Marriott Data Breach - Eine Case Study zu Datensicherheit

Regelmäßige Schulungen und Mitarbeiter-Weiterbildungen gibt es in vielen Bereichen wie Arbeitssicherheit, Gesundheit und Kommunikation. In den Bereichen IT, Programmieren und vor allem Datensicherheit ist dies in Deutschland noch sehr unüblich. Dabei gibt es in jüngster Zeit genügend Beispiele, warum wir mehr für IT Wissen und Sicherheitsbewusstsein tun müssten. Der wirtschaftliche Schaden durch Hackerangriffe für Deutsche Unternehmen wächst stetig weiter - laut Bitkom sind Angriffe allein seit 2019 (bis 2021) um 358 Prozent angestiegen und betreffen 86 Prozent aller Unternehmen.

Ein gutes Beispiel ist der Fall der Hotel Gruppe Marriott, die im Jahr 2014 über einen Hackerangriff weltweit Daten von etwa 339 Millionen Gästen verloren haben. Darunter waren Namen, Adressen, Zahlungsdaten, Email Adressen, unverschlüsselte Reisepassnummern, Telefonnummern und Ankunfts/Abreiseinformationen. Die Sicherheitslücke im Netzwerk der Tochterkette Starwood Hotels wurde erst viele Jahre später im November 2018 entdeckt. Die Hotelgruppe wurde daraufhin zu £18.4 Millionen Strafe durch die ICO verurteilt, da sie keine passenden technischen oder organisatorischen Maßnahmen zum Datenschutz von Kundendaten in internen System vorgesehen hatte.

Die Marriott Gruppe gelobte Besserung, verlor allerdings im Januar 2020 erneut Daten von 5.2 Millionen Gästen. Auch hier waren ähnliche Datensätze von Kunden wie Reisepass, Namen und Anschrift unter den gestohlenen Daten. Nachdem interne Systeme nachgerüstet wurden, haben Hacker dieses Mal den Weg über Social Engineering erfolgreich genutzt und sind laut Marriott Statement an Logindaten von zwei Franchise Mitarbeiter:innen eingedrungen.

Damit aber noch nicht genug, denn im Juni 2022 kam der nächste Hack ans Licht bei dem erneut ca. 20 Gigabyte an Daten gestohlen wurden. Wie DataBreaches.net bekannt gegeben hat, handelt es sich tatsächlich um neue Daten, die vom BWI Airport Marriott kamen und persönliche Informationen sowie Kreditkartendaten enthalten. Auch hier kam Social Engineering zum Einsatz womit die Hacker sich Zugriff auf einen Rechner verschaffen konnten.

Die Angriffe auf Marriott sind quasi ein Lehrbuchbeispiel für Datensicherheit, Auswirkungen von Datenverlust und der Umgang damit. Nachdem das IT Thema zunächst verschlafen wurde und Marriott erst nach Strafen von Behörden zur Nachbesserung gezwungen wurde, kam ein der Social Engineering Weg zum Einsatz. Dieses Ausgangsszenario trifft auch auf viele deutsche Betriebe zu und macht den Weg für Social Engineering besonders leicht, da Sicherheitsbewusstsein in der Unternehmenskultur nie ein Thema war.

Natürlich ist das Spielfeld für Firmen-IT Mitarbeiter schwierig, denn diese müssten zu 100 Prozent alles richtig machen, während Hacker nur ein einziges Mal erfolgreich sein müssen, um Zugriff auf Systeme zu bekommen. Daher sollte IT Sicherheit nicht mit Hardware, Equipment und IT Mitarbeitern:innen aufhören, sondern gerade deswegen noch weiter gestreut werden. Alle Mitarbeiter:innen brauchen ein Bewusstsein für Angriffsmethoden von Hackern, sowie wie man sich im Internet richtig verhält. Dadurch können Social Engineering Angriffsvektoren minimiert werden. Den bekannten Trick einen infizierten USB Stick im Firmenparkplatz zu platzieren kennen inzwischen viele und würden nicht mehr darauf reinfallen. Jedoch werden ständig neue Angriffsmethoden entwickelt über die wir informieren und Mitarbeiter:innen trainieren.