500-Millionen-Hack bei Marriott – Diskussion um Verschlüsselung von Daten

| Hotellerie Hotellerie

Die bei Marriott 2014 bis 2018 erbeuteten Bezahlkartendaten und Reisepassnummern von über 500 Millionen Kunden sollen nicht sicher verschlüsselt gewesen sein, wie verschiedenen Medien berichten. Das habe die Hotelkette in einem US-Gerichtsverfahren jetzt eingeräumt. Marriott hatte vormals das Gegenteil behauptet. 

Marriot hat in einem Gerichtsverfahren im Zusammenhang mit einem massiven Datenschutzverstoß im Jahr 2018 zugegeben, dass seinerzeit einen sogenannten Hash-Algorithmus 1 und nicht die viel sicherere AES-1-Verschlüsselung verwendete, wie zuvor behauptet.

Mehr als fünf Jahre lang hat Marriott sich mit dem Argument verteidigt, dass seine Verschlüsselungsstufe (AES-128) so stark sei, dass die Klage gegen das Unternehmen abgewiesen werden sollte. Die Anwälte der Hotelkette gaben jedoch in einer Anhörung am 10. April zu, dass AES-128 zum Zeitpunkt des Einbruchs nicht verwendet wurde, wie Medien berichten.

Tatsächlich hatte sie zu dieser Zeit überhaupt den Secure Hash Algorithm 1 (SHA-1), der allerdings eine Hashing-Mechanismus und keine Verschlüsselung ist.

Während der Anhörung vor dem US-Bezirksgericht für den District of Maryland Southern Division wies Richter John Preston Bailey Marriott an, „die Informationen auf seiner Website innerhalb von sieben Tagen zu korrigieren“.

Marriott gab weder eine Pressemitteilung heraus, noch wies es auf seiner Homepage auf die Änderung hin. Stattdessen fügte es zwei Sätze zu einer Seite auf seiner Website vom 4. Januar 2019 hinzu. Die einzige Möglichkeit für Verbraucher, Aktionäre, Reporter oder andere Personen, dies zu sehen, besteht darin, auf die fünf Jahre alte Seite zu klicken. 

Hier steht dann aber geschrieben „Neiner Untersuchung mit mehreren führenden Datensicherheitsexperten stellte Marriott zunächst fest, dass die Zahlungskartennummern und bestimmte Passnummern in den Datenbanktabellen, die in den von Marriott am 30. November 2018 gemeldeten Sicherheitsvorfall in der Starwood-Datenbank involviert waren, mit der Verschlüsselung Advanced Encryption Standard 128 (AES-128) geschützt waren. Marriott hat nun festgestellt, dass die Zahlungskartennummern und einige der Passnummern in diesen Tabellen stattdessen mit einer anderen kryptografischen Methode, dem Secure Hash Algorithm 1 (SHA-1), geschützt waren.

Wie Heise berichtet sei, bis letzten beiden Wörter „geschützt waren“ dies zwar technisch korrekt, dürfte aber bei vielen Verbrauchern einen falschen Eindruck erwecken. Denn, so Heise weiter, sei die SHA-1 entgegen der Bezeichnung alles andere als „secure“, und zweitens sind Hashes zwar eine „kryptografische Methode“, aber kein Verfahren der Verschlüsselung. Von könne keine Rede sein, denn gerade kurze Daten mit bekanntem Format, wie es Kreditkarten- und Passnummern sei, ließen sich auch mit haushaltsüblicher Hardware „flott berechnen“.


 

Zurück

Vielleicht auch interessant

Die MHP Hotel AG plant die Eröffnung eines neuen Hotels der Autograph Collection in Düsseldorf. Das neue Hotel soll bis zum Jahr 2029 in einem historischen Gebäudeensemble an der Kasernenstraße nahe der Königsallee realisiert werden.

Ein Jahr nach dem Markteintritt in der Schweiz zieht das Mama Shelter Zurich eine erste Bilanz. Gefeiert wird das Jubiläum veranstaltet am 1. August mit einem Brunch und einer Abendveranstaltung auf der Dachterrasse.

Swissôtel hat den Modedesigner Peet Dullaert als ersten Preisträger des New Crafts Awards bekannt gegeben. Die neue Auszeichnung entsteht aus einer Partnerschaft zwischen Accor und der Fédération de la Haute Couture et de la Mode.

Im Investorenprozess der insolventen Revo Hospitality Group nennen die Sanierer erstmals mehrere Unternehmen, die Hotels aus dem Portfolio übernehmen sollen. Neben bereits bekannten Transaktionen werden unter anderem Prism, Israel Canada Hotels, Leonardo Hotels und B&B Hotels genannt. Ein weiterer Investor bleibt vorerst ungenannt.

Accor plant einen deutlichen Ausbau seines Hotelgeschäfts in China. Der Konzern will die Zahl seiner Häuser in den kommenden fünf bis sechs Jahren auf 1.600 erhöhen und setzt dabei auf neue Luxusprojekte sowie den Ausbau bestehender Partnerschaften.

Der deutsche Hotelinvestmentmarkt hat im ersten Halbjahr 2026 nach Angaben von Colliers ein Transaktionsvolumen von rund 625 Millionen Euro erreicht. Investoren richten ihren Blick dabei zunehmend auf die Qualität der Betreiber und die Ausgestaltung der Vertragsstrukturen.

Townscape hat die Baugenehmigung für ein Serviced-Apartment-Projekt in Berlin-Kreuzberg erhalten. Die numa group steht bereits als Mieter fest. Geplant sind 114 Serviced Apartments sowie Gewerbe- und Co-Working-Flächen. Die Fertigstellung ist für das dritte Quartal 2027 vorgesehen.

Die geplante Übernahme der britisch-niederländischen Hotelgruppe PPHE Hotel Group durch die israelische Fattal Hotel Group ist gescheitert. Grund ist der Widerstand des größten PPHE-Aktionärs Euro Plaza Holdings. Das teilte PPHE im Rahmen seines laufenden strategischen Prüfprozesses mit.

Die Hotelmarke Ruby expandiert mit der Eröffnung des Ruby Frida nach Stockholm. Das neue Haus im Stadtteil Kungsholmen setzt auf ein von den 1960er Jahren inspiriertes Designkonzept.

Deutschlands Beherbergungsbetriebe haben im Mai 2026 insgesamt 49,2 Millionen Übernachtungen verbucht. Der Zuwachs von 3,8 Prozent wurde von Gästen aus dem Inland getragen, während die Auslandsnachfrage leicht zurückging.