Der Verstoß ereignete sich irgendwann im Jahr 2014, wurde aber erst 2018 entdeckt, als ein internes Sicherheitstool einen verdächtigen Versuch entdeckte, auf die interne Gästereservierungsdatenbank für die Starwood-Marken von Marriott zuzugreifen. Starwood Hotels wurde 2016 von Marriott übernommen, wodurch 11 neue Marken zu den ursprünglichen 19 Vermögenswerten von Marriott International hinzugefügt wurden.

Die interne Sicherheitswarnung löste eine Untersuchung aus, bei der festgestellt wurde, dass das Starwood-Netzwerk 2014 vor der Übernahme kompromittiert wurde. Starwood hatte Mariotts Reservierungssystem 2018 nicht migriert; Starwood-Marken nutzten immer noch veraltete IT-Infrastrukturen, was zum Umfang und Ausmaß der Datenschutzverletzung beitrug.

Bei seiner internen Untersuchung stellte Marriott fest, dass Hacker Daten verschlüsselt und aus dem Starwood-System entfernt hatten. Diese Informationen enthielten Informationen aus bis zu 500 Millionen Gästedatensätzen – obwohl einige dieser Datensätze Duplikate waren. Als sie den Verstoß ankündigten, sagte Marriott, dass die Hacker Gastinformationen gestohlen hätten , die „Name, Postanschrift, Telefonnummer, E-Mail-Adresse, Passnummer, Starwood Preferred Guest („SPG“)-Kontoinformationen, Geburtsdatum, Geschlecht, Ankunft enthielten und Abfahrtsinformationen, Reservierungsdatum und Kommunikationspräferenzen. Bei einigen dieser Gäste wurden auch Zahlungskartendaten gestohlen, aber Marriott hat nicht gesagt, für wie viele.“

Die eigentlichen Einzelheiten des Angriffs werden ziemlich technisch, aber es gab einige geschäftliche und kulturelle Praktiken bei Starwood, die untermauern, wie einfach es für einen schlechten Schauspieler war, auf so viele Gastaufzeichnungen zuzugreifen.

Der Cybersicherheitsexperte von Crowdstrike, Ryan Cornateanu, sagte gegenüber Hotel Tech Report : „Der Angriff auf Marriott verlief glücklos und ein beliebter Einstiegspunkt für Angreifer ist E-Mail-Spoofing. Diese Taktik wird beim Phishing verwendet, um Malware in ein Zielnetzwerk zu bringen, um sich dann seitlich über alle Systeme zu bewegen. Von dort aus können Hacker Kontonummern, Führerscheinnummern und andere sensible Informationen aus Treueprogrammen und Reservierungssystemen nutzen. Die Datenschutz-Grundverordnung hat zum Schutz der Verbraucher einen langen Weg zurückgelegt, aber es ist nur begrenzt möglich, wenn ein Hacker in der Lage ist, Anmeldeinformationen zu sichern oder direkt auf Server zuzugreifen.“

Starwood war bekannt dafür, ein unsicheres Reservierungssystem zu haben; Ein separater Angriff im Jahr 2015 gefährdete Daten und wurde acht Monate lang nicht erkannt . Marriott verschärfte das Problem dann, indem es während der Übernahme im Jahr 2016 IT-Mitarbeiter von Starwoods entließ. Der Personalmangel hinderte Marriott daran, neu hinzugefügte Hotelimmobilien schnell in sein eigenes internes Reservierungssystem zu integrieren. Das ohnehin schon unsichere Gästereservierungssystem von Starwood „hinkte daher „zombieartig, mit Malware infiziert, von Hackern geknackt und ohne viel Kontinuität der Pflege weitere zwei Jahre weiter, bevor die Lücke schließlich entdeckt wurde“, berichtet CSO Online .

Auf die Frage, wer Marriott gehackt hat, ist diese Antwort sogar noch komplizierter. Sowohl die New York Times als auch die Washington Post berichteten, dass der Angriff Teil einer staatlich geförderten Geheimdienstaktion im Auftrag der chinesischen Regierung war. Muster im Code sowie die Methode der Angriffs-Echo-Techniken, die zuvor von chinesischen Hackern verwendet wurden, und keine der Gastaufzeichnungen landete im Darknet zum Verkauf – ein Hinweis darauf, dass dies kein Hack mit Gewinnzweck war.

Aus finanzieller Sicht sah sich Marriott infolge dieser Datenschutzverletzung mit erheblichen Strafen konfrontiert. Gegen die Marke wurden mehrere Sammelklagen eingereicht, die auf das Versäumnis von Marriott abzielten, seine Due-Diligence-Prüfung der IT-Systeme von Starwood durchzuführen. Zusätzlich zu den Klagen erklärte sich Marriott bereit, Passersatz für Kunden zu bezahlen, die Opfer der Datenschutzverletzung wurden.

Unabhängig davon verhängte das Information Commissioner’s Office (ICO) des Vereinigten Königreichs, eine Aufsichtsbehörde für Verbraucherrechte, eine Geldstrafe von 23,8 Millionen US-Dollar (gegenüber der ursprünglichen Strafe von 123 Millionen US-Dollar) gegen Marriott, weil es die von der DSGVO geforderten Sicherheitsstandards nicht erfüllt hatte. Das ICO argumentiert , dass Marriott es versäumt habe, bei der Verarbeitung von Daten „geeignete technische oder organisatorische Maßnahmen zu ergreifen“, obwohl es auch anerkennt, dass Marriott seitdem die richtigen Maßnahmen zur Verbesserung der Sicherheit ergriffen hat. Bemerkenswerterweise wäre die ursprüngliche Geldbuße von 123 Millionen US-Dollar eine der größten Strafen gewesen, die im Rahmen der DSGVO verhängt wurden, und machte etwa 3 % der Gesamteinnahmen von Marriott aus.

Es stimmt, dass Marriott diese Datenpanne finanziell wahrscheinlich überleben wird. Die Kundenzufriedenheitswerte gingen jedoch im Jahr 2019 zurück , was die Marke mit Hilton gleichzog und darauf hindeutet, dass der Verstoß die Gästebindung langfristig schädigen könnte. Studien zeigen, dass fast ein Viertel der Amerikaner keine Geschäfte mehr mit einem Unternehmen machen, das gehackt wurde, während mehr als zwei von drei Personen einem Unternehmen nach einer Datenpanne weniger vertrauen.

Letztendlich sind Unabhängige viel sicherer als Marken, weil sie weniger attraktive Beute für Hacker haben. Weniger Beute bedeutet weniger Anreiz. Darüber hinaus arbeiten Unabhängige oft mit erstklassigen Technologieanbietern zusammen, anstatt zu versuchen, Systeme intern zu entwickeln. Diese Anbieter sind Venture-Backed und ergreifen große Maßnahmen, um die Datensicherheit zu gewährleisten. Hoteliers sollten nach Softwareanbietern suchen, die strenge Standards in Bezug auf moderne regulatorische Rahmenbedingungen wie SOC-2 , GDPR, PSD2 und PCI- Compliance erfüllen.

Aber auch unter Unabhängigen ist das Gastgewerbe ein attraktives Ziel für Hacker. Es gibt eine riesige Menge an personenbezogenen Daten, die von Hotels gesammelt werden, und oft veraltete oder wenige Sicherheitsprotokolle, die diese wertvollen Daten schützen. Es ist nicht ausgeschlossen, dass Ihr Hotel in Zukunft das Ziel eines Cyber-Angriffs sein könnte: Es ist jedoch entscheidend, die Fehler zu vermeiden, die Marriott begangen hat, als es vier Jahre lang die Lücke nicht gefunden hat.

Die erste Priorität des IT-Teams eines jeden Hotels sollte die Verschlüsselung der Gästedaten und die Einrichtung von Warnungen sein, die sofort warnen, wenn eine potenzielle Sicherheitsverletzung vorliegt. Legacy-IT muss auf den neuesten Stand gebracht werden; Stellen Sie sicher, dass die neueste Version Ihrer Software auf allen Geräten installiert ist. Sicherheitsupdates enthalten oft Patches und neue Fixes, die sich mit der Bedrohungslandschaft weiterentwickeln. Und halten Sie einen Plan bereit, um mit Kunden zu kommunizieren, sobald Sie das Gefühl haben, dass es zu einem Verstoß gekommen ist. Die Frage sollte nicht lauten, „ob“ es zu einem Cyberangriff kommt – sondern wann.