Nach Cyberangriff auf Motel One: Können Betroffene jetzt Schadenersatz fordern?
Die vergangene Woche dürfte für die Verantwortlichen von Motel One eine ziemlich unbequeme gewesen sein. Bekannt wurde ein Datenleck, über das Millionen von Kund:innendaten ins Internet kamen. Der insgesamt sechs Terabyte große Datensatz steht im Darknet und könnte für das Unternehmen teuer und für viele Kund:innen unangenehm werden. Was genau passiert ist, welche Schritte die ehemaligen Hotelgäste jetzt ergreifen sollten und warum auch Schadenersatzforderungen im Raum stehen, erklären wir in diesem Ratgeber.
Was ist passiert und wie geht die Hotelkette damit um?
Ende September 2023 erklärte die in München ansässige Hotelkette Motel One, man sei Ziel eines Hackerangriffs geworden, bei dem „Adressdaten abgegriffen wurden, darunter 150 Kreditkartendaten“. Klingt erst einmal weniger gravierend als es sich im Laufe der Zeit dann herausstellte. Insgesamt, so ist inzwischen klar, handelt es sich um einen knapp sechs Terabyte großen Datensatz, der im Darknet kursiert.
Es handelt sich bei den Daten offenbar um rund 24,5 Millionen Datensätze mit Informationen aus den vergangenen drei Jahren, offenbar also auch recht aktuelle Daten – einen Datenschatz, der neben Namen und Adressdaten inklusive Mobilfunknummern vor allem auch Familienstand und einige pikante Rechnungsdetails enthält: beispielsweise auch, welche Gäste da im jeweiligen Zimmer gemeinsam übernachtet haben. Übrigens taucht auch Motel-One-Mitgründer Dieter Müller in den Listen auf – der Chef übernachtet somit selbst gerne in seinen Häusern. Die Daten enthalten PDFs und RTF-Dateien mit Buchungsbestätigungen.
Wo und wie könnte das Datenleck entstanden sein?
Das lässt sich nach heutigem Stand nicht genau sagen. Allerdings findet sich in den Daten laut Informationen der Süddeutschen auch mindestens ein persönlicher Ordner eines Mitarbeitenden der Ulmer Filiale des Motel One. Von dort sollen auch die erwähnten Kreditkarteninformationen stammen. Es könnte also sehr wahrscheinlich sein, dass über dieses Hotel ein Rechner kompromittiert wurde. Denn in der Regel erhält das Hotel aus Sicherheitsgründen ja nur die Informationen über die Auslösung einer Zahlung, die dann aber über einen anderen Server abgewickelt wird.
Im konkreten Fall soll es sich aber um Kostenübernahmevereinbarungen handeln, welche die Kreditkartendaten enthalten sollen – laut SZ-Bericht auch mit den dreistelligen CVC-Prüfziffern, sodass zumindest diese Karten zügig gesperrt worden sein dürften. Viele der geleakten Daten stammen offenbar aus sogenannten Notfalllisten des Hotels – wozu diese genau angelegt werden und warum sie über Jahre hinweg gespeichert werden, ist unklar. Hier muss auch geprüft werden, ob die Speicherung in der jeweiligen Form datenschutzrechtskonform war.
Was könnte mit den Daten passieren, welche Gefahr besteht?
Mal ganz abgesehen davon, dass es bei den Hotelgästen ein ungutes Gefühl hinterlässt, wenn sie sich nicht sicher sein können, dass ihre Privatsphäre eingehalten wird, bietet gerade ein solcher Datensatz doch reichlich Sprengkraft für Phishing-Attacken, Erpressungsversuche und andere Cyber-Angriffe. Konkret erlauben die Daten der Übernachtenden natürlich pikante Rückschlüsse, die die Privatsphäre verletzen, und auch die Rechnungsdetails, hier insbesondere die (einzelnen) Kreditkartendaten könnten missbraucht werden.
Kund:innen sollten daher, vor allem wenn sie vermeintliche Mails von Motel One erhalten, vorsichtig sein und nicht noch weitere persönliche Daten preisgeben (Phishing-Gefahr). Im schlimmsten Fall wird versucht – so passierte es bei anderen derartigen Fällen –, die Daten unter einem Vorwand durch weitere Details anzureichern.
Wer steckt hinter dem Angriff?
Hinter der Geschichte steckt wohl eine Hackergruppe namens AlphV, die mit dem Hack Geld erpressen wollte und dem Unternehmen ansonsten mit einem Imageschaden drohte. Es handelt sich dabei um eine mutmaßlich russische Vereinigung, die mit Ransomware arbeitet und in der Vergangenheit bereits durch einen Einbruch in ein Gesundheitsnetzwerk in Pennsylvania in die Schlagzeilen kam, bei dem Patient:innendaten mitsamt Patient:innenbildern veröffentlicht wurden.
Die Gruppe hat offenbar über längere Zeit mit Motel One verhandelt und spricht davon, dass die Hotelkette versucht habe, sie hinzuhalten, obwohl sie sich der Tragweite der geleakten Daten bewusst sein müsste. In welcher Form es Forderungen gegeben hat, ist nicht bekannt.
Bin ich betroffen und was ist zu tun?
Das kann zum jetzigen Zeitpunkt nur ein Blick in die Datensätze selbst verraten, die sich auf die Jahre 2021 bis 2023 beziehen sollen. Motel One selbst erklärt, man habe die betroffenen Kund:innen bereits informiert, insbesondere wenn es sich um noch gültige Kreditkartendaten handelt. Auch habe man inzwischen den entsprechenden Datenzugang abgesichert, damit keine weiteren personenbezogenen Daten erbeutet werden können. All das geschehe im Zusammenspiel mit entsprechenden Security-Dienstleistern und den Datenschutzbehörden.
Können Betroffene Schadenersatz fordern?
Das ist noch nicht klar, es gab und gibt aber in vergleichbaren Fällen durchaus das Recht auf Schadenersatz, der unter Umständen noch nicht einmal materiell sein muss. Für immaterielle Schäden hat der Gesetzgeber in Art. 82 der DSGVO Schadenersatz vorgesehen – insbesondere der Sachverhalt, dass Buchungsbestätigungen im Umlauf sein sollen, die neben dem Zahlenden auch die weitere Person im Hotelzimmer aufführen, könnte neben der generellen Verletzung der Privatsphäre hier eine Rolle spielen. Natürlich sind die einschlägigen Anwält:innen und Legaltech-Unternehmen hier schon wieder sehr schnell mit Informationsseiten am Start. Dort können möglicherweise Betroffene prüfen lassen, welche rechtlichen Schritte sie einleiten können und ob ihr Name überhaupt in den Datensätzen auftaucht. Der Prozessfinanzierer Eugd hat hier eine entsprechende Landingpage erstellt und war auch in der Vergangenheit als Unterstützer in ähnlichen Fällen, zum Beispiel gegen Scalable Capital, erfolgreich.
Thomas Bindl, Gründer der Europäischen Gesellschaft für Datenschutz (EuGD), warnt davor, das Datenleck auf die leichte Schulter zu nehmen: „Auf den ersten Blick mag das Gros der Daten wie Wohnadresse, Ort des Hotels und Zeitpunkt des Aufenthalts sowie etwaige Extras wenig spannend sein, jedoch sind die Daten im Kontext durchaus brisant. Reiseprofile können auf Neukundenakquise von Vertriebsmitarbeitern schließen lassen oder natürlich auf private Aufenthalte, die gar nicht oder nicht mit zwei Gästen bekannt waren.“ Er bemängelt außerdem, dass Motel One über den Angriff schon deutlich früher gewusst haben müsse, die Betroffenen also nicht so rechtzeitig wie möglich informiert habe. „Jetzt geht es darum, Transparenz zu schaffen, was beispielsweise über ein Auskunftsersuchen direkt bei Motel One möglich ist. Dadurch bekommt man idealerweise zeitnah Klarheit, welche Daten wirklich betroffen sind.“
Ich war in der Zeit vom 30.09.2023 bis 02.10.2023 im Motel One in Hamburg wir haben nicht mit Karte gezahlt sondern Bar.