Cybersicherheit Learning #6: Der Marriott-Fall

06/30/2025
Cyber Sicherheit | Start-ups

Im Jahr 2018 erschütterte die Marriott-Datenpanne die Hospitality-Branche, als bekannt wurde, dass die Daten von bis zu 500 Millionen Gästen…

Im Jahr 2018 erschütterte die Marriott-Datenpanne die Hospitality-Branche, als bekannt wurde, dass die Daten von bis zu 500 Millionen Gästen über einen Zeitraum von vier Jahren kompromittiert wurden. Namen, Adressen, Telefonnummern, Passnummern und in einigen Fällen Kreditkartendaten waren betroffen. Der Vorfall führte zu erheblichen Bußgeldern und Klagen und verdeutlichte die Gefahren unzureichender Sicherheits- und Compliance-Maßnahmen in einer global vernetzten Welt.

Was war das Problem?

Die Datenpanne bei Marriott war das Ergebnis eines lange unentdeckten Hackerangriffs auf die Starwood-Datenbank, die Marriott im Zuge einer Übernahme 2016 integriert hatte. Die Angreifer hatten bereits Jahre zuvor Zugang erlangt, und Marriott war nicht in der Lage, die Bedrohung rechtzeitig zu erkennen und einzudämmen.

⚠️ Zentrale Schwachstellen:

  1. Fehlende Due-Diligence bei der Übernahme: Sicherheitsmängel in der Starwood-Infrastruktur wurden bei der Übernahme nicht ausreichend geprüft und behoben.
  2. Langsame Bedrohungserkennung: Der Angriff blieb über vier Jahre unentdeckt, was die Auswirkungen erheblich verstärkte.
  3. Unzureichender Datenschutz: Sensible Gästedaten waren nicht durchgehend verschlüsselt.

Welche Compliance-Learnings ergeben sich aus dem Marriott-Vorfall?

  1. Due-Diligence-Prüfungen bei Übernahmen:
    🛡 Vor der Integration neuer IT-Systeme sollten Unternehmen gründliche Sicherheitsprüfungen durchführen, um Schwachstellen zu identifizieren und zu beheben.
  2. Starke Bedrohungserkennung:
    🔍 Moderne Tools zur Überwachung und Analyse von Netzwerkaktivitäten wie SIEM-Systeme (Security Information and Event Management) können helfen, Angriffe frühzeitig zu erkennen.
  3. Verschlüsselung sensibler Daten:
    🔒 Gästedaten wie Passnummern und Kreditkartendaten sollten immer verschlüsselt gespeichert werden, um die Auswirkungen eines Angriffs zu minimieren.
  4. Regelmäßige Sicherheitsaudits:
    🛠 Organisationen sollten kontinuierlich Sicherheitsüberprüfungen durchführen, insbesondere nach der Integration neuer Systeme.
  5. Verantwortungsbewusstes Datenmanagement:
    📊 Unternehmen sollten überprüfen, welche Daten sie speichern und wie lange sie aufbewahrt werden. Eine Datenminimierung reduziert das Risiko, im Falle eines Angriffs sensible Informationen zu verlieren.
  6. Incident-Response-Strategien verbessern:
    🚨 Ein effektiver Plan für den Umgang mit Sicherheitsvorfällen sollte klare Protokolle für die Untersuchung, Benachrichtigung und Behebung enthalten. Dies ist auch im Hinblick auf die DSGVO (Art. 33 und 34) wichtig, die eine rechtzeitige Meldung von Datenpannen vorschreibt.

Wie lassen sich solche Vorfälle künftig vermeiden?

Cybersicherheits- und Datenschutzmaßnahmen müssen integraler Bestandteil von Geschäftsprozessen sein, insbesondere bei Mergers & Acquisitions. Die Einhaltung internationaler Sicherheitsstandards wie ISO/IEC 27001 und branchenspezifischer Vorschriften bietet Unternehmen eine klare Orientierung für die Sicherung ihrer Systeme und Daten.

Die Kombination aus technischen Lösungen, wie Verschlüsselung und Netzwerksicherheit, und organisatorischen Maßnahmen, wie regelmäßigen Schulungen und Audits, stärkt die Resilienz gegen Angriffe.

Weitere Blogartikel

Sie benötigen rechtliche Unterstützung?

Gerne stehe ich Ihnen bei rechtlichen Fragestellungen zur Seite. Bitte kontaktieren Sie mich telefonisch oder via Kontaktformular um ein kostenloses Erstgespräch zu vereinbaren. 

Dr. LUKAS STAFFLER, LL.M.

@lukasstaffler

Kontaktformular