Kommentar: Schwache erste Statements von Motel One

Dieser Beitrag stellt keinerlei Rechtsberatung dar. Der Beitrag gibt nur Hinweise auf mögliche DSGVO Verstöße und informiert über die Aussagen der beiden Parteien, sodass sich Betroffene ein Bild darüber machen können, ob sie Motel One kontaktieren möchten oder nicht bzw. den Fall der LDA Bayern melden möchten.

Für ein besseres Verständnis sollten Leser zuvor den ersten und zweiten Beitrag zu Motel One gelesen haben.

Nachdem sich Motel One lange in Schweigen gehüllt hat, sind seit gestern auf der Website von Motel One FAQs zu dem Vorfall zu lesen und nicht nur das, sondern der CEO von Motel One hat auch ein kurzes Statement für die Süddeutsche Zeitung (kostenpflichtiger Artikel) veröffentlicht.

Sind wir mit Motel One nicht langsam durch, weil das Kind schon in den Brunnen gefallen ist? Nein, das, was ihr jetzt lesen werdet, setzt dem Ganzen noch die Krone auf.

Stellt euch vor, eure Daten wurden gestohlen, weil ein Unternehmen nicht aufgepasst hat und die Daten höchstwahrscheinlich länger als nötig gespeichert hat. Ihr werdet nicht informiert, in den Nachrichten steht, dass man sich Zeit lässt, den Erpressern zu antworten, ihr hört, dass die Pressemitteilung nicht ganz stimmt und ihr beginnt, euch zu wundern.

Wie reagiert das Unternehmen? „Keine Sorge, wir konnten die ganze Zeit weiterarbeiten (und haben zum Glück kein Geld verloren).“

Das glaubt ihr nicht? Schauen wir uns das Statement (FAQs) auf der Seite von Motel One genauer an. In diesem Statement betont Motel One mehrfach, dass der eigene Geschäftsbetrieb nie gestört wurde.

Der Geschäftsbetrieb und damit auch die künftigen Reservierungen waren zu keinem Zeitpunkt gefährdet.

oder

Der Hackerangriff hat keinen Einfluss auf Ihre bestehende und zukünftige Hotelbuchung. Der Geschäftsbetrieb in unseren Hotels war und ist durch den Hackerangriff nicht beeinträchtigt.

Wie bereits im ersten Beitrag erwähnt, bestätigen sie in den FAQ erneut, dass sie nur die Kunden informiert haben, deren Kreditkartendaten verloren gegangen sind, und nicht diejenigen, deren Adressdaten verloren gegangen sind.

Nach vorläufigen Erkenntnissen betreffen die gestohlenen Daten im Volumen von 6 TB insbesondere Adress- und Rechnungsdaten von Kunden und nur sehr vereinzelt Kreditkarteninformationen unserer Hotelgäste. Die betroffenen Kreditkartenhalter wurden hierüber bereits persönlich informiert.

Darüber hinaus wird in mehreren Aussagen der Verlust von Adressdaten verharmlost:

Wir gehen derzeit davon aus, dass insbesondere Adress- und Rechnungsdaten von Gästen betroffen sind.

Nach vorläufigen Erkenntnissen betreffen die gestohlenen Daten insbesondere Adress- und Rechnungsdaten von Kunden und nur sehr vereinzelt Kreditkarteninformationen unserer Hotelgäste.

Rechnungsdaten enthalten grundsätzlich keine E-Mail-Adresse oder telefonische Kontaktdetails, eine Ansprache kann daher nur postalisch erfolgen.

Es ist auch einfacher, eine E-Mail-Adresse oder eine Telefonnummer zu ändern als eine Adresse. Was ist also schlimmer? Zumindest schreibt Motel One im letzten Satz

Weiterhin könnte der Versuch unternommen werden, Dritte mit Ihrer Identität zu täuschen, um sich Vorteile zu verschaffen (Identitätsmissbrauch).

nur um dann ein paar Sätze folgendes zu schreiben:

Nach unserer Kenntnis ist kein finanzieller Schaden entstanden. Insbesondere die betroffenen Kreditkarteninhaber wurden informiert.

Fassen wir zusammen:

• Adressdaten sind verloren gegangen
• Die betroffenen Kundinnen und Kunden wurden (wie hier nachzulesen ist) nicht informiert.
• Motel One schreibt selbst, dass es zu Identitätsdiebstahl kommen kann, meint aber, dass kein finanzieller Schaden entstanden ist.

Das ist schon harter Tobak, aber es kommt noch schlimmer, denn die Süddeutsche hat einen wunderbaren Artikel veröffentlicht. Abgesehen davon, dass wir jetzt bei bis zu 8 Jahre alten Daten sind, hat der CEO von Motel One nicht einmal sein Bedauern gegenüber seinen Gästen ausgedrückt. Wie wir oben in der Stellungnahme von Motel One gelesen haben, scheint das „Geschäft“ wichtiger zu sein als die Ängste und Sorgen der Gäste.

Ich kann den Artikel der Süddeutschen sehr empfehlen, da dort auch Informationen über die „Sicherheitsstandards“ der Hotelgruppe zu finden sind.

Eine Aussage aus dem Interview war folgende:

Leider hat der Staat noch keinen Weg gefunden, seiner staatlichen
Hoheitsaufgabe gerecht zu werden und seine Bürger und Unternehmen vor krimi-
nellen digitalen Angriffen zu schützen.

Ich gebe den Lesern einen Moment, um diese Aussage auf sich wirken zu lassen.
Der Staat soll Motel One vor sich selbst schützen? Gab es da nicht was von der DSGVO?

Ein kleiner Crashkurs nur für Motel One. Die DSGVO gilt in ganz Europa. Wurde also „irgendwie“ vom Staat beschlossen. Neben vielen Gesetzestexten gibt es auch viele wirklich gute Dinge, die man umsetzen sollte, nicht nur um sie bestenfalls auf Papier zu haben, sondern auch um zu dokumentieren, dass man sich hingesetzt und darüber nachgedacht hat:

• Wer hat Zugriff auf meine Systeme?
• Wie oft ändern sich die Zugriffsrechte?
• Gibt es Lücken im System? Wie oft werden Updates durchgeführt?
• Werden unsere Mitarbeiter regelmäßig zum Thema Datenschutz geschult?
• Hat unsere IT regelmäßige IT-Sicherheitsmeetings und überprüft sie die Systeme regelmäßig und systematisch?

Die Suchbegriffe hierfür sind Risikoanalyse und TOMs als Beispiel.

Die DSGVO zwingt die Unternehmen, sich damit auseinanderzusetzen. Wer sich nicht daran hält, muss mit einem Bußgeld rechnen, das zur Abschreckung sehr hoch angesetzt ist.
Theoretisch ist das genau die hoheitliche Aufgabe, Unternehmen vor sich selbst zu schützen. Wenn das Unternehmen das nicht ernst nimmt, dann kann und sollte man die Schuld auch nicht „beim Staat“ suchen.

Auf der einen Seite verhängt die Datenschutzbehörde das Bußgeld und auf der anderen Seite sollte man als CEO, der das maßgeblich zugelassen hat und dem das Wohl der Kunden allem Anschein nach egal ist, hier auch die Verantwortung für den Vorfall übernehmen.

Leider mussten wir bereits im Mai 2023 feststellen, dass es mit dem Datenschutz bei Motel One nicht so ernst nimmt und Gästedaten ohne vorherige Information für Fragenkataloge ohne Widerspruchsmöglichkeit an Google weitergegeben wurden. Auch der Datenschutzbeauftragte hat damals Fragen dazu nicht beantwortet.

Und als ob der ganze Umgang mit der Situation nicht schon schlimm genug wäre, liest man in den FAQ noch folgendes

Wir nehmen den Schutz Ihrer personenbezogenen Daten sehr ernst. Wir verfügen über umfassende und marktübliche Sicherheitsstandards zum Schutz ihrer personenbezogenen Daten und Sie können sicher sein, dass Ihre Daten von uns angemessen geschützt werden.

Nach den ganzen Statements lassen wir das unkommentiert und weisen die Leserinnen und Leser noch einmal auf den Service für Schadenersatzforderungen gegen Motel One hin: https://eugd.org/schadenersatz/motel-one/

@FrauTux Vielen Dank für die ausgezeichneten Erläuterungen. Ich bin von den Ausführungen des CEOs ziemlich enttäuscht und hoffe auch, dass sie die Konsequenzen für ihr Handeln tragen müssen. Wütend macht mich diese Arroganz! Und auch der externe Datenschutzbeauftragte scheint seiner Aufgabe meines Erachtens nicht gerecht zu werden.

Zur fehlenden Information des Hotels: Da die meisten Buchungen online getätigt werden, gehe ich davon aus, dass das Hotel auch meine E-Mailadresse hat. WARUM informiert das Hotel nicht die Kunden proaktiv, dass es einen Sicherheitsvorfall gegeben hat???

Ich bin gespannt, wie das weitergeht und würde mich sehr freuen, wenn Sie weiter am Ball bleiben würden.

Mit lieben Gruß
Andreas

Ich bleibe weiter am Ball. Danke für das Lob.

Heute, nach fast 2 Wochen habe ich eine Mail von Motel-One erhalten.

Ist aber alles Wischi-Waschi

Sehr geehrter Herr xxx,

vielen herzlichen Dank für Ihre Geduld. Zu Ihrer Anfrage möchten wir Ihnen gerne folgendes Update geben:

Wie wir Ihnen bereits mitgeteilt hatten, ist die Motel One-Gruppe Opfer eines gezielten Hackerangriffs geworden. Bisher unbekannte Täter sind in das geschützte IT-System eingedrungen. Die Täter haben Daten gestohlen und vermutlich versucht, eine sogenannte Ransomware-Attacke durchzuführen. Das „Lahmlegen“ der IT-Struktur ist den Tätern nicht gelungen. Der Geschäftsbetrieb funktioniert einwandfrei. Auch künftige Reservierungen waren zu keinem Zeitpunkt gefährdet.

Motel One hat unmittelbar nach Erkennen des Diebstahls gehandelt und arbeitet eng und vertrauensvoll mit der Polizei, den Datenschutzbehörden und erfahrenen IT-Sicherheitsdienstleistern zusammen. Zurzeit werden die Spuren des Einbruchs und das Ausmaß des Datendiebstahl evaluiert. Wir haben sofort nach Kenntnis des Hackerangriffs das gesamte IT-System forensisch untersucht und sichergestellt, dass keine weiteren personenbezogenen Daten gestohlen werden konnten.

Nach derzeitigem Kenntnisstand sind vor allem alte Rechnungsdaten gestohlen worden, die wir im Rahmen der gesetzlichen Aufbewahrungsfristen gespeichert haben. Falls Sie in den letzten Jahren Gast bei uns waren, sind Ihre Rechnungsdaten höchstwahrscheinlich betroffen. Die Rechnungen enthalten die Daten Ihres Aufenthalts, Ihren Vor- und Nachnamen, die postalische Adresse des Rechnungsempfängers sowie die Art des Zahlungsmittels (z.B. per Rechnung oder Visa/Mastercard). Die gestohlenen Rechnungsdaten enthalten grundsätzlich keine volle Kreditkartennummer oder Bankdaten, E-Mail-Adresse oder telefonische Kontaktdetails.

Zudem haben die Täter aus einem anderen Datenbestand rund 150 sehr spezielle Kreditkarten-Daten gestohlen. Die betroffenen Karteninhaber haben wir bereits persönlich über den Diebstahl informiert. Die Hackergruppe hat nach unserem derzeitigen Kenntnisstand gestohlene Daten im Dark Net veröffentlicht.

Wir melden uns selbstverständlich direkt bei etwaig weiteren Betroffenen, sofern die laufende Untersuchung weitere Hinweise auf besondere Risiken ergeben sollte. Als allgemeine Vorsichtsmaßnahme und unabhängig von diesem Vorfall empfehlen wir Ihnen, auf verdächtige Kontaktaufnahmen auf postalischem Wege zu achten sowie keine vertraulichen Informationen an unbekannte Personen weiterzugeben.

Den Schutz Ihrer personenbezogenen Daten nehmen wir sehr ernst und verfügen über umfassende und hohe Sicherheitsstandards. Dass es dennoch bedauerlicherweise zu einem erfolgreichen Einbruch in unsere Systeme gekommen ist, zeigt die hohe kriminelle Energie der Hackergruppe.

Wir arbeiten eng mit erfahrenen Experten für Informations- und IT-Sicherheit und den zuständigen Behörden zusammen. Auch wenn unsere Systeme und Organisationsanweisungen auf dem aktuellen Stand sind und fortlaufend gepflegt werden, sind weder bei uns noch in allen anderen IT-Systemen der Welt Angriffe auszuschließen. Die Polizei berichtet, dass allein in Deutschland jährlich etwa 6.000 Unternehmen Hackerangriffe zur Anzeige bringen und die Dunkelziffer um ein Vielfaches größer ist.

Sollten Sie Anzeichen dafür haben, dass Ihre Daten missbräuchlich verwendet wurden oder bei weiteren Fragen, antworten Sie bitte direkt auf diese E-Mail. Weitere Informationen finden Sie zudem in unseren FAQs auf unserer Internetseite.

Wir bedanken uns für Ihr Verständnis und bedauern die Situation und die Umstände sehr. Gleichzeitig hoffen wir, Sie bald wieder bei uns begrüßen dürfen.

Interessant finde ich die Aussage, dass die Hacker eine hohe kriminelle Energie gehabt hätten. Sie selbst, die Hotelkette hätte vielleicht mal die Energie aufbringen sollen, ihre System vernünftig zu sichern.