500-Millionen-Hack bei Marriott – Diskussion um Verschlüsselung von Daten

| Hotellerie Hotellerie

Die bei Marriott 2014 bis 2018 erbeuteten Bezahlkartendaten und Reisepassnummern von über 500 Millionen Kunden sollen nicht sicher verschlüsselt gewesen sein, wie verschiedenen Medien berichten. Das habe die Hotelkette in einem US-Gerichtsverfahren jetzt eingeräumt. Marriott hatte vormals das Gegenteil behauptet. 

Marriot hat in einem Gerichtsverfahren im Zusammenhang mit einem massiven Datenschutzverstoß im Jahr 2018 zugegeben, dass seinerzeit einen sogenannten Hash-Algorithmus 1 und nicht die viel sicherere AES-1-Verschlüsselung verwendete, wie zuvor behauptet.

Mehr als fünf Jahre lang hat Marriott sich mit dem Argument verteidigt, dass seine Verschlüsselungsstufe (AES-128) so stark sei, dass die Klage gegen das Unternehmen abgewiesen werden sollte. Die Anwälte der Hotelkette gaben jedoch in einer Anhörung am 10. April zu, dass AES-128 zum Zeitpunkt des Einbruchs nicht verwendet wurde, wie Medien berichten.

Tatsächlich hatte sie zu dieser Zeit überhaupt den Secure Hash Algorithm 1 (SHA-1), der allerdings eine Hashing-Mechanismus und keine Verschlüsselung ist.

Während der Anhörung vor dem US-Bezirksgericht für den District of Maryland Southern Division wies Richter John Preston Bailey Marriott an, „die Informationen auf seiner Website innerhalb von sieben Tagen zu korrigieren“.

Marriott gab weder eine Pressemitteilung heraus, noch wies es auf seiner Homepage auf die Änderung hin. Stattdessen fügte es zwei Sätze zu einer Seite auf seiner Website vom 4. Januar 2019 hinzu. Die einzige Möglichkeit für Verbraucher, Aktionäre, Reporter oder andere Personen, dies zu sehen, besteht darin, auf die fünf Jahre alte Seite zu klicken. 

Hier steht dann aber geschrieben „Neiner Untersuchung mit mehreren führenden Datensicherheitsexperten stellte Marriott zunächst fest, dass die Zahlungskartennummern und bestimmte Passnummern in den Datenbanktabellen, die in den von Marriott am 30. November 2018 gemeldeten Sicherheitsvorfall in der Starwood-Datenbank involviert waren, mit der Verschlüsselung Advanced Encryption Standard 128 (AES-128) geschützt waren. Marriott hat nun festgestellt, dass die Zahlungskartennummern und einige der Passnummern in diesen Tabellen stattdessen mit einer anderen kryptografischen Methode, dem Secure Hash Algorithm 1 (SHA-1), geschützt waren.

Wie Heise berichtet sei, bis letzten beiden Wörter „geschützt waren“ dies zwar technisch korrekt, dürfte aber bei vielen Verbrauchern einen falschen Eindruck erwecken. Denn, so Heise weiter, sei die SHA-1 entgegen der Bezeichnung alles andere als „secure“, und zweitens sind Hashes zwar eine „kryptografische Methode“, aber kein Verfahren der Verschlüsselung. Von könne keine Rede sein, denn gerade kurze Daten mit bekanntem Format, wie es Kreditkarten- und Passnummern sei, ließen sich auch mit haushaltsüblicher Hardware „flott berechnen“.


 

Zurück

Vielleicht auch interessant

Die Numa Group übernimmt den Anbieter Lisbon Serviced Apartments und erweitert damit das Portfolio in Lissabon um 19 Objekte. Die Integration in die eigene Technologieplattform soll nun die betriebliche Effizienz der Unterkünfte steigern.

Relais & Châteaux erweitert das eigene Portfolio um zehn neue Mitglieder. Die Neuzugänge erstrecken sich über mehrere Kontinente und umfassen Standorte in Frankreich, England, Italien, der Schweiz, Portugal, Japan, Mexiko sowie den Vereinigten Staaten.

Die Hotelgruppe Meininger Hotels erweitert ihr Portfolio um einen ersten Standort in Schottland. Am 5. August eröffnet das Unternehmen das Meininger Hotel Edinburgh Haymarket. Das Haus im West End ist das 38. Hotel im Portfolio.

Drei Hotellerie-Manager​​​​​​​ haben die neue Hotelmarke LikeStay gegründet. Hinter dem Konzept stehen Max Luscher, Constantin Rehberg und Andreas Brennfleck. Das erste Hotel soll das bisherige Batschari Palais in Baden-Baden werden, das künftig unter dem Namen LikeStay Premium Baden-Baden betrieben werden soll.

Die nordrhein-westfälischen Tourismusregionen sind für die Sommerferien nach eigenen Angaben gut gebucht - für Kurzentschlossene gibt es aber noch genügend freie Betten. Vor allem Ferienwohnungen und Ferienhäuser sowie Bauernhof-Urlaube sind gefragt.

Das Sofitel Frankfurt Opera nutzt seine exklusive Dachterrasse für ein temporäres Gastronomiekonzept. An vier Terminen im August bietet das Hotel einen Barbetrieb für externe Besucher an.

Anzeige

Warum Gästedaten so wertvoll sind und wie sie am sinnvollsten gemanagt werden, um für KI-Anbindung und Automatisierung möglichst großen Nutzen zu stiften, erklärt dailypoint-Geschäftsführer Dr. Michael Toedt in der 8. Folge des HotelPartner-Podcasts „AUSGEBUCHT!“.

Die Radisson Hotel Group baut ihre internationale Präsenz im ersten Halbjahr 2026 durch zahlreiche Neueröffnungen und Vertragsabschlüsse in verschiedenen Marktsegmenten deutlich aus.

Novum Hospitality ist derzeit mit mehreren Themen in den Schlagzeilen. Jetzt hat die Hamburger Hotelgruppe ihren Wiedereintritt in den Hotelverband Deutschland (IHA) sowie in die DEHOGA-Landesverbände bekannt gegeben.

Die MHP Hotel AG plant gemeinsam mit Projektentwickler Midstad ein neues Hotel der Marriott-Marke Autograph Collection in Düsseldorfs Innenstadt. Das Haus mit rund 180 Zimmern soll bis 2029 im Gebäudeensemble an der Kasernenstraße und im Carsch-Haus entstehen.