Datenleck bei MotelOne: Millionen Kundendaten gestohlen

Kriminelle Hacker haben nach Medienberichten eine große Menge interner Daten der Hotelkette MotelOne veröffentlicht, darunter umfangreiche Übernachtungslisten der vergangenen Jahre mit Millionen von Namen, einschließlich des Hotelgründers Dieter Müller.

MotelOne, eine der größten Hotelketten Europas, wurde Opfer einer Ransomware-Attacke, bei der die Hacker versuchten, Geld zu erpressen. Die Hackergruppe ALPHV veröffentlichte die erbeuteten Daten im Darknet, darunter etwa 24 Millionen Dateien und etwa sechs Terabyte an Informationen, darunter Text- und Datenbankdateien, Exceltabellen und PDFs.

Ransomware-Angriffe wie auf MotelOne nehmen derzeit zu

MotelOne hat den Vorfall nach einem Bericht der Süddeutschen Zeitung vom 6. Oktober 2023 gemeinsam mit IT-Sicherheitsexperten untersucht und am 30. September 2023 öffentlich bestätigt, Ziel eines Hackerangriffs gewesen zu sein. Die Hacker haben Adressdaten von Kunden und Kreditkartendaten abgegriffen. Das Unternehmen betont, dass der Geschäftsbetrieb zu keinem Zeitpunkt gefährdet war. Die Kanzlei Dr. Stoll & Sauer fasst kurz zusammen, was über das Datenleck bei MotelOne bisher bekannt ist:

• Die Hackergruppe ALPHV, die sich zu dem Angriff bekannt hat, verlangte von MotelOne ein Lösegeld in Höhe von 50 Millionen Euro. MotelOne lehnte die Zahlung des Lösegelds ab. Daraufhin wurden die Daten im Darknet veröffentlicht und sind frei zugänglich.

• Unter den gehackten Daten befinden sich: fast vollständige Listen zu den Übernachtungen, Rechnungsadressen, Geburtsdaten der Kunden, interne Geschäftszahlen, Handynummern der Angestellten. Die Daten führen teilweise bis ins Jahr 2016 zurück. Das betrifft hauptsächlich die Übernachtungslisten. Die betroffenen Daten stammen laut MotelOne von Gästen aus den Jahren 2016 bis 2023. Die Daten von Mitarbeitern sind offenbar aus den Jahren 2019 bis 2023. Warum MotelOne diese Listen so lang speichert, ist bislang unbekannt.

• Die Tragweite des Datenlecks könnte erheblich sein, da es potenziell Millionen Menschen betrifft, die in den vergangenen acht Jahren in einem MotelOne übernachtet haben. Die veröffentlichten Listen enthalten Namen, Aufenthaltsdaten und Zimmernummern, was es Dritten ermöglicht, detaillierte Reiseprofile zu erstellen. Nicht jeder will seine Daten über Reisen veröffentlicht wissen. Bei Geschäftsverbindungen kann das ebenso kompromittierend sein wie bei privaten Reisen.

• Ransomware-Angriffe sind ein wachsendes Problem, und MotelOne ist nicht das einzige Unternehmen, das betroffen ist. Die Erpresser professionalisieren sich, und die Dunkelziffer solcher Vorfälle ist hoch. MotelOne plant einen Börsengang in den nächsten Jahren und hat einen erheblichen Unternehmenswert, einschließlich der Immobilientochter. Da wollte sich die Hackergruppe offensichtlich bedienen.

• Das Ausmaß des Datenlecks werfe Fragen zur internen IT-Sicherheit von MotelOne auf, und es gebe laut Süddeutscher Zeitung Hinweise darauf, dass ein Computer am Standort Ulm als Einfallstor für die Hacker gedient haben könnte. Es scheint, als ob MotelOne verbesserungswürdige IT-Sicherheitspraktiken hatte, da Passwörter für Hotel-Systeme in den veröffentlichten Daten gefunden wurden.

• MotelOne hat Strafanzeige gestellt und arbeitet mit Datenschutzbehörden und IT-Sicherheitsexperten zusammen, um den Vorfall zu untersuchen. Es gibt jedoch noch viele offene Fragen, und das Ausmaß des Schadens ist noch nicht vollständig bekannt.

Was bedeutet MotelOne-Datenleck für betroffene Verbraucher?

Der Hackerangriff ist ein ernstzunehmender Vorfall nicht nur für MotelOne, sondern vor allem für die Verbraucher. Das Datenschutzrecht gibt Betroffenen mehrere Möglichkeiten an die Hand zu reagiere:

• Die Datenschutzgrundverordnung (DSGVO) schreibt vor, dass Betroffene eines Datenlecks informiert werden müssen, insbesondere bei hohen Risiken. Betroffene haben auch das Recht auf Schadenersatz, wenn ihnen durch einen DSGVO-Verstoß ein materieller oder immaterieller Schaden entstanden ist.

• MotelOne hat nach eigenen Angaben alle betroffenen Kunden und Mitarbeiter informiert. Das Unternehmen hat auch Maßnahmen ergriffen, um die Sicherheit der Daten zu erhöhen.

• MotelOne wird von einigen Seiten kritisiert, weil das Unternehmen den Hackerangriff erst drei Wochen nach Bekanntwerden des Datenlecks öffentlich gemacht hat.

• Betroffene Kunden sollten ihre Kreditkartendaten sperren und eine neue Karte beantragen. Außerdem sollten sie ihre Passwörter für Online-Konten ändern, die mit dem MotelOne-Konto verknüpft sind.

• Kunden, deren Kreditkartendaten gestohlen wurden, sollten sich auch bei ihrer Bank melden und eine Sperrung der Karte beantragen. Außerdem sollten sie ihre Bankkonten auf ungewöhnliche Aktivitäten überprüfen.

• Die gestohlenen Daten können von Kriminellen für verschiedene Zwecke missbraucht werden. So könnten sie zum Beispiel für Identitätsdiebstahl, Phishing-Angriffe oder Online-Betrug genutzt werden.

Fazit der Kanzlei Dr. Stoll & Sauer: Das Datenleck bei MotelOne ist für betroffene Verbraucher eine ernste Angelegenheit. Sensible personenbezogene Daten sind für jedermann einsehbar. Dieser Kontrollverlust über die eigenen Daten kann einen immateriellen Schaden darstellen. Hat MotelOne gegen datenschutzrechtliche Bestimmungen verstoßen, so können Betroffene Ansprüche auf Schadensersatz erfolgreich geltend machen. Laut EuGH-Urteil vom 4. Mai 2023 (Az.: C-300/21) bestehen Ansprüche auf Schadensersatz nur dann, wenn durch einen Verstoß gegen die Datenschutzgrundverordnung (DSGVO) ein materieller oder immaterieller Schaden entstanden ist.

Betroffene Nutzer sollten sich generell über die möglichen Folgen eines Datenlecks im Klaren sein und entsprechende Maßnahmen ergreifen, um sich beispielsweise vor Phishing-Angriffen zu schützen. Mit Hilfe kombinierter Informationen aus anderen Datenlecks könnten Cyberkriminellen gezielte Phishing-Angriffe gegen Verbraucher initiieren.

EuGH stärkt Rechte von betroffenen Verbrauchern

Opfern von Datenlecks haben Rechte auf Auskunft, Schadensersatz und Unterlassung.

• Auskunftsrecht: Gemäß Artikel 15 Absatz 1 der Datenschutz-Grundverordnung (DSGVO) haben Nutzer das Recht, Informationen darüber zu erhalten, ob und in welchem Umfang sie von dem Datenleck betroffen sind. Dazu gehören Angaben über die Art der Daten, die betroffenen Personen und den Zeitraum der Verarbeitung.

• Schadensersatzrecht: Durch ein Datenleck entsteht den Betroffenen auch ein immaterieller Schaden, unabhängig davon, ob ein finanzieller Schaden entstanden ist. So hat es auch der Europäische Gerichtshof (EuGH) entschieden. Laut EuGH-Urteil vom 4. Mai 2023 (Az.: C-300/21) bestehen Ansprüche auf Schadensersatz nur dann, wenn durch einen Verstoß gegen die Datenschutzgrundverordnung (DSGVO) ein materieller oder immaterieller Schaden entstanden ist.

• Unterlassungsrecht: Geschädigte haben das Recht auf Unterlassung und können der Verarbeitung ihrer Daten widersprechen.

Was tun, wenn Sie Opfer einer Phishing-Attacke geworden sind?

Phishing bleibt eine beliebte Betrugsmasche unter Cyberkriminellen und scheint ein lukratives kriminelles Geschäftsmodell zu sein. Im April warnte das LKA Niedersachsen beispielsweise vor Phishing-SMS und -E-Mails, die Opfer mit angeblichen Zollgebühren lockten. Falls Verbraucher Opfer einer Phishing-Mail geworden sind, sollten sie folgende Maßnahmen ergreifen:

• Sofort die Zugangsdaten für Online-Bankgeschäfte geändert werden.
• Die betroffene Bank sollte sofort informiert werden, damit weitere Schäden verhindert werden können.
• Die entsprechende Phishing-Mail sollte nicht gelöscht werden, sondern als Beweismittel gesichert und an die Bank weitergeleitet werden.
• Unbedingt Strafanzeige erstatten.

Weitere Informationen:

Die Verbraucherkanzlei Dr. Stoll & Sauer rät generell Verbrauchern, die möglicherweise Opfer eines Datenlecks geworden sind, zur kostenlosen Erstberatung im Online-Check. Hier kann die Kanzlei die Betroffenheit der Kunden überprüfen und zeigt rechtliche Möglichkeiten auf. Mehr Infos zum Thema Datenleck und Datenschutz gibt es auf der Website der Kanzlei.

www.dr-stoll-kollegen.de