Bei der Hotelkette haben Cyberkriminelle im großen Stil Daten von Gästen geklaut und im Darknet geleakt - darunter Adress- und Rechnungsdaten sowie Kreditkarteninformationen.
"Nach vorläufigen Erkenntnissen betreffen die gestohlenen Daten im Volumen von sechs Terabyte insbesondere Adress- und Rechnungsdaten von Kunden und nur sehr vereinzelt Kreditkarteninformationen unserer Hotelgäste", sagte eine Sprecherin des Unternehmens. Beim Darknet oder auch Darkweb handelt es sich um ein verborgenes Netzwerk, also abgeschlossene Internetseiten, die nur über einen bestimmten Browser zu finden sind.
Motel One stellt Strafanzeige
Motel One hatte bereits am 30. September auf der Plattform X, ehemals Twitter, von dem Hackerangriff berichtet. Das Unternehmen stellte nach eigenen Angaben Strafanzeige und informierte die Datenschutz-Behörden. Zudem habe man unverzüglich sichergestellt, dass keine weiteren personenbezogenen Daten erlangt werden könnten. Betroffene Kreditkartenhalter seien persönlich informiert worden.
Das Hotelunternehmen verwies auf umfassende, marktübliche Sicherheitsstandards. Dass der Hackerangriff dennoch erfolgreich gewesen sei, zeige die hohe kriminelle Energie der Gruppe. Gäste müssten sich keine Sorgen um ihre Sicherheit machen. Motel One arbeite eng mit erfahrenen Experten für Informations- und IT-Sicherheit und den zuständigen Behörden zusammen.
Betroffen waren der Süddeutsche Zeitung zufolge auch so genannte Notfalllisten. Sie enthielten die Namen der Gäste, das Datum ihres Check-ins und die Zimmernummern, teilte Motel One mit. Mit diesen Informationen könnten Gäste beispielsweise auch bei Systemstörungen einchecken. Der Gründer und Mitinhaber von Motel One, Dieter Müller, appellierte an die Bundesregierung: "Ich denke, dass neben den Unternehmen selbst der Staat gefordert ist, die Hoheit zurückzugewinnen und die Cyber-Abwehr erheblich aufzurüsten."
Daten lassen sich nicht mehr kontrollieren
Nach dem Hackerangriff, sollten Betroffene besonders wachsam sein. Es bestehe "zunächst vor allem Anlass zu erhöhter Aufmerksamkeit bei Mail-Eingängen unbekannter oder auch nur überraschender Absender", teilte das zuständige Bayerische Landesamt für Datenschutzaufsicht auf dpa-Anfrage mit. Es gehe darum, frühzeitig mögliche Manipulations- und Angriffsversuche zu erkennen, bei denen die veröffentlichten Daten missbräuchlich eingesetzt werden.
Im schlimmsten Fall, also etwa bei massiven und anhaltenden Angriffen, könne "ein Verzicht auf die weitere aktive Nutzung der veröffentlichten Mail-Adresse dazu beitragen, die Sicherheit der persönlichen Online-Kommunikation wiederherzustellen", so das Landesamt.
Zudem sollte man berücksichtigen, dass abgeflossene Daten nach einem Sicherheitsvorfall "auch langfristig beliebigen Dritten für zwar regelmäßig rechtswidrige, aber kaum effektiv kontrollierbare Nutzungszwecke zur Verfügung stehen", warnt die Datenschutzaufsicht. "Insbesondere beim Abgleich mit anderweitig gewonnenen Informationen können sie daher für die Betroffenen Nachteile und Risiken begründen."
Hotels sind immer wieder Ziel von Cyberkriminellen. So haben beispielsweise Ende vergangenen Jahres Unbekannte einen Angriff auf das IT-Netzwerk der H-Hotels.com verübt. Erst dieses Jahr stand auch der Hotel- und Casinobetreiber MGM im Visier einer Hackergruppe. sar/dpa