500-Millionen-Hack bei Marriott – Diskussion um Verschlüsselung von Daten

| Hotellerie Hotellerie

Die bei Marriott 2014 bis 2018 erbeuteten Bezahlkartendaten und Reisepassnummern von über 500 Millionen Kunden sollen nicht sicher verschlüsselt gewesen sein, wie verschiedenen Medien berichten. Das habe die Hotelkette in einem US-Gerichtsverfahren jetzt eingeräumt. Marriott hatte vormals das Gegenteil behauptet. 

Marriot hat in einem Gerichtsverfahren im Zusammenhang mit einem massiven Datenschutzverstoß im Jahr 2018 zugegeben, dass seinerzeit einen sogenannten Hash-Algorithmus 1 und nicht die viel sicherere AES-1-Verschlüsselung verwendete, wie zuvor behauptet.

Mehr als fünf Jahre lang hat Marriott sich mit dem Argument verteidigt, dass seine Verschlüsselungsstufe (AES-128) so stark sei, dass die Klage gegen das Unternehmen abgewiesen werden sollte. Die Anwälte der Hotelkette gaben jedoch in einer Anhörung am 10. April zu, dass AES-128 zum Zeitpunkt des Einbruchs nicht verwendet wurde, wie Medien berichten.

Tatsächlich hatte sie zu dieser Zeit überhaupt den Secure Hash Algorithm 1 (SHA-1), der allerdings eine Hashing-Mechanismus und keine Verschlüsselung ist.

Während der Anhörung vor dem US-Bezirksgericht für den District of Maryland Southern Division wies Richter John Preston Bailey Marriott an, „die Informationen auf seiner Website innerhalb von sieben Tagen zu korrigieren“.

Marriott gab weder eine Pressemitteilung heraus, noch wies es auf seiner Homepage auf die Änderung hin. Stattdessen fügte es zwei Sätze zu einer Seite auf seiner Website vom 4. Januar 2019 hinzu. Die einzige Möglichkeit für Verbraucher, Aktionäre, Reporter oder andere Personen, dies zu sehen, besteht darin, auf die fünf Jahre alte Seite zu klicken. 

Hier steht dann aber geschrieben „Neiner Untersuchung mit mehreren führenden Datensicherheitsexperten stellte Marriott zunächst fest, dass die Zahlungskartennummern und bestimmte Passnummern in den Datenbanktabellen, die in den von Marriott am 30. November 2018 gemeldeten Sicherheitsvorfall in der Starwood-Datenbank involviert waren, mit der Verschlüsselung Advanced Encryption Standard 128 (AES-128) geschützt waren. Marriott hat nun festgestellt, dass die Zahlungskartennummern und einige der Passnummern in diesen Tabellen stattdessen mit einer anderen kryptografischen Methode, dem Secure Hash Algorithm 1 (SHA-1), geschützt waren.

Wie Heise berichtet sei, bis letzten beiden Wörter „geschützt waren“ dies zwar technisch korrekt, dürfte aber bei vielen Verbrauchern einen falschen Eindruck erwecken. Denn, so Heise weiter, sei die SHA-1 entgegen der Bezeichnung alles andere als „secure“, und zweitens sind Hashes zwar eine „kryptografische Methode“, aber kein Verfahren der Verschlüsselung. Von könne keine Rede sein, denn gerade kurze Daten mit bekanntem Format, wie es Kreditkarten- und Passnummern sei, ließen sich auch mit haushaltsüblicher Hardware „flott berechnen“.


 

Zurück

Vielleicht auch interessant

Der Digital Markets Act zwingt Booking.com zur Abschaffung von engen und weiten Bestpreisklauseln in seinen Hotelverträgen im Europäischen Wirtschaftsraum. Der Gatekeeper kommt dieser Verpflichtung nun nach und informierte seine Hotelpartner in Europa über das Ende der Ratenparitätsklauseln in seinen Verträgen.

Das Ibis Styles Hamburg Alster City hat die Renovierungsarbeiten abgeschlossen und präsentiert sich nun in neuem Glanz. Nach der Neugestaltung der Hotelzimmer im Jahr 2023 wurden nun die Lobby und die Hotelbar aufgehübscht.

Ab sofort können sich Besucher des 25hours Hotel Langstrasse in Zürich über eine grüne Oase mitten in der Stadt freuen. Denn in den vergangenen Monaten wurde hier geplant, gepflanzt und möbliert.

Die Minor Hotels haben das NH-Hotel nahe des Berliner Kurfürstendamms renovieren lassen. Alle 167 Zimmer und Suiten wurden neu. Ein Highlight ist die Suite mit eigener Terrasse und Panoramablick auf die Stadt.

Das Priesteregg-Resort in Leogang im Salzburger Land hat jetzt drei neue Seehütten präsentiert. Zu den Unterkünften gehört eine eigene Badebucht, Panoramasauna, Hot Tub und eine holzbeheizte Freiluft-Badewanne.

Der weithin sichtbare Weltkriegsbunker auf dem Heiligengeistfeld in Hamburg soll bald schon Tausende Menschen anlocken. Mit Hotel, Dachgarten und Pfad nach oben. Nun steht das Datum fest. Das Hotel startet am 28. Juni für ausgewählte Gäste. Ursprünglich sollte das Hotel im ersten Halbjahr 2022 aufsperren.

Als die geladenen Gäste bei der feierlichen Wiedereröffnung des Steigenberger Hotel Bad Neuenahr durch den Eingang des neobarocken Prachtbaus schreiten, geht es um weit mehr als die Wiedereröffnung. Sie markiert einen wichtigen Meilenstein im Wiederaufbau des Ahrtals.

Bereits zum zweiten Mal findet dieses Jahr das Artists-in-Residence-Programm der Leonardo Hotels in Warschau statt. Auch das NYX Hotel Dublin veranstaltet dieses Jahr zum ersten Mal einen „Art Lives” Wettbewerb.

Drei Jahre nach dem Debüt der Marke "A by Adina" in Australien verkündet der Mutterkonzern TFE Hotels, zu dem auch die Adina Hotels gehören, dass 2025 das erste Haus der jungen Marke in Europa eröffnen wird.

Bis zum Auftakt des Turniers vom 21. bis 24. November ist es noch eine Weile hin. Doch die Vorbereitungen sind in vollem Gange. So viel steht bereits fest: Die Mallorca Golf Trophy wird im Jubiläumsjahr ein besonderes Event.