Anzeige

Marriott Hotel

Ein Jahr nach dem Marriott-Breach (Bildquelle: Shutterstock.com)

Ein Jahr danach: Die Lehren aus dem Marriott-Breach. Ein Experten-Kommentar von Klaus Nemelka, Technical Evangelist von Varonis.

Am 30.11.2018 gab Marriott bekannt, dass Kundendaten von mehreren Hundertmillionen Hotelgästen entwendet worden seien. Eine spätere Analyse zeigte, dass es sich um insgesamt 383 Millionen Datensätze handelte, darunter auch Kreditkarteninformationen und Passnummern. Das Datenleck befand sich dabei in der Datenbank der von Marriott 2016 übernommenen Starwood-Hotelgruppe.

Die Datenschutzverletzung bei Marriott hat das Datenrisiko bei M&A-Aktivitäten auf die Landkarte gebracht. Sie hat auf erschreckende Weise klar gemacht, dass Vorstände und Aufsichtsräte den Umfang des Risikos einbeziehen müssen, wenn sie im Zuge einer Übernahme oder Fusion auch Daten eines anderen Unternehmens übernehmen. Im Falle der Übernahme von Starwood durch Marriott war dies ein kostspieliges Versäumnis der Verantwortlichen. Aber durchaus (zumindest bis dahin) kein unübliches: Wenn es um Fusionen und Übernahmen geht, übersehen Unternehmen in der Regel die involvierten Daten. Wenn man ein Unternehmen erwirbt, erwirbt man auch das gesamte Sicherheits- und Datenrisiko. Unwissenheit über Datenrisiken kann keine Verteidigungsstrategie sein, ebenso wenig wie Schuldzuweisungen. Marriott kann die Verantwortung nicht einfach auf Starwood abladen.
 

Marriott Breach


Je größer und komplexer Unternehmensnetzwerke und -infrastrukturen sind, desto größer ist gewöhnlich auch das Risiko. Dieses zu bewerten ist zwar schwierig, aber keinesfalls unmöglich. Ähnlich wie in anderen Unternehmensbereichen (von leistungs- bis hin zu finanzwirtschaftlichen Risiken) kann auch das Datenrisiko mittels speziellen Data Risk Assessments bewertet werden. Dies zu versäumen, ist ein unkalkulierbares Risiko.

Unternehmen, die vor einer Übernahme stehen, sollten das, was Marriott passiert ist, sehr ernst nehmen. Hinzu kommen Datenschutzbestimmungen wie die DSGVO, die über scharfe Zähne verfügen. Beides muss dazu führen, dass datenorientierte Risikobewertungen im Rahmen der Due-Diligence-Prüfung für M&A-Aktivitäten immer häufiger eingesetzt werden. Zwar wird sich so das Risiko nie gänzlich beseitigen, zumindest aber deutlich reduzieren lassen. Und das ist ja schon mal ein guter Start für eine neue Partnerschaft.

www.varonis.com

Klaus Nemelka, Technical Evangelist
Klaus Nemelka
Technical Evangelist, Varonis Systems (Deutschland) GmbH

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

RemoteWork Sicherheit

In drei Schritten zu mehr Netzwerksicherheit im Remote-Umfeld

Die Corona-Pandemie zwang im Frühjahr viele Unternehmen quasi über Nacht zur Digitalisierung. Dies gelang mal besser, mal schlechter, doch so langsam ist der Großteil von ihnen in der neuen Realität von Fernarbeit und Onlinekonferenzen angekommen.
Cybercrime

Effizienter Schutz vor Credential Stuffing

Die globale Coronavirus-Pandemie hat das Problem von Credential Stuffing noch verschärft. Bei dieser Angriffsmethode probiert ein Cyberkrimineller eine große Anzahl gestohlener Anmeldedaten bei mehreren Websites aus. Damit möchte er sich unbefugten Zugang zu…
Weihnachten Kalender

Der Adventskalender für mehr IT-Sicherheit

Die Weihnachtszeit naht und für Viele ist das Öffnen von 24 Adventskalender-Türchen eines der am meisten geschätzten Dezember-Rituale. Passend dazu startet zum zweiten Mal die Aktion “Sicher im Advent”
Business Continuity Management

Business Continuity Management: Überlebenswichtig in Corona-Zeiten

Die Corona-Pandemie stellt zahlreiche Unternehmen auf eine harte Probe. In dieser unsicheren Wirtschaftslage können Systemausfälle oder Ähnliches nicht nur Zeit, Geld und die Reputation kosten, sondern auch die Existenz.
E-Mails

E-Mail-Kommunikation mittels Blockchain: totemomail Verified

Die E-Mail ist gerade im Geschäftsleben nach wie vor das universelle Kommunikationsmittel, obwohl ihren Vorteilen auch Nachteile wie Phishing-Risiken oder die fehlende Revisionssicherheit gegenüberstehen.
Netzwerk-Sicherheit

Das Netzwerk sichern wie den Firmen-Komplex

Ransomware-Angriffe nehmen mehr und mehr zu, nicht zuletzt begünstigt durch die fortschreitende Digitalisierung, Cloudmigration und breit angelegte Tele-Arbeit. Nun gilt es, die Strategie für Netzwerksicherheit ebenfalls zu adaptieren. Mehr Homeoffice. Mehr…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!