Datendiebstahl bei Best Western: Statt 8 Millionen nur 10 Kunden betroffen?
Best Western gibt nur Einbruch in einen Computer eines Berliner Hotels zu, die Story des schottischen Reporters wird allerdings von anderer Seite bestätigt.
- Florian Rötzer
Die Hotelkette Best Western bestreitet den Bericht der schottischen Zeitung Sunday Herald, dass ein indischer Hacker durch das Einschmuggeln eines Trojaners auf einen Computer Zugriff auf das Reservierungssystem für europäische Kunden erhalten habe. Die Zeitung hatte berichtet, dass Daten von bis zu 8 Millionen Kunden, einschließlich Kreditkarteninformationen, entwendet worden sein könnten. Der Hacker habe die Daten auf einer russischen Website angeboten.
In einer Stellungnahme der Hotelkette heißt es nun, dass der Bericht "jeglicher Grundlage" entbehre. Es sei zu keinem Angriff auf das Reservierungssystem gekommen: "Best Western bestätigt vielmehr, dass es zu einem Vorfall in einem einzelnen Hotel in Deutschland gekommen ist, in dem einem Hacker über einen PC-Virus Zugang zu zehn Gästedaten geglückt ist." Man habe die Kunden des Best Western Hotel am Schloss Köpenick umgehend informiert und die Polizei eingeschaltet, erklärt Best Western.
Überdies halte man sich an die Datensicherheitsnormen (DSS) der Payment Card Industry (PCI) und lösche "sämtliche Kreditkarteninformationen und alle anderen persönlichen Informationen" der Gäste sofort nach deren Abreise. Bestenfalls hätte ein Hacker also die Daten der Gäste entwenden können, die gegenwärtig im Hotel sind, die das Hotel während der letzten sieben Tage verlassen haben oder die Zimmer reserviert haben. Der Hacker habe dreimal versucht, sich einzuloggen, um an das Reservierungssystem des Hotels zu gelangen. Angeblich seien ihm dabei nur die Daten von zehn Kunden in die Hände gefallen. Nachdem das Antivirensystem den Trojaner erkannt habe, seien alle Computer sicherheitshalber abgeschaltet, der betroffene Computer sei nicht mehr benutzt worden.
Ein Bericht der australischen IT Wire bestreitet allerdings die Version von Best Western. Der Autor berichtet, er habe die Screenshots des Reporters des Sunday Herald, Iain S. Bruce, gesehen, die dessen Darstellung unterstützen. Darauf sei die Eingabemaske der Reservierungsdatenbank für alle europäischen Hotels zu sehen, mitsamt einer Suche, die ein Jahr zurückreicht. Auf anderen Screenshots seien auch Namen und Adressen von Kunden, volle Kreditkarteninformationen und Hinweise auf häufige Gäste zu erkennen. Nach Angaben von Bruce habe der Hacker auf einer Underground-Website die Daten angeboten und erklärt, es handele sich um die Kundendaten des Reservierungssystems für alle 1.300 europäischen Hotels. Ein Angestellter von Best Western habe Bruce für den Hinweis auf den Hack gedankt und die Zahl der gestohlenen Daten bestätigt. (fr)