Laut eines Berichts des Online Magazins Heise sind fast 6 TerraByte an Personenbezogenen Reisedaten aus dem Bestand von MotelOne im DarkNet aufgetaucht. Die Hacker Gruppe BlackCat forderte erst ein Lösegeld und als dieses nicht kam veröffentlichten Sie die Daten.
Was wurde geleakt?
Im Zentrum der Veröffentlichung stehen persönliche Daten von wohl Millionen von Reisenden, die bei MotelOne in den letzten 8 Jahren übernachtet haben. Unter den personenbezogenen Daten befinden sich
- Kreditkartennummern
- Analysen von Reiseverhalten
- Passwörter
- Zahlungsdaten
- Anschriften von Gästen
- Name, Vorname und Geburtsdaten
Auch wenn aus den Berichten nicht hervorgeht, ob besonders Schützenswerte Daten, wie die von Minderjährigen, biometrische Daten und Daten zum Gesundheitszustand von Gästen betroffen sind, ist das zu erwartende Schadenrisiko hoch. Denn aus den Daten lassen Geschäftsbeziehungen analysieren, private Anschriften recherchieren und Analysen über das Privatleben von Personen ableiten.
Unsere Risikobewertung
HOCH: Die Veröffentlichung der Daten hat signifikante Auswirkungen auf die Betroffenen Personen auch wenn wahrscheinlich keine besonders schützenswerten Daten betroffen sind
Einschätzung zur Eintrittswahrscheinlichkeit
Hackerangriffe auf große Hotelketten sind keine Seltenheit. Sie haben im Hotellerie Bereich ein enormes Schadenspotential, da dort eine große Menge möglicher betroffener Personen (Gäste) vorhanden ist und ebenfalls sehr detaillierte persönliche Informationen über die Gäste meist über einen langen Zeitraum (Kundendatenbank) gespeichert werden. Die Hacker erhoffen sich Lösegelder entweder aus Verschlüsselungsangriffen die den Hotelbetrieb lahmzulegen versuchen oder, wenn technische und organisatorische Maßnahmen gegen Verschlüsselungsangriffe z.B. in Form einer Incident-Response Policy vorhanden sind, drohen mit der Veröffentlichung sensibler Daten. Zu den sensiblen Daten zählen meisst Geschäftsgeheimnisse und personenbezogene Daten. Den Opfern dieser Angriffe bleibt oft nur abzuwägen, welcher Schaden der geringere ist: das Lösegeld oder der finanzielle Schaden, der durch Veröffentlichung in Form von Schadenersatzansprüchen, Bußgeldern und Störung in Betriebsabläufen entsteht.
Unsere Einschätzung
Bei Hotelketten ist damit zu rechnen, das früher oder später eine Hackergruppe einen Erpressungsversuch starten wird, folglich schätzen wir die Eintrittswahrscheinlichkeit als HOCH ein.
Grundlage für Schadensersatz
Alle Betroffenen haben laut DSGVO Artikel 15 ein Recht aus Auskunft über die von der Hotelkette erfassten persönlichen Daten. Dieses Recht ist besonders wichtig um abzuschätzen, wie groß der entstandene Schaden für den Betroffenen ist. Denn in Folge kann nach DSGVO Artikel 82 Abs.1 in Verbindung mit §253 BGB Schadenersatz gegen die Hotelbetreiber geltend gemacht werden.
Exkurs: Dieser Schadensseratz betrifft auch immaterielle Schäden, wie ein Gerichtsurteil aus Bayern gegen einen Finanzdienstleister über 2500 € Schadensersatz an einen Betroffenen zeigt. Der Finanzdienstleister wies Zertifikationen nach IEC 27001:2013, 27017:2015, 27018:2019, ISO/IEC 9001:2015 und CSA STAR CCM v3.0.1 auf und wurde trotzdem auf Grundlage von „Auf Grundlage von Art. 32 DSGVO (Sicherheit der Verarbeitung) sind geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Zudem können die Anforderungen bzw. Vorgaben für einen ordnungsgemäßen und sicheren Umgang mit den Daten aus Artikel 5 Abs. 1 Lit. f DSGVO (Grundsätze für die Verarbeitung personenbezogener Daten), aus den Erwägungsgründen 39 und 78 Verordnung (EU) 2016/679 S. 12 sowie der Anlage zu § 9 BDSG 2003. (vgl. Kühling/Buchner/Herbst, 3. Aufl. 2020, DS-GVO Art. 5 Rn. 76) entnommen werden“ eine Verletzung des Datenschutz festgestellt, da keine ausreichenden technischen- und Organisatorischen Maßnahmen ergriffen hat, „dass gewährleistet ist, dass Unbefugte keinen Zugang zu den Daten haben und weder die Daten noch die Geräte, mit denen diese verarbeitet werden, benutzen könne„. Bemängelt wurde, dass trotz Beendigung der Geschäftsbeziehung über weitere 5 Jahre Hinweg Zugangsdaten verfügbar waren und diese aber in einem Löschkonzept rechtzeitig entfernt werden hätten sollen. Die o.g. Zertifizierungen beinhalten dies bereits, dies wurde aber nicht wie vorgeschrieben durchgeführt.
Ähnlich könnte es sich auch hier verhalten. Da die Daten teilweise bereits 8 Jahre alt sind, stellt sich natürlich die Frage, ob die initiale Geschäftsbeziehung eine so lange Datenspeicherung rechtfertigt und ob evtl. Löschfristen nicht eingehalten und ein Löschkonzept nicht umgesetzt wurde?
Uns nicht bekannt ist, wie die Hackergruppe den Zugang erlangt hat. Wenn es wie im Exkurs beschrieben Fall über das Erlangen von Login Daten ist (einer der Wahrscheinlichsten Szenarien bei den meisten Hackerangriffen), so könnten die Gerichte bei der Prüfung von Schadensersatzansprüchen einer ähnlichen Argumentation folgen.
Unsere Chancenbewertung einer Schadensersatzklage
Wir schätzen, dass Betroffene daher hohe Chancen auf Erfolg mit Ihrer Klage haben. Der in der Argumentation vergleichbare Fall aus Bayern zeigt, das trotz wahrscheinlich deutlich höherer Sicherheitsstandards im Bankenbereich und vieler schwer zu erreichender Zertifizierungen trotzdem eine Klage auf Basis unzureichender Technischer und Organisatorischer Maßnahmen erfolg hatte.
Hinweis: dieser Artikel stellt keine Rechtsberatung dar, sondern spiegelt nur die persönliche Meinung des Authoren wieder.