Hotelketten-Hack: Ausweiskopien in Untergrundforum veröffentlicht

Etliche Kopien von Personalausweisen, Krankenkassenkarten und anderen sensiblen Daten sind schon in der Vorschau eines Datenpakets, das in einem Untergrundforum verbreitet wird, zu sehen. Die Daten stammen aus einem Hack der Hotelkette H-Hotels im vergangenen Dezember.

Damals hatte die Hotelkette noch erklärt, dass keine Hinweise vorlägen, "dass relevante oder personenbezogene Daten durch den Cyberangriff entwendet werden konnten". Schon kurze Zeit später musste das Unternehmen eingestehen, dass "auch personenbezogene Daten (z.B. Name, Anschrift, Mailadresse) betroffen sein könnten".

Doch von Ausweiskopien und ähnlich sensiblen Dokumenten sprach das Unternehmen auch auf Nachfrage nicht – obwohl die Ransomwaregruppe Play explizit mit deren Veröffentlichung gedroht hatte.

Datenleck mit sehr sensiblen Daten

Der Forscher Moritz Gruber hat sich die Daten im Rahmen eines Forschungsprojektes bei der Sicherheitsfirma Aware7 genauer angesehen. Bei einer ersten Sichtung konnte er Personalausweiskopien von mindestens 45 Personen entdecken. Ebenfalls enthalten gewesen seien Kopien von Krankenkassenkarten, Renten- und Sozialversicherungsausweisen sowie Gehaltsabrechnungen und Schwerbehindertenausweisen, erklärt Gruber.

"Hierbei handelt es sich um hochkritische personenbezogene Daten von vermutlich Angestellten der H-Hotels-Gruppe. Gerade Dokumente wie Schwerbehindertenausweise gehören nach Art. 9 DSGVO zu den besonders schützenswerten Daten", betont Gruber. Insgesamt umfasse das veröffentlichte Archiv 6,59 GByte.

Neben den sensiblen Daten der Angestellten finden sich auch Finanz- und Budgetplanungen aus den Jahren 2015 bis 2022 sowie Konzernabschlüsse, Kreditkartenabrechnungen und Verträge mit Banken oder Lieferanten in dem Archiv.

H-Hotels will nicht über geleakte Ausweiskopien reden

Auf erneute Nachfrage erklärte H-Hotels, dass die Angreifer nach dem bekannten Ransomwaremuster vorgegangen seien und neben verschlüsselten Rechnern auch mit der Veröffentlichung entwendeter Daten gedroht hätten. "Am 04.01.2023 haben die Cyberkriminellen begonnen, die Daten im Darknet zu zeigen – auch darüber haben wir umfassend und sofort informiert. In den Datensätzen finden sich Namen, zum Teil auch E-Mailadressen oder Anschriften, jedoch keine nutzbaren Zahlungs- oder Bankinformationen", teilte H-Hotels mit. Man stehe mit der zuständigen Datenschutzbehörde in Kontakt.

Zu den Kopien von Personalausweisen und Krankenkassenkarten verliert das Unternehmen kein Wort, obwohl Golem.de explizit auf die veröffentlichten Daten hingewiesen und um eine Stellungnahme gebeten hatte. Nur die Frage, warum überhaupt solche Daten erhoben wurden, beantwortet die Hotelgruppe: "Bei den durch den Cyberangriff gestohlenen Daten von Mitarbeitenden handelte es sich um Kopien, die für wiederkehrende interne Geschäftsprozesse und die Überprüfung von Legitimationen verwendet und im Rahmen der gesetzlichen Vorgaben verarbeitet wurden. Die betroffenen Mitarbeitenden wurden entsprechend informiert."