MotelOne-Hack: Daten veröffentlicht, Datenschützer und Gäste in Sorge
BlackCat hat fast 6 TByte Daten der Hotelkette MotelOne veröffentlicht, darunter auch sensible personenbezogene Informationen. Gäste sollten handeln.
Über fünf TByte an Daten und mehrere Millionen Dateien aus dem Bestand der Hotelkette MotelOne sind nach Ablauf einer fünftägigen Frist im Darknet aufgetaucht. Offenbar haben die Cyberkriminellen von BlackCat vergeblich auf Lösegeld gewartet und schritten nun zur Tat.
In der vergangenen Woche wurde bekannt, dass MotelOne Opfer der Erpresserbande geworden war. Die Veröffentlichung kommt nicht überraschend: Die auch als ALPHV bekannte Cybergang ist nicht für leere Drohungen bekannt und hatte auf ihrer Darknet-Präsenz bereits mehrfach umfangreiche Datensätze, darunter hochsensible Patientendaten, hochgeladen. So auch in diesem Fall: Auf dem BlackCat-Webserver finden sich verschiedenste Dateien der Hotelkette, darunter Marketingmaterial wie Speisekarten, aber auch Gästelisten und eine – wenn auch veraltete – Keepass-Passwortdatenbank. Von heise online genommene Stichproben lassen erahnen, dass die Daten teilweise mehr als fünf Jahre alt sind, einige Dateien stammen jedoch auch von August diesen Jahres.
MotelOne bemüht sich um Schadensbegrenzung
Eine MotelOne-Sprecherin erklärte gegenüber heise online, man habe "nach Kenntnis des Hackerangriffs unverzüglich sichergestellt, dass keine weiteren personenbezogenen Daten von der Hackergruppe erlangt werden können." Es seien zudem die zuständigen Behörden in Kenntnis gesetzt sowie eine Strafanzeige gestellt worden.
Alle betroffenen Kreditkartenhalter seien – sofern die Karten noch gültig sind – informiert worden und man melde sich nötigenfalls direkt bei weiteren Betroffenen, sagte die Sprecherin. Um zukünftige unrechtmäßige Zugriffe zu vermeiden, habe man auch externe Sicherheitsexperten hinzugezogen.
Betroffene können Rechte geltend machen
Das dürfte weder die betroffenen Gäste noch Datenschützer beruhigen. Der Prozessfinanzierer EuGD hat bereits eine Informationsseite für Betroffene eingerichtet und verspricht, Schadenersatzansprüche zu prüfen. EuGD-Geschäftsführer Thomas Bindl warnt gegenüber heise online davor, den Vorfall auf die leichte Schulter zu nehmen: "Auf Basis der geleakten Daten können Reiseprofile über fast 5 Jahre erstellt werden, Geschäftsbeziehungen könnten analysiert werden, ebenso wie private Hotel-Aufenthalte, deren Veröffentlichung zu signifikanten Einschnitten im Leben der Betroffenen führen könnten."
Neben der Möglichkeit immateriellen Schadenersatzes stehen den Betroffenen gemäß DSGVO umfangreiche Auskunftsrechte zu. Wer also in den vergangenen fünf Jahren in einem Hotel der Kette zu Gast war, kann sich per E-Mail direkt an MotelOne wenden, um Auskunft zu erhalten. Zu diesem Zweck hat die Hotelkette eine Kontaktadresse und ein knappes Statement im Pressebereich ihrer Website veröffentlicht.
Weiteres Ungemach droht MotelOne von der zuständigen Aufsichtsbehörde. Neben der Frage, ob die Speicherpraxis und -dauer den hohen Maßstäben der DSGVO genügt, könnten empfindliche Bußgelder drohen. So hatte die britische Aufsichtsbehörde ICO im Jahr 2019 gegen die Hotelkette Marriot nach einem Datenleck in ihrem Buchungssystem ein neunstelliges Bußgeld verhängt. Allerdings waren hier erheblich mehr Datensätze nach außen gedrungen.
Parallel zum Bekanntwerden des Datenlecks verkündete der MotelOne-Gründer den Plan, das Unternehmen an die Börse zu bringen. Wie Dieter Müller im Interview mit der Branchenzeitung AHGZ verriet, plant die Kette gemeinsam mit ihren Eigentümern den Börsengang in den nächsten zwei bis drei Jahren und peilt eine Bewertung von 4,5 bis 5 Milliarden Euro an.
(cku)