Hunderte Millionen Kunden betroffen: Hotelkette Marriott meldet massives Datenleck

Marriott zählt zu den größten Hotelketten der Welt - jetzt meldet das Unternehmen: Schon seit 2014 hätten Dritte auf Angaben von Gästen zugreifen können, darunter auch Bezahlinformationen.

Marriott-Logo

Foto: George Rose/ Getty Images

Eine wichtige Reservierungsdatenbank des Hotelkonzerns Marriot International ist Ziel eines Hackerangriffs geworden. In der Datenbank fanden sich Informationen zu rund einer halben Milliarde Kunden. Konkret geht es um Reservierungen, die vor dem 10. September 2018 in bestimmten Hotels der Kette getätigt wurden. "Wir bedauern diesen Vorfall zutiefst", zitiert Marriott seinen Geschäftsführer Arne Sorenson. Das Datenleck machte das Unternehmen am Freitag selbst auf seiner Website bekannt . Die Behörden seien eingeschaltet worden, heißt es, und Regulierer würden unterrichtet.

Ziel der Attacke war demnach die Reservierungsdatenbank der Marriott-Tochter Starwood. Darin werden Gästeinformationen gespeichert, die zu Tochtermarken wie zum Beispiel Le Méridien, Sheraton Hotels & Resorts und Westin Hotels & Resorts gehören. Marriott selbst verwende ein separates Reservierungssystem, heißt es, das sich in einem anderen Netzwerk befinde.

Wie in einem Frage-und-Antwort-Katalog zu dem Vorfall  erklärt wird, gab es bereits seit 2014 "unbefugten Zugang" zum Starwood-Netzwerk. Eine kürzliche Untersuchung des Unternehmens habe ergeben, dass jemand Unbekanntes Informationen aus dem System kopiert und verschlüsselt hat.

Zahlreiche Daten kopiert

Marriott zufolge wurden im Laufe der Zeit Informationen kopiert, die über Gäste der Hotels gespeichert worden waren. Insgesamt sind demnach bis zu 500 Millionen Gäste betroffen. Zu 327 Millionen davon enthielt die Datenbank allerlei persönliche Daten, darunter "Namen, Postanschriften, Telefonnummern, E-Mail-Adressen, Passnummern, 'Starwood Preferred Guest'-Kontoinformationen, Geburtsdaten, Geschlechter, Ankunfts- und Abfahrtsdaten, Reservierungsdaten und Kommunikationspräferenzen". Zu den restlichen Gästen sollen weniger Informationen abrufbar gewesen sein.

Die genaue Kombination der Daten variiere je nach Gast, schreibt Marriott im Kontext der 327 Millionen Betroffenen - und fügt hinzu, dass bei einer nicht näher genannten Zahl an Personen auch Zahlungskartennummern und Karten-Ablaufdaten zu den kopierten Informationen gezählt hätten.

Die Zahlungskartennummern seien zwar verschlüsselt gewesen, heißt es von Marriott weiter, aber auch: "Für die Entschlüsselung der Zahlungskartennummern sind zwei Komponenten erforderlich, und Marriott konnte an dieser Stelle nicht ausschließen, dass beides entnommen wurde."

Hotels in mehr als 100 Ländern

Marriott selbst gibt an, Hotels in 129 Ländern und Regionen zu betreiben. Die Firma aus dem amerikanischen Bethesda im US-Bundesstaat Maryland zählt damit zu den größten Hotelunternehmen der Welt. Marriott hatte Starwood 2016 übernommen - wie man jetzt weiß, also zu Zeiten, als der Zugriff auf die Reservierungsdatenbank bereits begonnen hatte.

Kunden, die der Vorfall betreffen könnte, rät Marriott nun , sicherheitshalber auf ihren Kontoauszüge für Zahlungskarten nach verdächtigen Aktivitäten Ausschau zu halten und diese gegebenenfalls sofort dem jeweiligen Kartenanbieter zu melden.

"Marriott wird Sie nicht auffordern, Ihr Passwort per Telefon oder E-Mail anzugeben", stellt die Kette außerdem klar - ein sinnvoller Hinweis, will das Unternehmen betroffene Kunden doch nun auch per E-Mail informieren.

Wenn Sie eine E-Mail rund um den Marriott-Hack oder sonst eine unverlangte, verdächtige Mail erhalten, sollten Sie also vorsichtig sein. Hinter der Nachricht könnten auch Kriminelle stecken, die durch das Datenleck an Ihre Daten gelangt sind.