Booking.com 2016 von Spion in Diensten eines US-Geheimdienst gehackt

Der niederländische Hotelbuchungsdienstleister Booking.com ist Anfang 2016 angeblich von einer Person im Auftrag eines US-Geheimdiensts gehackt worden. Dabei seien Tausende Daten zu Hotelreservierungen im Nahen Osten entwendet worden. Das geht laut der niederländischen Zeitung NRC Handelsblad aus einem Buch hervor, das in dieser Woche veröffentlicht wurde. Bei Booking.com war der digitale Einbruch demnach durch Zufall entdeckt worden. Bei der Analyse habe sich das Unternehmen Hilfe beim niederländischen Geheimdienst AIVD geholt, aber die Datenschutzbehörde sei nicht informiert worden. Booking.com habe behauptet, dass dazu keine Verpflichtung bestanden habe, intern sei die Entscheidung aber mit Unbehagen aufgenommen worden.

Wertvolle Daten für Geheimdienste

Wie das NRC Handelsblad zusammenfasst, war der Cyberangriff Anfang 2016 per Zufall entdeckt worden. In der Security-Abteilung von Booking.com sei entdeckt worden, dass ein Unbekannter über einen schlecht gesicherten Server Zugang zu den internen Systemen erlangt hatte. Er habe auf Tausende Reservierungen in Ländern wie Saudi-Arabien, Katar und den Vereinigten Arabischen Emiraten zugegriffen und unter anderem Zugriff auf Namen von Reisenden und deren Reisepläne erhalten. Intern sei der Einbruch "PIN-Leak" genannt worden, weil die "PINs" der Reservierungen entwendet worden seien. Bei der Aufarbeitung sei Booking.com schließlich in der Lage gewesen, den Angreifer als einen US-Amerikaner ("Andrew") zu identifizieren, der für einen Dienstleister von US-Geheimdiensten arbeitete. Welcher US-Geheimdienst dahintersteckte, sei aber unklar.

Booking.com hat den Einbruch in einer Stellungnahme an die Zeitung eingestanden, versichert aber, dass die Angelegenheit vollumfänglich aufgearbeitet worden sei. Man habe bestätigen können, dass auf keine sensiblen oder finanziellen Daten zugegriffen worden sei. Die Datenschutzaufsicht hätte man nur informieren müssen, wenn es "tatsächliche negative Folgen für das Privatleben von Individuen" gegeben hätte, wofür man keine Beweise gefunden habe. Experten zweifeln gegenüber dem NRC Handelsblad an der Einschätzung, weisen aber vor allem darauf hin, dass man sich überhaupt nicht dafür schämen müsste, wenn man von Geheimdiensten gehackt wird. Wenn die das wirklich wollen, werden sie am Ende "immer erfolgreich sein". Eine Meldung des Angriffs wäre der klügere Schritt gewesen.

Die Zeitung erinnert noch daran, dass aus den von Edward Snowden geleakten NSA-Dokumenten unter anderem hervorgegangen sei, dass westliche Geheimdienste Hotel-Websites ausspionierten, um die Bewegung ausländischer Diplomaten und Diplomatinnen zu überwachen. Mithilfe solcher Daten seien auch Spionageaktivitäten in Hotelzimmern vorbereitet worden. Schon damals habe nahegelegen, dass die weltgrößte Reservierungsseite Booking.com betroffen ist. Der nun enthüllte Cyberangriff wird ausführlich in dem Buch "De Machine" über den Aufstieg des Portals geschildert. Nachdem Booking.com den unautorisierten Zugriff auf Tausende Kundendaten zu spät gemeldet hatte, musste das Unternehmen erst in Frühjahr fast 500.000 Euro Strafe zahlen.

(mho)