Nun also Motel One. Ende September veröffentlichte die Cybergang ALPHV auf der Plattform X, dem einstigen Twitter, die Botschaft, dass sie die IT-Systeme der deutschen Hotelkette mit Sitz in München infiltriert und Motel One dabei mehrere Terabyte an Daten gestohlen hätten. Nachdem Motel One ein fünftägiges Ultimatum der Kriminellen verstreichen ließ, stellten diese nun erste Datensätze, darunter Gästelisten und Marketingunterlagen, ins Netz. Welche Forderungen die Hacker gestellt haben, ist bislang nicht öffentlich bekannt.
Es ist der zweite vergleichbare Hack binnen kurzer Zeit. Drei Wochen zuvor war die US-Hotel- und -Casinokette MGM ins Visier der ALPHV-Hacker geraten, die ihre Opfer unter anderem mithilfe der Erpressungssoftware Blackcat angreifen. Dass die Münchner Hoteliers gegenüber den Erpressern bisher hart bleiben, selbst nachdem die ALPHV-Hacker mit brisanten Veröffentlichungen gedroht haben – „wir geben Ihnen fünf Tage bis eine Katastrophe über Unternehmen hereinbricht“ –, ist gleich in mehrfacher Hinsicht ein gutes Zeichen.
Denn zum einen warnen Sicherheitsexperten etwa vom Bundeskriminalamt (BKA) und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) regelmäßig und völlig zurecht, dass Lösegeldzahlungen alles andere als ein Garant dafür sind, dass Kriminelle gestohlene Daten nicht doch noch veröffentlichen oder tatsächlich den Code zum Entsperren verschlüsselter Daten herausrücken.
Zum anderen sorgen die Erpressungsgelder nur dafür, dass die kriminelle Wirtschaft im Netz weiter wächst. Faktisch finanzieren die Opfer einer Attacke mit ihren Zahlungen, dass die Hacker anschließend die nächsten paar Firmen angreifen können. Wer nicht zahlt, sorgt umgekehrt dafür, dass sich das Erpressungsgeschäft ein Stückchen weniger rentiert. Würden alle Firmen ihre IT und ihre Datenbestände angemessen schützen, Schwachstellen in den Rechnersystemen konsequent stopfen und sensible Datenbanken wirksam verschlüsseln und regelmäßig unzerstörbar sichern, dann würde die Schattenwirtschaft im Netz zwangsläufig austrocknen.
Dass die Hacker bei der Münchner Hotelkette nach eigenen Angaben rund sechs Terabyte Daten in an die 25 Millionen Dateien kopieren konnten, spricht zwar nicht für eine brauchbare Verschlüsselung, Verschleierung oder Tokenisierung der Geschäfts- und Kundendaten bei Motel One. Aber zumindest ist es den IT-Verantwortlichen offenbar gelungen, die ALPHV-Attacke rechtzeitig zu erkennen und die Systeme zu schützen, bevor die Hacker sie verschlüsseln konnten. Oder Motel One hatte vorgesorgt und besaß ein wirksames Back-up-System, mit dem sich der Angriff entschärfen ließ. „Der Geschäftsbetrieb […] war zu keinem Zeitpunkt gefährdet“, meldete die Hotelgruppe zwei Tage nach der Attacke.
Die Cybergang ist als besonders skrupellos bekannt
Bleibt die Frage, wie brisant die bei Motel One gestohlenen Daten sind, mit deren weiterer Veröffentlichung ALPHV nun droht? Dass die Hacker alles andere als zimperlich sind, wenn es darum geht, Druck aufzubauen, ist bekannt. Nach einer Attacke auf das Lehigh Valley Health Network in Pennsylvania hatten die Erpresser auf ihrer Darknet-Webseite Körperaufnahmen von Brustkrebspatientinnen veröffentlicht.
Derlei sensibles Material dürfte sich kaum auf den Servern der Münchner Hoteliers befunden haben. Doch auch sonst könnte ihnen Ungemach drohen, wenn es den Hackern tatsächlich gelungen wäre, an besonders schützenswerte, personenbezogene Informationen zu gelangen und Motel One beim Schutz der Informationen geschludert, Aufbewahrungsfristen überzogen oder andere Vorgaben der Europäischen Datenschutzgrundverordnung (DSGVO) missachtet hätte. Dann könnten millionenschwere Bußgelder drohen.
Auch da aber scheinen sich die Hoteliers angesichts der Weigerung, Lösegeld zu zahlen, sicher zu fühlen. Laut einem ersten Statement von Motel One hätten die Hacker in 150 Fällen Kreditkartendaten abgegriffen, dazu weitere Adressdaten in bislang ungenannter Zahl. Sowohl die Betroffenen als auch die Datenschutzbehörden seien bereits informiert, meldete das Unternehmen auf seiner Webseite innerhalb der von der DSGVO vorgeschriebenen Frist.
Geht der Angriff am Ende glimpflich aus?
Und so spricht derzeit einiges dafür, dass die Attacke für die Münchner Hoteliers am Ende sogar vergleichsweise glimpflich ausgehen könnte, weil zwar nicht alle Vorkehrungen zum Schutz gegen Hacker ausreichend, manche aber zumindest wirksam waren und, weil das Unternehmen im Umgang mit Ermittlern, Kunden und Datenschutzbehörden bisher zumindest angemessen zu agieren scheint.
Bestätigt sich der Eindruck, der in der ersten Woche nach dem Bekanntwerden des Angriffs entstanden ist, wäre auch das ein gutes Zeichen. Und Motel One könnte – bei allem Ärger, der mit dem Hackerangriff verbunden ist – sogar zu einem Beleg dafür werden, dass sich Vorsorge und ein professionelles Krisenmanagement im Fall von Cyberangriffen tatsächlich auszahlt.
Lesen Sie auch: Wie Hacker der russischen Wirtschaft helfen