Datenleck bei »MotelOne«: Millionen Kundendaten gestohlen, Hackergruppe ALPHV fordert vergeblich Lösegeld

Lahr, 11. Oktober 2023

#Kriminelle #Hacker haben nach Medienberichten eine große Menge interner Daten der #Hotelkette »MotelOne« veröffentlicht, darunter umfangreiche Ãœbernachtungslisten der vergangenen Jahre mit Millionen von Namen, einschließlich des Hotelgründers Dieter Müller. »MotelOne«, eine der größten Hotelketten Europas, wurde Opfer einer #Ransomware Attacke, bei der die #Hacker versuchten, Geld zu erpressen. Die Hackergruppe ALPHV veröffentlichte die erbeuteten Daten im Darknet, darunter etwa 24 Millionen Dateien und etwa sechs Terabyte an Informationen, darunter Text und #Datenbankdateien, #Exceltabellen und #PDFs. Die #Verbraucherkanzlei Dr. Stoll & Sauer rät generell Verbrauchern, die möglicherweise Opfer eines Datenlecks geworden sind, zur kostenlosen Erstberatung im Online Check. Hier kann die Kanzlei die Betroffenheit der Kunden überprüfen und zeigt rechtliche Möglichkeiten auf. Mehr Infos zum Thema Datenleck und Datenschutz gibt es auf unserer Website.

Ransomware Angriffe wie auf »MotelOne« nehmen derzeit zu

»MotelOne« hat den Vorfall nach einem Bericht der Süddeutschen Zeitung vom 6. Oktober 2023 gemeinsam mit IT Sicherheitsexperten untersucht und am 30. September 2023 öffentlich bestätigt, Ziel eines Hackerangriffs gewesen zu sein. Die Hacker haben Adressdaten von Kunden und Kreditkartendaten abgegriffen. Das Unternehmen betont, dass der Geschäftsbetrieb zu keinem Zeitpunkt gefährdet war. Die Kanzlei Dr. Stoll & Sauer fasst kurz zusammen, was über das Datenleck bei »MotelOne« bisher bekannt ist:

Die Hackergruppe ALPHV, die sich zu dem Angriff bekannt hat, verlangte von »MotelOne« ein Lösegeld in Höhe von 50 Millionen »Euro«. »MotelOne« lehnte die Zahlung des Lösegelds ab. Daraufhin wurden die Daten im »Darknet« veröffentlicht und sind frei zugänglich.

Unter den gehackten Daten befinden sich: fast vollständige Listen zu den Ãœbernachtungen, Rechnungsadressen, Geburtsdaten der Kunden, interne Geschäftszahlen, Handynummern der Angestellten. Die Daten führen teilweise bis ins Jahr 2016 zurück. Das betrifft hauptsächlich die Ãœbernachtungslisten. Die betroffenen Daten stammen laut »MotelOne« von Gästen aus den Jahren 2016 bis 2023. Die Daten von Mitarbeitern sind offenbar aus den Jahren 2019 bis 2023. Warum »MotelOne« diese Listen so lang speichert, ist bislang unbekannt.

Die Tragweite des Datenlecks könnte erheblich sein, da es potenziell Millionen Menschen betrifft, die in den vergangenen acht Jahren in einem »MotelOne« übernachtet haben. Die veröffentlichten Listen enthalten Namen, Aufenthaltsdaten und Zimmernummern, was es Dritten ermöglicht, detaillierte Reiseprofile zu erstellen. Nicht jeder will seine Daten über Reisen veröffentlicht wissen. Bei Geschäftsverbindungen kann das ebenso kompromittierend sein wie bei privaten Reisen.

Ransomware Angriffe sind ein wachsendes Problem, und »MotelOne« ist nicht das einzige Unternehmen, das betroffen ist. Die Erpresser professionalisieren sich, und die Dunkelziffer solcher Vorfälle ist hoch. »MotelOne« plant einen Börsengang in den nächsten Jahren und hat einen erheblichen Unternehmenswert, einschließlich der Immobilientochter. Da wollte sich die Hackergruppe offensichtlich bedienen.

Das Ausmaß des #Datenlecks werfe Fragen zur internen IT Sicherheit von »MotelOne« auf, und es gebe laut Süddeutscher Zeitung Hinweise darauf, dass ein Computer am Standort Ulm als Einfallstor für die Hacker gedient haben könnte. Es scheint, als ob »MotelOne« verbesserungswürdige IT Sicherheitspraktiken hatte, da Passwörter für Hotel Systeme in den veröffentlichten Daten gefunden wurden.

»MotelOne« hat #Strafanzeige gestellt und arbeitet mit #Datenschutzbehörden und IT Sicherheitsexperten zusammen, um den Vorfall zu untersuchen. Es gibt jedoch noch viele offene Fragen, und das Ausmaß des Schadens ist noch nicht vollständig bekannt.

Was bedeutet »MotelOne« Datenleck für betroffene #Verbraucher?

Der Hackerangriff ist ein ernstzunehmender Vorfall nicht nur für »MotelOne«, sondern vor allem für die Verbraucher. Das Datenschutzrecht gibt Betroffenen mehrere Möglichkeiten an die Hand zu reagieren …

  • Die Datenschutzgrundverordnung (DSGVO) schreibt vor, dass Betroffene eines Datenlecks informiert werden müssen, insbesondere bei hohen Risiken. Betroffene haben auch das Recht auf Schadensersatz, wenn ihnen durch einen #DSGVO Verstoß ein materieller oder immaterieller Schaden entstanden ist.

  • »MotelOne« hat nach eigenen Angaben alle betroffenen Kunden und Mitarbeiter informiert. Das Unternehmen hat auch Maßnahmen ergriffen, um die Sicherheit der Daten zu erhöhen.

  • »MotelOne« wird von einigen Seiten kritisiert, weil das Unternehmen den Hackerangriff erst drei Wochen nach Bekanntwerden des Datenlecks öffentlich gemacht hat.

  • Betroffene Kunden sollten ihre Kreditkartendaten sperren und eine neue Karte beantragen. Außerdem sollten sie ihre Passwörter für Online Konten ändern, die mit dem »MotelOne« Konto verknüpft sind.

  • Kunden, deren Kreditkartendaten gestohlen wurden, sollten sich auch bei ihrer Bank melden und eine Sperrung der Karte beantragen. Außerdem sollten sie ihre Bankkonten auf ungewöhnliche Aktivitäten überprüfen.

  • Die gestohlenen #Daten können von Kriminellen für verschiedene Zwecke missbraucht werden. So könnten sie zum Beispiel für #Identitätsdiebstahl, #Phishing #Angriffe oder #Onlinebetrug genutzt werden.

Fazit der Kanzlei Dr. Stoll & Sauer

Das Datenleck bei »MotelOne« ist für betroffene Verbraucher eine ernste Angelegenheit. Sensible personenbezogene Daten sind für jedermann einsehbar. Dieser Kontrollverlust über die eigenen Daten kann einen immateriellen Schaden darstellen. Hat »MotelOne« gegen datenschutzrechtliche Bestimmungen verstoßen, so können Betroffene Ansprüche auf Schadensersatz erfolgreich geltend machen. Laut #EUGH Urteil vom 4. Mai 2023 (Aktenzeichen C 300/21) bestehen Ansprüche auf Schadensersatz nur dann, wenn durch einen Verstoß gegen die #Datenschutzgrundverordnung (DSGVO) ein materieller oder immaterieller Schaden entstanden ist.

Betroffene Nutzer sollten sich generell über die möglichen Folgen eines Datenlecks im Klaren sein und entsprechende Maßnahmen ergreifen, um sich beispielsweise vor Phishing Angriffen zu schützen. Mit Hilfe kombinierter Informationen aus anderen Datenlecks könnten Cyberkriminellen gezielte Phishing Angriffe gegen Verbraucher initiieren. Dr. Stoll & Sauer rät Verbrauchern, die möglicherweise Opfer eines Datenlecks wie bei »MotelOne« geworden sind, zur kostenlosen Erstberatung im Online Check. Hier prüft die Kanzlei auch die mögliche Betroffenheit von Verbrauchern.

EUGH stärkt Rechte von betroffenen Verbrauchern, Opfern von Datenlecks haben Rechte auf Auskunft, Schadensersatz und Unterlassung

  • Auskunftsrecht

    • Gemäß Artikel 15 Absatz 1 der Datenschutz Grundverordnung (DSGVO) haben Nutzer das Recht, Informationen darüber zu erhalten, ob und in welchem Umfang sie von dem Datenleck betroffen sind. Dazu gehören Angaben über die Art der Daten, die betroffenen Personen und den Zeitraum der Verarbeitung.

  • Schadensersatzrecht

    • Durch ein Datenleck entsteht den Betroffenen auch ein immaterieller Schaden, unabhängig davon, ob ein finanzieller Schaden entstanden ist. So hat es auch der Europäische Gerichtshof (EUGH) entschieden. Laut EUGH Urteil vom 4. Mai 2023 (Aktenzeichen C 300/21) bestehen Ansprüche auf Schadensersatz nur dann, wenn durch einen Verstoß gegen die Datenschutzgrundverordnung (DSGVO) ein materieller oder immaterieller Schaden entstanden ist.

  • Unterlassungsrecht

    • Geschädigte haben das Recht auf Unterlassung und können der Verarbeitung ihrer Daten widersprechen.

In einer kostenlosen Erstberatung prüft die Kanzlei Dr. Stoll & Sauer im Online Check auch die Betroffenheit von den gängigsten Datenlecks ab.

Was tun, wenn man Opfer einer Phishing Attacke geworden ist?

Phishing bleibt eine beliebte Betrugsmasche unter Cyberkriminellen und scheint ein lukratives kriminelles Geschäftsmodell zu sein. Im April warnte das LKA Niedersachsen beispielsweise vor Phishing #SMS und E Mails, die Opfer mit angeblichen Zollgebühren lockten. Falls Verbraucher Opfer einer Phishing Mail geworden sind, sollte man folgende Maßnahmen ergreifen …

  • Sofort die Zugangsdaten für Online Bankgeschäfte ändern.

  • Die betroffene Bank sollte sofort informiert werden, damit weitere Schäden verhindert werden können.

  • Die entsprechende Phishing Mail sollte nicht gelöscht werden, sondern als Beweismittel gesichert und an die Bank weitergeleitet werden.

  • Unbedingt #Strafanzeige erstatten.

Dr. Stoll & Sauer gehört zu den führenden Verbraucherkanzleien

Bei der Kanzlei Dr. Stoll & Sauer Rechtsanwaltsgesellschaft mbH handelt es sich um eine der führenden Kanzleien im Verbraucher und Anlegerschutzrecht. Mit der Expertise von über 30 Anwälten und Fachanwälten steht die Kanzlei in allen wichtigen Rechtsgebieten den Mandanten in den Standorten Lahr, Stuttgart, Kenzingen und Ettenheim zur Verfügung. Die Kanzlei ist unter anderem auf Bank und Kapitalmarktrecht sowie den Abgasskandal spezialisiert. Hinzu kommen die Themen Arbeitsrecht, IT Recht, Versicherungsrecht, Reiserecht  und Verwaltungsrecht. Die Gesellschafter Dr. Ralf Stoll und Ralph Sauer führten die Musterfeststellungsklage gegen die Volkswagen AG, handelten für 260.000 Verbraucher einen 830 Millionen Vergleich aus. Aktuell führen die Inhaber in einer Spezialgesellschaft die Musterfeststellungsklage gegen die #Mercedes #Benz Group AG. Im JUVE Handbuch 2019/2020 wird die Kanzlei für ihre Kompetenz beim Management von Massenverfahren als marktprägend erwähnt. Mehr …