Systeme auf die hohe kriminelle Energie der Hackergruppe zurückzuführen sei. Der Gründer und Mitinhaber von Motel One, der selbst zu den vom Datenklau betroffenen Person gehört, fordert die Politik zur deutlichen Verstärkung der Cyberabwehr auf.

Hackergruppe bekennt sich zum Angriff

Zu den Angriffen bekannte sich die russische Cybercrime-Bande AlphV, die zu Beweiszwecken im Darknet Screenshots der Motel One-Korrespondenz, Excel-Tabellen und Zugang zu internen und fremden Backends hochlud. Das Darknet ist ein verschlüsselter Teil des Internets, der nicht über herkömmliche Suchmaschinen zugänglich ist und oft für anonyme Aktivitäten verwendet wird, darunter illegale Handelsplattformen und anonyme Kommunikation. Die Hackergruppe fiel bereits in der Vergangenheit mit der Veröffentlichung gestohlener Patientenbilder auf.

Auch wenn Motel One selbst, noch von unbekannten Angreifern spricht, bestätigt das Unternehmen die Veröffentlichung der gestohlenen Daten im Darknet.

Was ist Ransomware

Ransomware-Angriffe stellen eine ernsthafte Bedrohung für staatliche Institutionen, Unternehmen und die Gesellschaft dar. Bei solchen Attacken verwenden Hacker Schadsoftware, um Daten und Systeme zu verschlüsseln und verlangen dann Lösegeld für die Entschlüsselung. Zusätzlich drohen sie damit, gestohlene Daten zu veröffentlichen. Diese Angriffe können dazu führen, dass Dienstleistungen und Geschäftsprozesse zum Erliegen kommen und die IT-Systeme in Unternehmen gestört werden. Hinzu kommt, dass durch Professionalisierung der Angreifer die Schwelle für solche Angriffe gesenkt wurde, was noch mehr Täter anzieht.

Das Bundeskriminalamt (BKA) bestätigte in seinem Cybercrime-Lagebild für 2022, dass Ransomware das höchste Schadenspotenzial unter allen Arten von Schadsoftware aufweist. Die Schäden für Unternehmen bestehen nicht nur aus dem gezahlten Lösegeld, sondern auch aus Ausfallzeiten, Betriebsunterbrechungen und Wiederherstellungskosten. Im letzten Jahr wurde jedoch ein Rückgang der Bereitschaft von Unternehmen beobachtet, Lösegeld zu zahlen. In Reaktion darauf versuchen die Hacker, höhere Lösegelder zu erpressen und richten sich dabei nach der Zahlungsfähigkeit der Unternehmen. Dies führt dazu, dass vermehrt große zahlungskräftige Unternehmen wie Motel One ins Visier der Hacker geraten. Dennoch bleiben auch kleine und mittelständische Unternehmen, für die ein Ransomware-Angriff existenzbedrohliche Konsequenzen haben kann, weiterhin ein Ziel der Angreifer.

Maßnahmen von Motel One

Unmittelbar nach der Entdeckung des Hackerangriffs wurden unverzüglich Maßnahmen ergriffen, um einen weiteren Zugriff auf personenbezogene Daten zu verhindern. Gleichzeitig informierte das Unternehmen die zuständigen Datenschutzbehörden über den Vorfall und erstattete eine Anzeige bei der Polizei. Motel One setzte einen IT-Sicherheitsdienstleister zur gründlichen Untersuchung des Vorfalls ein, bei der die von den Angreifern ausgenutzte Sicherheitslücke identifiziert und unverzüglich geschlossen wurde. Darüber hinaus wurden betroffene Personen, deren Kreditkartendaten gestohlen wurden, von Motel One benachrichtigt, was den rechtlichen Anforderungen nach Art. 34 Abs. 1 DS-GVO aufgrund des hohen Risikos, das mit dem Kreditkartendatendiebstahl verbunden ist, entspricht.

Mögliche Folgen und Konsequenzen des Hackerangriffs

Für die betroffenen Personen:

Die Entwendung von Kreditkartendaten, Adressen, Telefonnummern sowie potenziell Arbeiterinformationen kann für betroffene Personen ein erhebliches Risiko für Stalking, Kreditkartenbetrug und Identitätsdiebstahl darstellen. Nach bisherigen Erkenntnissen von Motel One, sei jedoch bislang noch kein nachweisbarer materieller Schaden bei den betroffenen Personen aufgetreten. Dennoch fordert Motel One seine Kunden auf, sich bei Anzeichen für Datenmissbrauch über eine bereitgestellte E-Mail zu melden.

Für Motel One:

Motel One verkündete, dass der Geschäftsbetrieb und Reservierungen zu keiner Zeit gefährdet waren. Konsequenzen drohen jedoch aufgrund von Datenschutzverletzungen, für die Motel One möglicherweise verantwortlich gemacht werden kann. Gründe hierfür sind die Vielzahl der Daten und die lange Speicherung der personenbezogenen Daten durch Motel One. Denn nach Art. 5 Abs. 1 lit. e) DS-GVO dürfen personenbezogenen Daten nur so lange gespeichert werden, wie es für die Zwecke, für die sie erhoben oder verarbeitet werden, erforderlich sind. Sobald die Daten für diese Zwecke nicht mehr benötigt werden, müssen sie gelöscht werden. Da durch den Hackerangriff aufgedeckt wurde, dass Motel One seit 2016 Übernachtungslisten gespeichert hat und die Hotelkette keine plausible Erklärung für die lange Speicherdauer vorlegen konnte, droht ihr gem. Art. 83 Abs. 5 lit. a) DS-GVO eine Geldbuße von bis zu 20 000 000 EUR oder von bis zu 4 % des weltweiten Gesamtjahresumsatzes des vorangegangenen Geschäftsjahres.

Darüber hinaus könnten gem. Art. 82 DS-GVO betroffene Personen bei denen aufgrund des Verstoßes ein materieller oder immaterieller Schaden entstanden ist, einen Anspruch auf Schadenersatz gegen Motel One haben.

Empfehlungen für betroffene Personen

Die bayerische Datenschutzbehörde fordert betroffene Personen dazu auf, ihre Aufmerksamkeit zu erhöhen und empfiehlt, in ihren E-Mail-Postfächern besonders auf Absender zu achten, die unbekannt oder überraschend erscheinen, um Manipulations- und Angriffsversuche frühzeitig zu erkennen. Im schlimmsten Fall, beispielsweise bei anhaltenden und schwerwiegenden Angriffen, sollte der Verzicht auf eine weitere Verwendung der betroffenen E-Mail-Adresse in Erwägung gezogen werden.

Darüber hinaus sollten die vom Kreditkarten-/Bankdatendiebstahl betroffenen Personen unbedingt ihre Bank informieren und ihre Zugangsdaten für das Online-Banking ändern.

Handlungsempfehlung

Hackerangriffe stellen ein erhebliches Risiko für Unternehmen und die betroffenen Personen dar. Angesichts der wachsenden kriminellen Energie von Hackergruppen gestaltet sich die Vorhersage und erfolgreiche Abwehr von solchen Angriffen als äußerst herausfordernd. Umso mehr kommt der kontinuierlichen Einhaltung der Bestimmungen der DS-GVO eine entscheidendere Bedeutung zu.

Falls Sie Fragen haben oder Unterstützung benötigen, stehen unsere Datenschutz-, Informationssicherheits- und Cybersecurity-Experten Ihnen jederzeit zur Verfügung. 

Quellen:

(AG) Die neue EU-Verordnung DORA ist da und stellt einen wichtigen Schritt in Richtung einer erhöhten digitalen operationalen Resilienz bzw.…

Combined Shape

27.03.2024 Blog | Cybersecurity, Informationssicherheit

Die Netz- und Informationssicherheitsrichtlinie 2 (NIS-2) ist eine neue Sicherheitsrichtlinie der EU, die die Cyber- und Informationssicherheit in der…

Combined Shape

27.12.2023 Blog | Update-News, Datenschutz, Informationssicherheit

Der Einsatz von generativer Künstlicher Intelligenz (KI) in Unternehmen eröffnet neue Möglichkeiten, geht jedoch mit erheblichen…

Combined Shape

13.11.2023 Blog | Cybersecurity, Informationssicherheit

(MB) Bei einem Hackerangriff auf die deutsche Hotelkette Motel One ist es Angreifern gelungen, Daten in einem großen Umfang zu erbeuten.

Combined Shape

18.10.2023 Blog | Update-News, Datenschutz, Informationssicherheit

(AG) In Deutschland nutzen ca. 80% der Bevölkerung ab 14 Jahren Kommunikationsdienste wie WhatsApp. Doch was ist, wenn wir in einem privaten Chat…

Combined Shape

17.10.2023 Blog | Update-News, Datenschutz, Informationssicherheit

(AR) In einer zunehmend vernetzten Welt sind öffentliche WLAN-Netzwerke zu einem festen Bestandteil unseres Alltags geworden. Ob in Cafes, Flughäfen…

Combined Shape

14.12.2022 Blog | Informationssicherheit

Die Online-Dienste von Microsoft sind sowohl aus dem privatunternehmerischen als auch aus dem öffentlichen (u.a. Schulen und Behörden) Alltag nicht…

Combined Shape

08.06.2022 Blog | Update-News, Datenschutz, Informationssicherheit

Wie das Nachrichtenportal „heise online“ berichtete (Zero Day Lücke in Microsoft Office erlaubt Codeschmuggel), haben Sicherheitsforscher eine…

Combined Shape

01.02.2022 Blog | Cybersecurity, Informationssicherheit

Für ziemlich alle angebotenen Dienste im Internet wird heutzutage ein persönliches Benutzerkonto inklusive Passwort benötigt. Passwörter sind damit…

Combined Shape

15.06.2021 Blog | Cybersecurity, Informationssicherheit

Wie schlimm die möglichen Folgen der sog. FragAttacks (Fragmentation and Aggregation Attacks) in WLAN-Netzwerken wirklich sind und welche…

Combined Shape

Podcasts

Ein IT-Sicherheitsvorfall kann für Unternehmen schwerwiegende Folgen haben.

Combined Shape

Der Digital Operational Resilience Act (DORA) soll in der EU einen einheitlichen Rahmen für ein effektives und umfassendes Management von…

Combined Shape

21.05.2024 Podcast | Update-News, Datenschutz, Informationssicherheit

Begleite uns in die Welt der Künstlichen Intelligenz (KI) und ihrer neuen Regulierung!

Combined Shape

In diesem Podcast nehmen wir dich mit auf eine Reise durch die Vorbereitung auf NIS-2.

Combined Shape

In dieser Folge geht es um die Chancen und Risiken des Einsatzes von KI in Unternehmen. Es geht um Anforderungen, rechtliche Unsicherheiten und…

Combined Shape

In dieser Folge geht es um den Wert der Priavtsphäre und warum Datenschutzmanagement wichtig ist.

Combined Shape

Gute Nachrichten! Die Ära der Passwörter ist vorbei!

Combined Shape

In diesem Podcast geht es um das Thema ISO-Zertifizierungen im digitalen Zeitalter.

Combined Shape

28.02.2023 Podcast | Cybersecurity, Informationssicherheit

In diesem Podcast befassen wir uns mit potenziellen IT-Sicherheitsrisiken, denen öffentliche Einrichtungen beim Betrieb von Open-Source-Software im…

Combined Shape

In unserer neusten Folge geht es um das wichtige Thema Business Continuity Management.

Combined Shape

In der neuen Folge „audatis DIALOG – Datenschutz und Informationssicherheit praxisnah“ geht es um das Zusammenspiel von physischer Sicherheit und…

Combined Shape

In der neuen Folge „audatis DIALOG – Datenschutz und Informationssicherheit praxisnah“ geht es um die technische Anwendung von Datenschutz auf…

Combined Shape

In der neuen Folge „audatis DIALOG – Datenschutz und Informationssicherheit praxisnah“ geht es um Business Continuity Management.

Combined Shape

22.03.2022 Podcast | Informationssicherheit

In der neuen Folge geht es um die anlasslose Prüfung durch das BayLDA.

Combined Shape

22.02.2022 Podcast | Cybersecurity, Informationssicherheit

In der neuen Folge „audatis DIALOG – Datenschutz und Informationssicherheit praxisnah“ geht es um das Zero Trust Sicherheitsmodell.

Combined Shape

02.11.2021 Podcast | Informationssicherheit

In der neuen Folge "audatis DIALOG - Datenschutz und Informationssicherheit praxisnah" geht es um Videoüberwachung.

Combined Shape

19.10.2021 Podcast | Update-News, Datenschutz, Informationssicherheit

In der neuen Folge "audatis DIALOG - Datenschutz und Informationssicherheit praxisnah" geht es um Datenpannen.

Combined Shape

In der neuen Folge geht es um Sicherheit in Lieferketten und welche Rolle die Dienstleister dabei spielen.

Combined Shape

13.04.2021 Podcast | Update-News, Datenschutz, Informationssicherheit

Die neue Folge behandelt den Drittstaatentransfer mit aktuellem Bezug zum US-Anbieter Mailchimp, nachdem eine Beschwerde gegen ein Unternehmen…

Combined Shape

30.03.2021 Podcast | Informationssicherheit

Im aktuellen Podcast geht es um den aktuellen Vorfall und die Sicherheitslücken bei Microsoft Exchange.

Combined Shape

02.03.2021 Podcast | Update-News, Datenschutz, Informationssicherheit

In der neuen Folge geht es um KI und wie diese mit datenschutzrechtlichen Anforderungen zusammenzubringen ist.

Combined Shape

02.02.2021 Podcast | Update-News, Datenschutz, Informationssicherheit

In der neuen Folge geht es um den Hype um die neue, exklusive Social Media Plattform Clubhouse und ihren Datenschutz.

Combined Shape

In der neuen Folge geht es um Incident Management und IT-Sicherheitsvorfälle.

Combined Shape

10.11.2020 Podcast | Informationssicherheit

In der neuen Folge geht es um die Sicherheit von Passwörtern, die Auswirkungen von unsicherer Passwortverwaltung und dem Einsatz von Passwortmanagern.

Combined Shape

27.10.2020 Podcast | Informationssicherheit

Im aktuellen "audatis DIALOG - Datenschutz und Informationssicherheit praxisnah" geht es um Datensammelflut bei Alltagsgegenständen.

Combined Shape

29.09.2020 Podcast | Informationssicherheit

Im aktuellen "audatis DIALOG - Datenschutz und Informationssicherheit praxisnah" geht es um den TISAX® Standard zur Informationssicherheit.

Combined Shape

01.09.2020 Podcast | Informationssicherheit

Im aktuellen "audatis DIALOG - Datenschutz und Informationssicherheit praxisnah" geht es um die sichere Softwareentwicklung.

Combined Shape

Im aktuellen "audatis DIALOG - Datenschutz und Informationssicherheit praxisnah" geht es um Sprachassistenten und Kameras im Gesundheitswesen.

Combined Shape

Im aktuellen "audatis DIALOG - Datenschutz und Informationssicherheit praxisnah" geht es um Security Awareness und Social Engineering im Zusammenhang…

Combined Shape

Im aktuellen "audatis DIALOG - Datenschutz und Informationssicherheit praxisnah" geht es um die aktuelle IT-Security Bedrohungslage für Unternehmen.

Combined Shape

26.05.2020 Podcast | Update-News, Datenschutz, Informationssicherheit

In dieser Folge geht es um Startups und Unternehmensgründung und die pragmatische Umsetzung vom Datenschutz und der Informationssicherheit sowie das…

Combined Shape

Im aktuellen "audatis DIALOG - Datenschutz und Informationssicherheit praxisnah" geht es um die Arbeitszeiterfassung per App oder in der Cloud.

Combined Shape

28.04.2020 Podcast | Update-News, Datenschutz, Informationssicherheit

In der Folge geht es um die Einführung von Microsoft 365 (vormals bekannt als Office 365) sowie die Risiken aus Sicht eines Unternehmens.

Combined Shape