„Die Marriott-Hotelkette ist von einem riesigen, weltweit wohl einzigartigen Datenschutzverstoß betroffen, bei dem bis zu 500 Millionen Kunden Opfer von Cyberkriminellen wurden. Berichten zufolge wurden rund 327 Millionen Datensätze gestohlen, einschließlich Zahlungsinformationen und Passdaten, was einen jahrelangen Identitätsdiebstahl und Cyberangriffe auf die Opfer nach sich ziehen könnte. Schockierend an dieser Datenschutzverletzung ist, dass die Cyberkriminellen möglicherweise sowohl mit den verschlüsselten Daten als auch mit den Methoden zur Entschlüsselung der Daten davongekommen sind. Denn Marriott hat es offenbar versäumt, die persönlichen und sensiblen Daten ihrer Kunden mit ausreichenden Cybersicherheitsmaßnahmen zu schützen.
In der Vergangenheit bestand das Hauptproblem bei solchen Datenschutzverletzungen oft darin, dass die Unternehmen, in deren Hände die Sicherheit der Kundendaten gelegt wurde, einen Schutz vor Identitätsdiebstahl nur für einen Zeitraum von bis zu einem Jahr Schutz angeboten haben. Viele der gestohlenen Identitätsinformationen haben in der Regel aber eine Laufzeit zwischen 5 und 10 Jahren — man denke etwa an Kreditkarten oder Reisepässe. Die Opfer sind also jahrelang ernsthaften Risiken ausgesetzt, solange sie kompromittierte Karten oder Dokumente nicht neu beantragen, was in der Regel mit Aufwand und Kosten verbunden ist. Unternehmen, die ihre Kunden nicht vor Datendiebstahl schützen, sollten zumindest für die Kosten der Ersatzbeschaffung kompromittierter Dokumente in die Verantwortung gezogen werden können, anstatt jegliche Verantwortlichkeit von sich abzuwenden.
Der aktuelle Vorfall wirft nun einige Fragen auf, etwa seit wann Marriott über die Datenschutzverletzung Bescheid wusste und ob das Unternehmen weltweite Vorschriften und Regularien wie die Datenschutz-Grundverordnung der EU erfüllt hat. Letztere sieht bei Nichteinhaltung immerhin Geldstrafen in Höhe von 20 Millionen Euro oder 4 Prozent des Jahresumsatzes vor. Für potenziell betroffene Marriott-Kunde zählt nun vor allem eines: Sie müssen wissen, ob und welche ihrer Daten gefährdet sind, um gegebenenfalls Vorsichtsmaßnahmen treffen zu können.“
#Netzpalaver #Thycotic
