Aktuell berichten zahlreiche Medien von einem brisanten Fall von Cyberkriminalität. Getroffen hat es eine bekannte deutsche Hotelkette, die 90 Hotels in Europa und in den Vereinigten Staaten betreibt. Offenbar hat eine Hacker-Gruppe, die sich ALPHV nennt, die IT-Systeme des Unternehmens infiltriert und eine erhebliche Menge Daten erbeutet. Es wird auch berichtet, dass die Hacker der Hotelkette ein Ultimatum zur Zahlung von „Lösegeld“ gestellt und mit der Veröffentlichung von Daten gedroht hätten. Der Fall erregte so viel Aufsehen, dass sogar die ARD-tagesschau den Fall thematisierte.
Unternehmen offenbar Opfer eines Erpressungsversuchs
Entsprechend der Medienmeldungen ist das Ultimatum mittlerweile (wirkungslos) verstrichen, und ALPHV veröffentlichte eine erste Reihe von Datensätzen. Diese enthielten beispielsweise die Namen von Gästen, Zeiträume von Aufenthalten seit dem Jahr 2016 und Gästegeburtstage. Vereinzelt seien seitens ALPHV auch Kreditkartendaten preisgegeben worden. Des Weiteren kamen wohl auch Informationen, die das Marketing des Unternehmens betreffen, an die Öffentlichkeit.
Hotelkette reagierte wohl vorbildlich
Die Hotelkette reagierte aus CRONIQ-Sicht durchaus folgerichtig: Es informierte die Öffentlichkeit, betroffene Kunden und die für den Datenschutz zuständigen Behörden. Zudem wurde Strafanzeige gestellt. Auf den Erpressungsversuch ging das Unternehmen wohl nicht ein. Dies entspricht den Empfehlungen sowohl des Bundeskriminalamts (BKA) als auch des Bundesamts für Sicherheit in der Informationstechnik (BSI). Beide Behörden weisen erstens darauf hin, dass etwaige „Lösegeld“-Zahlungen keine Garantie dafür geben, dass weitere Erpressungsversuche zukünftig tatsächlich ausbleiben.
Zweitens können Zahlungen an Cyberkriminelle eine Spirale in Gang setzen, da diese erhaltene Gelder nutzen könnten, um ihr illegales Geschäftsmodell weiter auszubauen. Im konkreten Fall scheint es, dass die Hotelkette Schlimmeres verhindern konnte und in ihrer Geschäftstätigkeit nicht oder kaum behindert wurde. Dennoch steht selbstverständlich ein Image-Schaden im Raum. Ein Mitglied der Unternehmensleitung verwies außerdem darauf, dass es eine staatliche Aufgabe sei, Bürger und Unternehmen vor Angriffen aus dem Cyberraum zu schützen.
Schutz durch Management der Informationssicherheit
Leider zeigt die Erfahrung aus der Praxis, dass es nicht zielführend ist, sich allein auf staatlichen Schutz zu verlassen. Heutzutage ist das Preisgeben von persönlichen Daten eine alltägliche Handlung. Wir kaufen online ein, buchen Flugtickets bzw. Hotels im Internet oder melden uns auf einer Plattform der Sozialen Medien an. Diese Handlungen sind in der Regel damit verbunden, dass Adressen, Geburtstage oder Zahlungsdaten angegeben werden müssen. Häufig ist sogar eine Registrierung, das heißt das Einrichten eines Kundenkontos, erforderlich.
All dies lässt sich heutzutage kaum vermeiden. Allerdings wollen wir alle uns darauf verlassen können, dass unsere Daten in sicheren Händen sind. Hier sind als erstes die Unternehmer, die Waren oder Dienstleistungen anbieten, in der Pflicht. Sie sind nicht nur gesetzlich, sondern auch moralisch dafür verantwortlich, dass sich ihre Kunden, Klienten, Geschäftspartner, Patienten, etc. in Bezug auf den Umgang mit persönlichen, sensiblen Daten absolut sicher fühlen können. Dazu ist professioneller Beistand erforderlich, der nicht nur einen reibungslosen IT-Betrieb garantiert, sondern auch und vor allem Cyber-Kriminellen keine Chance lässt. Es geht letztendlich um nicht weniger, als um das Abwenden von finanziellem Schaden, der schlimmstenfalls das gesamte Geschäftsmodell ins Wanken bringen könnte.
Wir sind Berlins IT-Sicherheitsmanager
Wenn Sie Fragen zum Management der Informationssicherheit haben, dann sprechen Sie uns bitte an und nutzen dazu unser Kontaktformular:
Hier klicken: Kontaktformular
Viele Grüße,
Tilo Schneider