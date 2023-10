Die Hackergruppe ALPHV, die sich zu dem Angriff bekannt hat, verlangte von MotelOne ein Lösegeld in Höhe von 50 Millionen Euro. MotelOne lehnte die Zahlung des Lösegelds ab. Daraufhin wurden die Daten im Darknet veröffentlicht und sind frei zugänglich.

Unter den gehackten Datenbefinden sich: fast vollständige Listen zu den Übernachtungen, Rechnungsadressen, Geburtsdaten der Kunden, interne Geschäftszahlen, Handynummern der Angestellten. Die Daten führen teilweise bis ins Jahr 2016 zurück. Das betrifft hauptsächlich die Übernachtungslisten. Die betroffenen Daten stammen laut MotelOne von Gästen aus den Jahren 2016 bis 2023. Die Daten von Mitarbeitern sind offenbar aus den Jahren 2019 bis 2023. Warum MotelOne diese Listen so lang speichert, ist bislang unbekannt.

Die Tragweite des Datenlecks könnte erheblich sein, da es potenziell Millionen Menschen betrifft, die in den vergangenen acht Jahren in einem MotelOne übernachtet haben. Die veröffentlichten Listen enthalten Namen, Aufenthaltsdaten und Zimmernummern, was es Dritten ermöglicht, detaillierte Reiseprofile zu erstellen. Nicht jeder will seine Daten über Reisen veröffentlicht wissen. Bei Geschäftsverbindungen kann das ebenso kompromittierend sein wie bei privaten Reisen.

Ransomware-Angriffe sind ein wachsendes Problem, und MotelOne ist nicht das einzige Unternehmen, das betroffen ist. Die Erpresser professionalisieren sich, und die Dunkelziffer solcher Vorfälle ist hoch. MotelOne plant einen Börsengang in den nächsten Jahren und hat einen erheblichen Unternehmenswert, einschließlich der Immobilientochter. Da wollte sich die Hackergruppe offensichtlich bedienen.

Das Ausmaß des Datenlecks werfe Fragen zur internen IT-Sicherheit von MotelOne auf, und es gebe laut Süddeutscher Zeitung Hinweise darauf, dass ein Computer am Standort Ulm als Einfallstor für die Hacker gedient haben könnte. Es scheint, als ob MotelOne verbesserungswürdige IT-Sicherheitspraktiken hatte, da Passwörter für Hotel-Systeme in den veröffentlichten Daten gefunden wurden.

MotelOne hat Strafanzeige gestellt und arbeitet mit Datenschutzbehörden und IT-Sicherheitsexperten zusammen, um den Vorfall zu untersuchen. Es gibt jedoch noch viele offene Fragen, und das Ausmaß des Schadens ist noch nicht vollständig bekannt.

Die Datenschutzgrundverordnung (DSGVO) schreibt vor, dass Betroffene eines Datenlecks informiert werden müssen, insbesondere bei hohen Risiken. Betroffene haben auch das Recht auf Schadenersatz, wenn ihnen durch einen DSGVO-Verstoß ein materieller oder immaterieller Schaden entstanden ist.

MotelOne hat nach eigenen Angaben alle betroffenen Kunden und Mitarbeiter informiert. Das Unternehmen hat auch Maßnahmen ergriffen, um die Sicherheit der Daten zu erhöhen.

MotelOne wird von einigen Seiten kritisiert, weil das Unternehmen den Hackerangriff erst drei Wochen nach Bekanntwerden des Datenlecks öffentlich gemacht hat.

Betroffene Kunden sollten ihre Kreditkartendaten sperren und eine neue Karte beantragen. Außerdem sollten sie ihre Passwörter für Online-Konten ändern, die mit dem MotelOne-Konto verknüpft sind.

Kunden, deren Kreditkartendaten gestohlen wurden, sollten sich auch bei ihrer Bank melden und eine Sperrung der Karte beantragen. Außerdem sollten sie ihre Bankkonten auf ungewöhnliche Aktivitäten überprüfen.

Die gestohlenen Daten können von Kriminellen für verschiedene Zwecke missbraucht werden. So könnten sie zum Beispiel für Identitätsdiebstahl, Phishing-Angriffe oder Online-Betrug genutzt werden.

