Datenleck: US-Spion soll Booking.com gehackt haben

Die Reiseplattform Booking.com soll einen Hack im Jahr 2016 verschwiegen haben, bei dem Nutzerdaten kopiert wurden. Laut einem Bericht der niederländischen Zeitung NRC konnte der Angriff einem Mann mit Verbindungen zu US-Geheimdiensten nachgewiesen werden. Weder die betroffenen Kunden noch die zuständige niederländische Datenschutzbehörde wurde von Booking.com informiert.

Durch Zufall erfuhr Booking.com Anfang 2016 von dem Spionagevorfall. Ein Angestellter in der Sicherheitsabteilung am Hauptsitz des Unternehmens in Amsterdam stellte fest, dass eine unbekannte Person sich über einen schlecht gesicherten Server Zugriff auf die Systeme der Reiseplattform verschafft hatte.

Der Eindringling griff dabei auf Tausende Hotelreservierungen vornehmlich im Nahen Osten zu und damit auf die persönlichen Daten von Booking.com-Kunden. Nach mehrmonatigen Ermittlungen, die gemeinsam mit Privatdetektiven aus den USA durchgeführt wurden, konnte Booking.com den Angreifer identifizieren. Dieser arbeitete für eine Firma, die Aufträge von US-Geheimdiensten durchführt.

Dass US-Geheimdienste Hotel-Webseiten ausspionieren, ist auch durch die Snowden-Leaks bekannt. Ziel der Angriffe ist es beispielsweise, die Reisebewegungen von Diplomaten nachzuvollziehen und Abhörgerätschaften in deren Hotelzimmern anzubringen. Der britische Geheimdienst Government Communications Headquarters (GCHQ) nennt ein Programm, mit dem weltweit die Reservierungssysteme von mehr als 350 häufig von Diplomaten sowie Regierungsdelegationen gebuchten Hotels überwacht werden: Royal Concierge.

Geheimhaltung des Booking.com-Hacks umstritten

Zwar hatte Booking.com den niederländischen Geheimdienst AIVD um Hilfe bei der Untersuchung gebeten, die Betroffenen oder die niederländische Datenschutzbehörde wurden jedoch nicht informiert. Laut Booking.com kam man in Absprache mit einer Anwaltskanzlei zu dem Schluss, dass das Unternehmen zu dem Zeitpunkt nicht rechtlich dazu verpflichtet gewesen sei, den Vorfall weiterzugeben.

Mit dieser Entscheidung seien zumindest die IT-Spezialisten des Unternehmens nicht einverstanden gewesen, heißt es in dem Bericht der NRC. Zudem ist umstritten, ob das Unternehmen nach den damals gültigen Datenschutzgesetzen nicht doch zur Information der Betroffenen verpflichtet gewesen wäre. Dies schreibt das Gesetz vor, wenn die Datenschutzverletzung "wahrscheinlich nachteilige Auswirkungen auf das Privatleben von Einzelpersonen haben würde".

Der Professor für Recht und digitale Technologien an der Universität Leiden, Gerrit-Jan Zwenne, betont, dass Booking.com keineswegs davon habe ausgehen können, dass die Betroffenen nicht von einer Spionage betroffen gewesen seien. "Diese Art von gestohlenen Informationen kann verwendet werden, um Personen auf Flugverbotslisten zu setzen, ihnen die Einreise in bestimmte Länder zu verbieten oder sie abzuhören", erklärte Zwenne.

Erst im April 2021 musste Booking.com ein Bußgeld von 475.000 Euro entrichten, da die Firma einen Datenschutzverstoß zu spät an die zuständige Behörde meldete. Statt der vorgeschriebenen 72 Stunden hatte Booking.com den Sicherheitsvorfall erst nach 22 Tagen an die Datenschutzbehörde übermittelt.