500-Millionen-Hack bei Marriott – Diskussion um Verschlüsselung von Daten

| Hotellerie Hotellerie

Die bei Marriott 2014 bis 2018 erbeuteten Bezahlkartendaten und Reisepassnummern von über 500 Millionen Kunden sollen nicht sicher verschlüsselt gewesen sein, wie verschiedenen Medien berichten. Das habe die Hotelkette in einem US-Gerichtsverfahren jetzt eingeräumt. Marriott hatte vormals das Gegenteil behauptet. 

Marriot hat in einem Gerichtsverfahren im Zusammenhang mit einem massiven Datenschutzverstoß im Jahr 2018 zugegeben, dass seinerzeit einen sogenannten Hash-Algorithmus 1 und nicht die viel sicherere AES-1-Verschlüsselung verwendete, wie zuvor behauptet.

Mehr als fünf Jahre lang hat Marriott sich mit dem Argument verteidigt, dass seine Verschlüsselungsstufe (AES-128) so stark sei, dass die Klage gegen das Unternehmen abgewiesen werden sollte. Die Anwälte der Hotelkette gaben jedoch in einer Anhörung am 10. April zu, dass AES-128 zum Zeitpunkt des Einbruchs nicht verwendet wurde, wie Medien berichten.

Tatsächlich hatte sie zu dieser Zeit überhaupt den Secure Hash Algorithm 1 (SHA-1), der allerdings eine Hashing-Mechanismus und keine Verschlüsselung ist.

Während der Anhörung vor dem US-Bezirksgericht für den District of Maryland Southern Division wies Richter John Preston Bailey Marriott an, „die Informationen auf seiner Website innerhalb von sieben Tagen zu korrigieren“.

Marriott gab weder eine Pressemitteilung heraus, noch wies es auf seiner Homepage auf die Änderung hin. Stattdessen fügte es zwei Sätze zu einer Seite auf seiner Website vom 4. Januar 2019 hinzu. Die einzige Möglichkeit für Verbraucher, Aktionäre, Reporter oder andere Personen, dies zu sehen, besteht darin, auf die fünf Jahre alte Seite zu klicken. 

Hier steht dann aber geschrieben „Neiner Untersuchung mit mehreren führenden Datensicherheitsexperten stellte Marriott zunächst fest, dass die Zahlungskartennummern und bestimmte Passnummern in den Datenbanktabellen, die in den von Marriott am 30. November 2018 gemeldeten Sicherheitsvorfall in der Starwood-Datenbank involviert waren, mit der Verschlüsselung Advanced Encryption Standard 128 (AES-128) geschützt waren. Marriott hat nun festgestellt, dass die Zahlungskartennummern und einige der Passnummern in diesen Tabellen stattdessen mit einer anderen kryptografischen Methode, dem Secure Hash Algorithm 1 (SHA-1), geschützt waren.

Wie Heise berichtet sei, bis letzten beiden Wörter „geschützt waren“ dies zwar technisch korrekt, dürfte aber bei vielen Verbrauchern einen falschen Eindruck erwecken. Denn, so Heise weiter, sei die SHA-1 entgegen der Bezeichnung alles andere als „secure“, und zweitens sind Hashes zwar eine „kryptografische Methode“, aber kein Verfahren der Verschlüsselung. Von könne keine Rede sein, denn gerade kurze Daten mit bekanntem Format, wie es Kreditkarten- und Passnummern sei, ließen sich auch mit haushaltsüblicher Hardware „flott berechnen“.


 

Zurück

Vielleicht auch interessant

Die niederländische Hotelkette Fletcher Hotels setzt den Expansionskurs in Deutschland fort und übernimmt mit dem ehemaligen Romantik Berghotel Astenkrone den zweiten deutschen Betrieb innerhalb einer Woche.

Das Hotel Ensana Fürstenhof in Bad Griesbach wird nach einer Modernisierung im Spätsommer wiedereröffnet. Der europäische Spa-Anbieter bringt damit sein gesundheitstouristisches Konzept mit Thermal-Infrastruktur erstmals nach Deutschland.

Marriott International und Blacksand haben ein Abkommen über den Bau von zehn Hotels mit über 1.300 Zimmern in Saudi-Arabien unterzeichnet. Die Projekte sollen bis 2030 realisiert werden und über 6.000 neue Arbeitsplätze schaffen.

Premier Inn hat die Eröffnung eines neuen Hotels in Bremerhaven bekanntgegeben. Mit dem Standort an der Wesermündung wächst das Unternehmen nach eigenen Angaben auf 73 Hotels in Deutschland. Das neue Haus befindet sich direkt am Deich zwischen Hafen und Innenstadt und umfasst 115 Zimmer auf sieben Etagen.

Bislang war nur bekannt, dass Motel One zu den Hotelgruppen zählt, die an Teilen des Revo-Hospitality-Portfolios Interesse zeigen. Nun nennt eine Wettbewerbsbehörde weitere konkrete Standorte. Demnach will die Hotelgruppe Häuser in Deutschland, Österreich, Polen und Ungarn übernehmen.

Ein laufendes Fusionskontrollverfahren des Bundeskartellamts macht erstmals einen Interessenten aus dem Investorenprozess der Revo Hospitality Group öffentlich. Motel One plant demnach die Übernahme von zehn Hotels in Deutschland.

Mandarin Oriental hat an der Südwestküste Mallorcas das neue Resort Mandarin Oriental Punta Negra eröffnet. Die Anlage in Calvià verfügt über 131 Zimmer sowie umfangreiche Wellness- und Gastronomieangebote.

Das Hotel Dein Engel in Oberstaufen plant mit dem Projekt „Engels Ursprung“ eine umfangreiche Erweiterung. Vorgesehen sind unter anderem neue Wasser- und Freizeitbereiche, zusätzliche Gastronomieflächen sowie ein Veranstaltungsraum. Das Hotel beziffert die Investitionen auf einen hohen zweistelligen Millionenbetrag.

Das Dorint Hotel An der Messe Köln feiert sein 25-jähriges Bestehen mit einer internen Jubiläumsfeier für die Belegschaft. Die Unternehmensleitung hebt dabei die wirtschaftliche Bedeutung des Standorts innerhalb der Hotelgruppe hervor.

Hyatt kündigt drei neue Hotelprojekte in Rom und auf Sizilien mit insgesamt 428 Zimmern an. Damit führt das Unternehmen zwei neue Marken auf dem italienischen Markt ein und reagiert auf die prognostizierten Wachstumswerte im europäischen Tourismus.