5,25 Millionen unverschlüsselte Passnummern im Marriott-Hotel-Hack

Marriott musste im November 2018 mit einem Riesen-Datenskandal kämpfen. Die Daten von bis zu 500 Millionen Hotelgästen des Unternehmens Marriott International sollen einer Hacker-Attacke abgegriffen worden sein, hieß es damals. Jetzt stellt sich heraus, dass weit weniger Gastdatensätze betroffen sind als damals angenommen.

Marriott sagte, man gehe derzeit davon aus, dass die Gesamtzahl der potenziell involvierten Gäste bei 383 Millionen liegt. Das sind weniger als die ursprüngliche Schätzung von 500 Millionen, aber immer noch einer der größten Sicherheitsverstöße, die es bisher gegeben hat.

Außerdem haben es manche der abgegriffenen Daten in sich: Die größte Hotelkette der Welt bestätigte am Freitag, dass rund 5,25 Millionen unverschlüsselte Passnummern abgerufen wurden. Die Kompromittierung dieser Passnummern hat wegen ihres Wertes für die staatlichen Geheimdienste Alarmsignale bei Sicherheitsexperten ausgelöst.

20,3 Millionen verschlüsselte Passnummern

Das FBI leitet nun die Untersuchung des Datendiebstahls und die Ermittler vermuten, dass die Hacker im Auftrag des chinesischen Ministeriums für Staatssicherheit, der groben Entsprechung der CIA, gearbeitet haben.

Die Hacker konnten zudem etwa 20,3 Millionen verschlüsselte Passnummern abrufen. Es gibt allerdings keine Hinweise darauf, dass sie den für den Zugriff auf diese Daten erforderlichen Hauptverschlüsselungsschlüssel verwenden konnten.

Enorm wertvoll für Geheimdienste

Nicht verschlüsselte Passnummern sind vor allem für staatliche Geheimdienste wertvoll, da sie zur Erstellung detaillierter Dossiers über Personen und ihre internationalen Bewegungen verwendet werden können.

Im Falle Chinas würde es dem Sicherheitsministerium dieses Landes ermöglichen, Datenbanken mit gesammelten Informationen über geschätzte Einzelpersonen hinzuzufügen. Diese Datenpunkte enthalten Informationen zu Gesundheit, Finanzen und Reisen der Menschen.

Kreditkartendaten nicht mehr brauchbar

Die Hacker hätten auch verschlüsselte Informationen zu rund 8,6 Millionen Bezahlkarten erbeutet. Marriott habe keine Hinweise darauf, dass die Angreifer auch an die zum Entschlüsseln der Informationen nötigen Dateien herangekommen seien, hieß es.

Marriott verwies darauf, dass sich alle Kunden auf der Website des Konzerns sowie beim Callcenter darüber informieren können, ob sie von dem Vorfall betroffen sind. An und für sich wurden zudem auch E-Mails mit Informationen geschickt.

Zu den vom Hack betroffenen Starwood-Häusern gehören unter anderem Westin, Sheraton, Le Meridien, St. Regis und W Hotels. Einen unerlaubten Zugang zur Starwood-Datenbank gab es bereits seit 2014, wie Marriott im November mitteilte. Marriott hatte Starwood 2016 für 13,6 Milliarden Dollar (11,93 Mrd. Euro) gekauft - und damit offensichtlich auch die Sicherheitslücke gleich mit. Die vom Hack betroffene Datenbank sei zudem Ende 2018 mit Abschluss der Übernahme abgeschaltet worden, heißt es weiters.

Einer der größten Hacks der Geschichte

Der Hack der Marriott-Datenbanken ist einer der größten Datenlecks der Geschichte. Zum Vergleich: Der Equifax-Hack 2017 hat damals mehr als 145 Millionen Menschen getroffen. Ein Verstoß gegen Target im Jahr 2013 betraf mehr als 41 Millionen Zahlungskartenkonten und offengelegte Kontaktinformationen für mehr als 60 Millionen Kunden.