Dieser Beitrag stellt keinerlei Rechtsberatung dar. Der Beitrag gibt nur Hinweise auf mögliche DSGVO Verstöße und informiert über die Aussagen der beiden Parteien, sodass sich Betroffene ein Bild darüber machen können, ob sie Motel One kontaktieren möchten oder nicht bzw. den Fall der LDA Bayern melden möchten.
Im Mai diesen Jahres haben wir darüber berichtet, dass Motel One Daten der Hotelgäste an Google weitergibt. Gestern liest man bei Heise:
Cybercrime: Erpressergang greift Hotelkette Motel One an
Quelle: https://www.heise.de/news/Cybercrime-Erpressergang-greift-Hotelkette-MotelOne-an-9322397.html
Wer in den letzten 3 Jahren dort übernachtet hat und keine E-Mail über den Vorfall erhalten hat, sollte sich ggf. in den nächsten 3-4 Tagen mit Motel One in Verbindung setzen und nachfragen, ob es auch seine Daten betrifft. Gestern, am 30.09.23, haben die Erpresser einen Brief veröffentlicht, in dem es heißt, dass das Management von Motel One bereits informiert sei, aber erst mit Verzögerung reagiere. Die Erpresser drohen damit, innerhalb von 5 Tagen (jetzt 4) alle Datensätze Stück für Stück zu veröffentlichen.
Dazu gehören:
- Namen und Adressen der Gäste, ggf. des Arbeitgebers bei Geschäftsreisen
- E-Mail-Adressen und Telefonnummern
- Kreditkarten und Bankverbindungen
- Informationen zur Unterkunft (auch für Mitreisende und Partner)
und im Rahmen der Meldegesetze werden bei Hotelaufenthalten regelmäßig auch Personalausweisnummer, Ausstellungsort, Ablaufdatum des Personalausweises notiert. Natürlich auch das Geburtsdatum. Diese Informationen, auch wenn sie auf einem Papierformular ausgefüllt wurden, könnten bei einer Digitalisierung ebenfalls Teil des Hacks werden. Das ist aber noch nicht bekannt.
Hier stellt sich auch die Frage, ob Motel One alle seine Kundendaten diesem Risiko aussetzt.
Laut Security Week bezahlen 50% der betroffenen Firmen die Erpresser.
Solltet ihr über den Datenverlust als Motel One Kunde/Gast nicht aufgeklärt worden sein, dann könnt ihr euch an die Bayrische LDA wenden.
Denn laut Art. 34 DSGVO: Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person:
- Hat die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge,
Einschub von Frau Tux: Die Veröffentlichung von Kreditkarten/Bankdaten, Adresse, Telefonnummer, ggf. Arbeitgeber, Mitreisender etc. kann ein sehr hohes Risiko darstellen z. B. Stalking, Kreditkartenbetrug, Identitätsdiebstahl etc.
… so benachrichtigt der Verantwortliche die betroffene Person unverzüglich von der Verletzung.
Die in Absatz 1 genannte Benachrichtigung der betroffenen Person beschreibt in klarer und einfacher Sprache die Art der Verletzung des Schutzes personenbezogener Daten und enthält zumindest die in Artikel 33 Absatz 3 Buchstaben b, c und d genannten Informationen und Maßnahmen.
3 Die Benachrichtigung der betroffenen Person gemäß Absatz 1 ist nicht erforderlich, wenn eine der folgenden Bedingungen erfüllt ist:
a) der Verantwortliche hat geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen und diese Vorkehrungen wurden auf die von der Verletzung betroffenen personenbezogenen Daten angewandt, insbesondere solche, durch die die personenbezogenen Daten für alle Personen, die nicht zum Zugang zu den personenbezogenen Daten befugt sind, unzugänglich gemacht werden, etwa durch Verschlüsselung;
Einschub von Frau Tux: Bei einer drohenden Veröffentlichung der Daten unwahrscheinlich.
b) der Verantwortliche hat durch nachfolgende Maßnahmen sichergestellt, dass das hohe Risiko für die Rechte und Freiheiten der betroffenen Personen gemäß Absatz 1 aller Wahrscheinlichkeit nach nicht mehr besteht;
Einschub von Frau Tux: Bei einer drohenden Veröffentlichung der Daten unwahrscheinlich. Auch eine Verlangsamung der Korrespondenz, wie sie in dem Artikel von Heise erwähnt wird, spricht nicht dafür.
die Benachrichtigung wäre mit einem unverhältnismäßigen Aufwand verbunden. In diesem Fall hat stattdessen eine öffentliche Bekanntmachung oder eine ähnliche Maßnahme zu erfolgen, durch die die betroffenen Personen vergleichbar wirksam informiert werden.
Einschub von Frau Tux: Die Startseite von Motel One zeigt keine Stellungnahme. Laut Heise gibt es eine auf Twitter/X, die inzwischen auch von den wenigsten gelesen werden dürfte…
Unter der Rubrik „Press“ ist sehr unscheinbar folgendes zu lesen:
The Motel One Group has become the target of a hacker attack. The currently unknown perpetrators infiltrated the hotel operator’s internal systems and most likely tried to carry out a so-called ransomware attack. Thanks to extensive measures, the impact was kept to a relative minimum. The business operation of one of Europe’s largest hotel groups was never at risk. The quick immediate measures included commissioning a certified IT security service provider and working with investigative and data protection authorities. According to initial analyses, address data from costumers was accessed - including 150 credit card details. The affected card holders have already been informed personally.
oder auf Deutsch:
Die Motel One Group ist das Ziel eines Hackerangriffs geworden. Die derzeit noch unbekannten Täter drangen in die internen Systeme des Hotelbetreibers ein und versuchten vermutlich, einen sogenannten „Ransomware“-Angriff durchzuführen. Dank umfangreicher Maßnahmen konnten die Auswirkungen relativ gering gehalten werden. Der Geschäftsbetrieb einer der größten Hotelgruppen Europas war zu keiner Zeit gefährdet. Zu den schnellen Sofortmaßnahmen gehörten die Beauftragung eines zertifizierten IT-Sicherheitsdienstleisters und die Zusammenarbeit mit Ermittlungs- und Datenschutzbehörden. Nach ersten Analysen wurde auf Adressdaten von Kunden zugegriffen - darunter 150 Kreditkartendaten. Die betroffenen Karteninhaber sind bereits persönlich informiert worden.
In diesem Presseartikel wird aber nur beschrieben, dass „zugegriffen“ wurde und nur die „Kreditkartenkunden“ informiert wurden. Dass im Darknet bereits Previews kursieren und mit der Veröffentlichung aller Kundenadressen etc. gedroht wird, darüber wird leider nicht berichtet bzw. informiert.
Dank umfangreicher Maßnahmen konnten die Auswirkungen relativ gering gehalten werden.
Und die Darknet Auskunft bei Heise:
Wie die Kriminellen auf ihrer Darknet-Seite angeben, haben sie über 6 Terabyte Daten erbeutet. Als Beweis ihres Raubzugs zeigt AlphV Screenshots von Korrespondenz, aber auch interner Zugangsdaten.
Das bedeutet, dass die Pressemitteilung höchstwahrscheinlich schlichtweg falsch und irreführend ist. Es wurde also nicht „versucht“, eine Ransomware-Attacke durchzuführen, sondern sie wurde durchgeführt. Man kann auch nicht von „geringen Auswirkungen“ sprechen, wenn über 6 TB an Daten erbeutet wurden. Es wurde auch nicht auf die Daten zugegriffen, sondern diese wurden kopiert und es wird mit der Veröffentlichung gedroht.
Ob es sich dabei um eine „öffentliche Bekanntmachung oder eine ähnliche Maßnahme, durch die die betroffenen Personen in vergleichbarer Weise wirksam informiert werden“ im Sinne der DSGVO handelt, wage ich zu bezweifeln, da die Aussage nicht der Wahrheit zu entsprechen scheint.
Und zuletzt sagt die DSGVO noch:
Wenn der Verantwortliche die betroffene Person nicht bereits über die Verletzung des Schutzes personenbezogener Daten benachrichtigt hat, kann die Aufsichtsbehörde unter Berücksichtigung der Wahrscheinlichkeit, mit der die Verletzung des Schutzes personenbezogener Daten zu einem hohen Risiko führt, von dem Verantwortlichen verlangen, dies nachzuholen, oder sie kann mit einem Beschluss feststellen, dass bestimmte der in Absatz 3 genannten Voraussetzungen erfüllt sind.
Des Weiteren ein Hinweis auf Art. 82 DSGVO Haftung und Recht auf Schadenersatz:
Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.
und
Der Verantwortliche oder der Auftragsverarbeiter wird von der Haftung gemäß Absatz 2 befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.
Hier wird auch zu klären sein, inwieweit die Nichtbeantwortung oder verspätete Beantwortung von Anfragen der Erpresser zur Veröffentlichung von Kundendaten tatsächlich aus der Verantwortung entlässt.
Was ihr tun könnt?
- Motel One kontaktieren und fragen, ob ihr betroffen seid und wenn ja, ob sie planen, eure Daten im Darknet zu veröffentlichen - also ob sie vorhaben zu zahlen. Am besten vor dem Stichtag.
- Solltet ihr nicht informiert worden sein, die LDA Bayern informieren und auch Motel One darauf ansprechen
- Schadenersatzansprüche bei Veröffentlichung der Daten prüfen
- Die Artikelreihen zum Thema Datenschutz im Tourismus lesen
- Hoffen und Beten
Weitere Informationen zu Alphv, der Gruppe, die vermutlich hinter dem Hack steckt
https://www.securityweek.com/alphv-ransomware-gang-creates-searchable-database-victim-data/
https://www.privacyaffairs.com/alphv-sun-pharma-breach/
https://www.cnn.com/2023/06/19/tech/reddit-hackers-demands-api/index.html
https://www.vice.com/en/article/qjvd9q/ransomware-group-claims-hack-of-amazons-ring
https://securityaffairs.com/151732/cyber-crime/alphv-ransomware-motel-one.html