500-Millionen-Hack bei Marriott – Diskussion um Verschlüsselung von Daten

| Hotellerie Hotellerie

Die bei Marriott 2014 bis 2018 erbeuteten Bezahlkartendaten und Reisepassnummern von über 500 Millionen Kunden sollen nicht sicher verschlüsselt gewesen sein, wie verschiedenen Medien berichten. Das habe die Hotelkette in einem US-Gerichtsverfahren jetzt eingeräumt. Marriott hatte vormals das Gegenteil behauptet. 

Marriot hat in einem Gerichtsverfahren im Zusammenhang mit einem massiven Datenschutzverstoß im Jahr 2018 zugegeben, dass seinerzeit einen sogenannten Hash-Algorithmus 1 und nicht die viel sicherere AES-1-Verschlüsselung verwendete, wie zuvor behauptet.

Mehr als fünf Jahre lang hat Marriott sich mit dem Argument verteidigt, dass seine Verschlüsselungsstufe (AES-128) so stark sei, dass die Klage gegen das Unternehmen abgewiesen werden sollte. Die Anwälte der Hotelkette gaben jedoch in einer Anhörung am 10. April zu, dass AES-128 zum Zeitpunkt des Einbruchs nicht verwendet wurde, wie Medien berichten.

Tatsächlich hatte sie zu dieser Zeit überhaupt den Secure Hash Algorithm 1 (SHA-1), der allerdings eine Hashing-Mechanismus und keine Verschlüsselung ist.

Während der Anhörung vor dem US-Bezirksgericht für den District of Maryland Southern Division wies Richter John Preston Bailey Marriott an, „die Informationen auf seiner Website innerhalb von sieben Tagen zu korrigieren“.

Marriott gab weder eine Pressemitteilung heraus, noch wies es auf seiner Homepage auf die Änderung hin. Stattdessen fügte es zwei Sätze zu einer Seite auf seiner Website vom 4. Januar 2019 hinzu. Die einzige Möglichkeit für Verbraucher, Aktionäre, Reporter oder andere Personen, dies zu sehen, besteht darin, auf die fünf Jahre alte Seite zu klicken. 

Hier steht dann aber geschrieben „Neiner Untersuchung mit mehreren führenden Datensicherheitsexperten stellte Marriott zunächst fest, dass die Zahlungskartennummern und bestimmte Passnummern in den Datenbanktabellen, die in den von Marriott am 30. November 2018 gemeldeten Sicherheitsvorfall in der Starwood-Datenbank involviert waren, mit der Verschlüsselung Advanced Encryption Standard 128 (AES-128) geschützt waren. Marriott hat nun festgestellt, dass die Zahlungskartennummern und einige der Passnummern in diesen Tabellen stattdessen mit einer anderen kryptografischen Methode, dem Secure Hash Algorithm 1 (SHA-1), geschützt waren.

Wie Heise berichtet sei, bis letzten beiden Wörter „geschützt waren“ dies zwar technisch korrekt, dürfte aber bei vielen Verbrauchern einen falschen Eindruck erwecken. Denn, so Heise weiter, sei die SHA-1 entgegen der Bezeichnung alles andere als „secure“, und zweitens sind Hashes zwar eine „kryptografische Methode“, aber kein Verfahren der Verschlüsselung. Von könne keine Rede sein, denn gerade kurze Daten mit bekanntem Format, wie es Kreditkarten- und Passnummern sei, ließen sich auch mit haushaltsüblicher Hardware „flott berechnen“.


 

Zurück

Vielleicht auch interessant

Zum Ferienstart in Nordrhein-Westfalen sind in großen Hotels noch viele Betten frei. In einem Stimmungsbild des Dachverbandes Tourismus NRW und des Branchenverbandes Dehoga NRW zeigten sich 29 Prozent unzufrieden und neun Prozent sogar sehr unzufrieden mit der Auslastung oder Nachfrage.

Das Hilton Düsseldorf präsentiert sich nach einer umfassenden Renovierungsphase. Das Hotel, das eine mehr als 50-jährige Geschichte in der Stadt aufweist, wurde während des laufenden Betriebs renoviert. Die offizielle Eröffnungsfeier soll voraussichtlich im Januar 2026 stattfinden. 

Conrad Hotels & Resorts hat ein neues Programm namens „Conrad 1/3/5“ vorgestellt. Das Programm zielt darauf ab, Gästen innerhalb von ein, drei oder fünf Stunden tiefere Einblicke in die lokale Kultur, das Design und die Besonderheiten des jeweiligen Ortes zu ermöglichen.

Die Serviced-Apartment-Marke Citadines hat ihre Präsenz in Europa durch die Eröffnung von zwei neuen Standorten verstärkt: Ein Haus im Istanbuler Stadtteil Maslak und ein weiteres in der Innenstadt von Liverpool. Damit erhöht sich die Anzahl der Citadines-Betriebe in Europa auf rund 40.

Die Dorint Hotelgruppe meldet die Rückkehr nach Wien. Nach erfolgreichen Verhandlungen wurde der Mietvertrag für das neue „Dorint Hotel Weitblick Wien“ mit einer festen Laufzeit von 30 Jahren unterzeichnet.

Der deutsche Hotelinvestmentmarkt hat seinen positiven Trend im zweiten Quartal fortgesetzt und die Dynamik sogar ausgebaut. Der Markt erzielte zwischen April und Juni ein Transaktionsvolumen von rund 553 Millionen Euro – 115 Prozent mehr als im Vorjahr.

Die Kölner Dorint Hotelgruppe wird ab dem 1. September 2025 das Parkhotel Jordanbad​​​​​​​ in Biberach an der Riß als Pächter führen. Damit löst sie nach über 20 Jahren die Parkhotel Jordanbad GmbH unter Geschäftsführer Thomas Lerch ab, deren Vertrag ausläuft.

Das Gästehaus Petersberg feiert in diesem Jahr sein 35-jähriges Jubiläum in Bundesbesitz. Das einst vom 4711-Parfümfabrikanten Ferdinand Mülhens erbaute Anwesen ist seit Jahrzehnten ein Schauplatz deutscher Diplomatie und internationaler Begegnungen.

Eine Wiener Hotelinstitution, das Hotel Stefanie, begeht dieser Tage sein 425-jähriges Jubiläum. Am 8. Juli 1600 unter dem Namen „Weiße Rose“ gegründet, ist es das älteste Hotel der Bundeshauptstadt. Heute wird das Haus in vierter Generation von der Familie Schick geführt.

Die Falkensteiner Michaeler Tourism Group erweitert ihr Hotelportfolio in Südtirol mit der Eröffnung des Falkensteiner Hotel Bozen WaltherPark. Das Hotel ist Teil des neu entstandenen WaltherPark-Quartiers und soll urbanen Lebensstil mit Südtiroler Gastfreundschaft verbinden.