Geht es eigentlich noch dreister? Als wäre es nicht schon schlimm genug, dass Hacker der Hotelkette Marriott zwischen 2014 und 2018 Kreditkarten- und Ausweisdaten von 500 Millionen (!) Kunden stehlen konnten, hat Marriott dem eigentlich schon sechs Jahre alten Datenschutzdesaster nun nochmal eine Krone aufgesetzt.
Denn während das Unternehmen bisher abgewiegelt hatte, die Daten seien zwar kopiert, aber verschlüsselt und damit für die Hacker unbrauchbar gewesen, musste der Konzern nun eingestehen: Die Hacker haben leider doch alles bekommen, wonach sie gesucht hatten.
Marriotts Umgang mit dem Cyberangriff ist gleich in mehrfacher Hinsicht ein Lehrstück in fünf Akten dafür, wie Unternehmen nach Hackerattacken gerade nicht agieren sollten.
1. Du sollst nicht lügen
Statt, wie jahrelang behauptet, mit einem belastbaren Verschlüsselungsverfahren, hatte Marriott die Daten in Wirklichkeit nur mithilfe eines SHA-1 genannten Algorithmus gegen Lesbarkeit geschützt. Fachleute sprechen von „gehasht“. Das ist ein Verfahren, das es Angreifern erlaubt, speziell kurze Zeichen- oder Ziffernfolgen wie Pass- oder Kreditkartendaten mit wenig Aufwand wieder lesbar zu machen. Zu behaupten, SHA-1 sei eine wirksame Verschlüsselung, ist hingegen eine platte Lüge.
2. Du sollst keine falsche Sicherheit verbreiten
Und nicht bloß, dass Marriott die schützenswerten Daten nicht angemessen gesichert hätte. Mit der Behauptung, die sensiblen Informationen wären gegen Missbrauch gesichert, hat der Konzern die Opfer des Diebstahls auch noch offenbar bewusst in falscher Sicherheit gewogen. Wer hört, dass Hacker mit dem digitalen Diebesgut nichts anfangen können, tauscht seine Kreditkarte nach einer Cyberattacke eher nicht aus oder beantragt eben keinen neuen Pass.
3. Du sollst nichts beschönigen
Hinter der Methode steckt offenbar System. Dass Marriott, anders als bisher behauptet, keineswegs das sichere Verschlüsselungsverfahren AES 128 genutzt, sondern die Kundendaten nur mithilfe von SHA-1 „kaschiert“ hatte, kam eher zufällig und nur auf ausdrückliche Nachfrage des Richters bei einer Anhörung eines US-Bezirksgerichts im Bundesstaat Maryland ans Licht, wie das News-Portal CSO Online berichtete. Ohne dessen Penetranz hätte der Konzern die Strategie des Beschönigens wohl sogar beibehalten.
4. Du sollst aktiv informieren
Mehr noch, Marriott hielt es auch da noch nicht für nötig, die Betroffenen offensiv zu informieren. Erst auf Druck des Gerichts änderte die Kette die ursprüngliche Meldung von 2019 zum Datendiebstahl ab und ergänzte, „Marriott hat nun festgestellt, dass die Zahlungskartennummern und einige der Passnummern […] mit einer anderen kryptografischen Methode geschützt wurden, die als Secure Hash Algorithm 1 (SHA-1) bekannt ist“.
5. Du sollst zu Deinen Fehlern stehen
Eine ergänzende Pressemitteilung, oder wenigstens ein Update-Hinweis zum Fall auf der Homepage wäre angesichts der Tragweite dieser Erkenntnis sicher angemessen gewesen. Doch auch da vergab Marriott die Chance der Richtigstellung. Wer nicht selbst in der inzwischen mehr als fünf Jahre alten Mitteilung zum Vorfall auf der Marriott-Webseite danach sucht, findet die beschönigende Richtigstellung bis heute nur bestenfalls per Zufall.
So verheerend die Lügen und Verschleierungen für die Reputation von Marriott als vertrauenswürdiger Hotelbetreiber sind: Zumindest als Lehrstück für andere Unternehmen eignet sich der Fall bestens, worauf es bei der Kommunikation nach Hackerangriffen ankommt, und für Betroffene, wie sie mit Datendiebstahl umgehen sollten.
Die wichtigste Lehre für Konzerne: Zu maximaler Offenheit gegenüber den Kunden gibt es keine Alternative, soll der Imageschaden nach dem Hack nicht noch größer werden. Die Blamage des späten Eingeständnisses ist heute weit größer als es die Kommunikation der Angriffsdetails es 2018 gewesen wäre. Umso mehr, als die jüngsten Offenbarungen und das Eingeständnis der Lüge Hacking-Opfern nun erst recht die Chance geben, sich Sammelklagen gegen den Hotelkonzern anzuschließen oder selbst Klage gegen das Unternehmen zu erheben. Und für Hacking-Opfern, deren Daten – egal bei welcher Cyberattacke – gestohlen werden, ist der Fall Mahnung, jegliche potenziell korrumpierten Informationen, sofern möglich, kurzfristig auszutauschen. Was auch immer das Unternehmen behaupten mag, dem sie entwendet wurden. Die Dreistigkeit der Gehackten, das macht der „Fall Marriott“ überdeutlich, ist mitunter grenzenlos.
