Ein Cyberangriff auf einen Anbieter von Hoteldatenbanken hat dazu geführt, dass personenbezogene Daten von Hotelgästen abgeflossen sind. Der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern (LfDI MV) warnt vor möglichen Phishing-Angriffen durch Dritte und ruft Hotels, betroffene Gäste sowie Bürgerinnen und Bürger zu besonderer Vorsicht auf.
Der Hintergrund
Nach Mitteilung der Aufsichtsbehörde haben mehrere Hotels, die eine bundesweit eingesetzte Datenbank zur Verwaltung von Gästebuchungen nutzen, Datenpannen gemeldet. Der betroffene Dienstleister wurde Opfer eines Hackerangriffs und informierte die angeschlossenen Hotels über den Vorfall. Nach aktuellem Kenntnisstand sind die vollständigen Datenbanken der betreffenden Hotels abgeflossen. Betroffen sind insbesondere Vor- und Nachnamen, Adressdaten sowie weitere buchungsrelevante Informationen von Gästen.
Erhöhtes Risiko durch gezielte Phishing-Angriffe
Bereits jetzt werden die erlangten Daten für Phishing-Versuche genutzt. Dritte versenden Nachrichten, die den Eindruck erwecken, von Hotelmitarbeitenden zu stammen, und versuchen auf diese Weise, Zahlungen oder weitere sensible Informationen zu erlangen. Die Nachrichten erfolgen per E-Mail oder Messenger-Dienste und können täuschend echt wirken. Gerade weil reale Buchungsdaten verwendet werden, besteht eine erhöhte Glaubwürdigkeit der Betrugsversuche.
Für Gäste bedeutet das: Jede ungewöhnliche Zahlungsaufforderung sollte kritisch hinterfragt werden. Im Zweifel empfiehlt sich die direkte Kontaktaufnahme mit dem Hotel über eine offiziell bekannte Telefonnummer oder E-Mail-Adresse.
Verantwortlichkeit und Pflichten der Hotels
Hotels bleiben auch dann Verantwortliche für die Daten ihrer Gäste, wenn die Sicherheitsverletzung beim Auftragsverarbeiter eingetreten ist. Sie treffen daher Informations- und Meldepflichten. Betroffene Personen sind über den Hackerangriff und den Abfluss ihrer Daten zu informieren, damit sie sich vor Phishing-Angriffen schützen können. Zudem ist eine Meldung der Datenpanne bei der zuständigen Aufsichtsbehörde erforderlich.
Darüber hinaus sollen Mitarbeitende für die konkrete Gefährdungslage sensibilisiert werden. Verdächtige Links oder Anhänge dürfen nicht geöffnet werden. Sämtliche Passwörter im Zusammenhang mit der betroffenen Datenbank sind zu ändern, angeschlossene Systeme zu überprüfen und Protokolle auf ungewöhnliche Anmeldeversuche zu kontrollieren. Backup-Systeme sind auf ihre Aktualität hin zu prüfen, und für alle Systeme sollte eine Zwei-Faktor-Authentifizierung eingerichtet werden. Zusätzlich empfiehlt die Aufsichtsbehörde, eigene Warnhinweise auf Kommunikationskanälen zu veröffentlichen, um Gäste für Phishing zu sensibilisieren.
Branchenübergreifende Bedeutung des Vorfalls
Diese Anforderungen beschränken sich nicht auf die Hotellerie. Auch andere Unternehmen, die externe IT-Dienstleister einsetzen oder personenbezogene Daten über Drittanbieter verarbeiten lassen, bleiben verantwortlich. Informations- und Meldepflichten bestehen unabhängig davon, wo die technische Schwachstelle lag. Ebenso sind Passwortänderungen, Systemprüfungen, Sensibilisierung der Mitarbeitenden und geeignete Sicherheitsmaßnahmen keine branchenspezifischen Besonderheiten, sondern allgemeine Anforderungen beim Umgang mit personenbezogenen Daten.
Technische und organisatorische Schutzmaßnahmen im Fokus
Der Vorfall zeigt deutlich, dass technische und organisatorische Maßnahmen regelmäßig überprüft werden müssen. Dazu gehören sichere Authentifizierungsverfahren, funktionierende Backup-Strukturen, die Kontrolle von Zugriffsprotokollen sowie die klare Kommunikation im Ernstfall. Cyberangriffe auf externe IT-Dienstleister wirken sich unmittelbar auf die angeschlossenen Unternehmen aus.
Was betroffene Gäste beachten sollten
Gäste sollten eingehende Nachrichten sorgfältig prüfen, insbesondere wenn Zahlungsaufforderungen oder erneute Dateneingaben verlangt werden. Persönliche Daten oder Zahlungsinformationen sollten niemals über zugesandte Links weitergegeben werden. Bestehen Zweifel an der Echtheit einer Nachricht, sollte das Hotel direkt über eine bekannte offizielle Kontaktmöglichkeit kontaktiert werden. Wer bereits Daten preisgegeben hat, sollte sich an das betreffende Hotel, die eigene Bank oder gegebenenfalls an die Strafverfolgungsbehörden wenden.
Fazit
Der Cyberangriff auf den Hotel-Datenbankdienstleister verdeutlicht, dass Sicherheitsvorfälle bei externen IT-Anbietern unmittelbare Auswirkungen auf die angeschlossenen Unternehmen haben. Die datenschutzrechtliche Verantwortung verbleibt beim jeweiligen Unternehmen. Informationspflichten, Meldepflichten und technische Schutzmaßnahmen müssen auch dann umgesetzt werden, wenn die Sicherheitslücke nicht im eigenen Haus entstanden ist.
Cyberangriffe dieser Art sind kein Einzelfall, sondern Teil einer anhaltenden Bedrohungslage. Als spezialisierte Datenschutzkanzlei unterstützen wir Unternehmen unter anderem bei:
- der rechtlichen und technischen Bewertung bestehender TOMs,
- der Gestaltung und Prüfung von Auftragsverarbeitungsverträgen,
- der Durchführung von Datenschutz-Folgenabschätzungen (DSFA),
- der Vorbereitung auf Cyberangriffe und Datenpannen,
- der rechtssicheren Kommunikation mit Aufsichtsbehörden und Betroffenen im Ernstfall.
Unser Ansatz ist präventiv, praxisnah und rechtssicher und hat das Ziel, Bußgelder, Haftungsrisiken und Imageschäden zu vermeiden.
Bereit, die Verantwortung an einen externen Datenschutzbeauftragten zu übergeben?
Kontaktieren Sie uns noch heute, um zu erfahren, wie wir Ihr Unternehmen in Fragen des Datenschutzes und der Datenschutz-Compliance unterstützen können.
