Unter den vielen Sicherheitsvorfällen der vergangenen Jahre ist es ein bisschen untergegangen, dass Cyberkriminelle es auch auf viele internationale Hotelketten abgesehen haben. Sie suchen nach wertvollen Kundendaten. Und wo wäre die Beute besser als in gehobenen Hotels wie die der Hilton Kette oder The Trump Hotel Collection. Die weltweite Hotelkette im Besitz von US Präsident Trump wurde dieses Jahr schon zweimal Opfer von Sicherheitsvorfällen. Hilton dagegen steht dieses Jahr vor Gericht wegen zwei Sicherheitsvorfällen, die schon etwas zurückliegen. Jeweils einem Ende 2014 und im Frühjahr/Sommer 2015.

Der erst genannte Einbruch wurde am 10. Februar 2015 entdeckt. Dabei hatten Hacker, spezielle Malware, die dafür programmiert war Kreditkartendaten abzuziehen, auf einem der Computersysteme der Hotelgruppe platziert. Die anschließend durchgeführte IT-Forensik ergab, dass im Zeitraum zwischen dem 18. November und dem 5. Dezember 2014 höchstwahrscheinlich Daten abgezogen wurden. Diese hatten das Netzwerk der Hotelgruppe in Großbritannien angezapft und die Daten an ein anderes externes System weitergegeben. Hierfür wurden jedoch keine konkreten Beweise gefunden.

Beim zweiten Vorfall, aufgedeckt am 10. Juli, wurde neue Malware zum Diebstahl von Kreditkarteninformationen auf den Hotel-Systemen entdeckt.

Die Kreditkartendaten waren wohl im Zeitraum vom 21. April 2015 bis zum 27. Juli 2015 gefährdet. Es hieß, in dieser Zeit seinen fast 364.000 Kreditkartennummern gestohlen wurden.
Die Verantwortlichen der Hilton Hotelgruppe meldeten diese Vorfälle erst 9,5 Monate später. Weshalb die Hotelgruppe es vorzog, ihre Opfer so lange in Unkenntnis der Gefahr zu belassen, ist nicht klar. Es ist auf keinen Fall akzeptabel oder gar gesetzeskonform. Die Opfer hatten keine Möglichkeit sich gegen einen möglichen Identitätsdiebstahl zu wappnen.

Die Hilton Hotelgruppe musste sich vor Gericht dafür verantworten. Ihr wird vom Generalstaatsanwalt zur Last gelegt, dass die Hotelkette ihre Kunden nicht rechtzeitig informiert und auch keine angemessene Datensicherheit aufrechterhalten hat. Zudem hätte sie auch nicht die Anforderungen des PCI-DSS (Payment Card Industry Data Security Standard) beachtet. Diese Richtlinie muss zur sicheren Verarbeitung von Kreditkartenzahlungen eingehalten werden. Die Quittung hierfür ist eine Strafzahlung an die Bundesstaaten New York und Vermont in Höhe von 700.00 US-Dollar. Davon haben die betroffenen Kunden nachträglich natürlich nichts. Zukünftige Kunden der Hotelgruppe allerdings schon, wenn Hilton seiner Zusage nachkommt und um in Datensicherheit zu investieren und Vorfälle sofort zu melden. Die Hotelgruppe muss daneben ein IT-Sicherheitsprogramm einrichten mit internen Sicherheitsaudits und auch einen Mitarbeiter einstellen, der für die Umsetzung verantwortlich ist.

John Pescatore sagte, er habe zwar noch nie einen offiziellen Finanzbericht der Hilton-Hotelgruppe über die Kosten dieses Datenverstoßes gesehen. Allerdings in dieser Größenordnung würden typischerweise Kosten im Bereich von 3 bis 4 Millionen US-Dollar entstehen. Bei diesem Vorfall betragen die Strafen und Abwicklungskosten in der Regel weniger als 1/3 der Gesamtkosten. Aber es entstehen Schlagzeilen und das Management wird aufmerksamer. Sicherheitsteams sollten diese Schlagzeilen nutzen, um zu zeigen, dass PoS-Malware für wesentlich weniger Geld zu haben ist. Damit können solche Ereignisse verhindert oder massiv abgemildert werden.

Artikel von zdnet.com, 01.11.2017: Hilton agrees to $700,000 settlement over data breaches
Artikel von reuters.com, 31.10.2017: Hilton to pay $700,000 over credit card data breaches

Urheberrecht Beitragsbild: shutterstock.com