500-Millionen-Hack bei Marriott – Diskussion um Verschlüsselung von Daten

| Hotellerie Hotellerie

Die bei Marriott 2014 bis 2018 erbeuteten Bezahlkartendaten und Reisepassnummern von über 500 Millionen Kunden sollen nicht sicher verschlüsselt gewesen sein, wie verschiedenen Medien berichten. Das habe die Hotelkette in einem US-Gerichtsverfahren jetzt eingeräumt. Marriott hatte vormals das Gegenteil behauptet. 

Marriot hat in einem Gerichtsverfahren im Zusammenhang mit einem massiven Datenschutzverstoß im Jahr 2018 zugegeben, dass seinerzeit einen sogenannten Hash-Algorithmus 1 und nicht die viel sicherere AES-1-Verschlüsselung verwendete, wie zuvor behauptet.

Mehr als fünf Jahre lang hat Marriott sich mit dem Argument verteidigt, dass seine Verschlüsselungsstufe (AES-128) so stark sei, dass die Klage gegen das Unternehmen abgewiesen werden sollte. Die Anwälte der Hotelkette gaben jedoch in einer Anhörung am 10. April zu, dass AES-128 zum Zeitpunkt des Einbruchs nicht verwendet wurde, wie Medien berichten.

Tatsächlich hatte sie zu dieser Zeit überhaupt den Secure Hash Algorithm 1 (SHA-1), der allerdings eine Hashing-Mechanismus und keine Verschlüsselung ist.

Während der Anhörung vor dem US-Bezirksgericht für den District of Maryland Southern Division wies Richter John Preston Bailey Marriott an, „die Informationen auf seiner Website innerhalb von sieben Tagen zu korrigieren“.

Marriott gab weder eine Pressemitteilung heraus, noch wies es auf seiner Homepage auf die Änderung hin. Stattdessen fügte es zwei Sätze zu einer Seite auf seiner Website vom 4. Januar 2019 hinzu. Die einzige Möglichkeit für Verbraucher, Aktionäre, Reporter oder andere Personen, dies zu sehen, besteht darin, auf die fünf Jahre alte Seite zu klicken. 

Hier steht dann aber geschrieben „Neiner Untersuchung mit mehreren führenden Datensicherheitsexperten stellte Marriott zunächst fest, dass die Zahlungskartennummern und bestimmte Passnummern in den Datenbanktabellen, die in den von Marriott am 30. November 2018 gemeldeten Sicherheitsvorfall in der Starwood-Datenbank involviert waren, mit der Verschlüsselung Advanced Encryption Standard 128 (AES-128) geschützt waren. Marriott hat nun festgestellt, dass die Zahlungskartennummern und einige der Passnummern in diesen Tabellen stattdessen mit einer anderen kryptografischen Methode, dem Secure Hash Algorithm 1 (SHA-1), geschützt waren.

Wie Heise berichtet sei, bis letzten beiden Wörter „geschützt waren“ dies zwar technisch korrekt, dürfte aber bei vielen Verbrauchern einen falschen Eindruck erwecken. Denn, so Heise weiter, sei die SHA-1 entgegen der Bezeichnung alles andere als „secure“, und zweitens sind Hashes zwar eine „kryptografische Methode“, aber kein Verfahren der Verschlüsselung. Von könne keine Rede sein, denn gerade kurze Daten mit bekanntem Format, wie es Kreditkarten- und Passnummern sei, ließen sich auch mit haushaltsüblicher Hardware „flott berechnen“.


 

Zurück

Vielleicht auch interessant

Die The Chocolate on the Pillow Group (COTP) hat einen Miet- und Franchisevertrag für das im Bau befindliche Holiday Inn Express Kassel unterzeichnet. Damit sichert sich das Unternehmen das dritte Hotel aus der Insolvenz der Revo Hospitality Group.

Grand Metropolitan Hotels will das gemeinsame Joint Venture mit dem Versorgungswerk der Zahnärztekammer Berlin (VZB) beenden. Gleichzeitig berichten Medien über weitreichende Maßnahmen eines Amsterdamer Gerichts im laufenden Streit zwischen beiden Gesellschaftern.

Für das insolvente Traditionshotel Bösehof in Bad Bederkesa zeichnet sich eine Lösung ab. Ein Ehepaar aus der Region soll das Haus übernehmen, während die Gläubiger noch im Juli über den Insolvenzplan entscheiden.

Der Convenience-Großhändler MCS hat im Highway Hotel Herbolzheim seinen ersten autonomen 24-Stunden-Shop eröffnet. Mit dem Standort erweitert das Unternehmen sein Konzept erstmals auf die Hotellerie.

Eine professionell gestaltete E-Mail zu einem angeblichen Bettwanzenbefall hat in einem Hotelunternehmen zunächst einen glaubwürdigen Eindruck hinterlassen. Erst ein nicht existierendes Zimmer entlarvte den Vorgang als Phishing-Versuch.

Die Accor-Gruppe erweitert im Jahr 2026 ihr weltweites Hotelportfolio um zahlreiche neue Standorte und Luxusprojekte. Der Fokus liegt dabei auf einer globalen Expansion in unterschiedlichen Marktsegmenten.

Eine Branchenstudie von XPORT hat knapp 20.000 deutsche Hotel-Websites automatisiert auf Barrierefreiheit untersucht. Nach Angaben des Unternehmens weisen mehr als 85 Prozent der analysierten Seiten erkennbare Verstöße gegen WCAG-Richtlinien auf.

Smartments wird zwei Serviced-Apartmenthäuser in Berlin und Bielefeld für M&G Real Estate betreiben. Mit den langfristigen Mietverträgen wächst das Portfolio des Unternehmens auf 16 Standorte mit 2.389 Apartments.

Eine YouGov-Umfrage im Auftrag von a&o Hostels zeigt: Für viele Europäer bestimmen im Sommer 2026 vor allem Kosten und Unsicherheiten die Urlaubsplanung. Während jeder Elfte ganz auf eine Reise verzichtet, gewinnen Kurztrips innerhalb Europas an Bedeutung.

Aus einem ehemaligen H-Plus-Hotel entstand innerhalb von sechs Monaten das Moxy Zurich. Marco Meier von der SV Hotel beschreibt in einem Video-Gespräch, wie der Betreiberwechsel, der Umbau und die Neupositionierung des Hauses umgesetzt wurden.