Durch den Hackerangriff auf einen Anbieter von Hoteldatenbanken sind auch Daten von Gästen in Mecklenburg-Vorpommern abgeflossen. Der LfDI MV warnt eindringlich vor möglichen Phishing-Angriffen durch Dritte. Hotels, betroffene Gäste sowie Bürgerinnen und Bürger werden zu besonderer Vorsicht aufgerufen.

In den letzten Tagen hat der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern (LfDI MV) vermehrt Datenpannenmeldungen von Hotels erhalten, die eine bundesweit verbreitete Datenbank zur Verwaltung von Gästebuchungen einsetzen. Der Datenbankanbieter wurde Opfer eines Cyberangriffs und hat die betroffenen Hotels über den Vorfall informiert. Nach aktuellem Kenntnisstand sind die kompletten Datenbanken der betreffenden Hotels abgeflossen. Darin enthalten sind auch personenbezogene Daten von Gästen. Nach derzeitigem Stand betrifft dies insbesondere Angaben wie Vor- und Nachname, Adressdaten und weitere buchungsrelevante Informationen.

Es sind bereits Pishing-Versuche mit den erlangten Daten aus diesem Angriff bekannt. Das bedeutet, dass Dritte die abgeflossenen Daten nutzen, um gefälschte Nachrichten an Hotelkunden zu versenden. Diese E-Mails oder Mitteilungen erwecken den Eindruck, von Hotelmitarbeitenden zu stammen und sollen die Empfänger dazu verleiten, Zahlungen zu leisten oder weitere sensible Daten preiszugeben. Diese Phishing-Nachrichten werden meist per E-Mail oder über Messenger-Dienste wie WhatsApp versendet und können täuschend echt aussehen. Doch man kann sich schützen. Der LfDI MV gibt hierzu folgende Hinweise für Hotels und Gäste:

Was müssen Hotels in MV nun tun?

Betroffene Unternehmen sollten vom Anbieter bereits über den Vorfall informiert worden sein. Betreibende der Hotels sind die Verantwortlichen für die Daten von Gästen in Ihrem Hotel, auch wenn die Datenpanne beim Auftragsverarbeiter passiert ist.  Daher treffen Sie Informations- und Meldepflichten. Als betroffenes Unternehmen in MV sollten Sie Folgendes tun:

1. Benachrichtigen Sie betroffene Personen über den Hackerangriff und den Abfluss ihrer Daten, damit diese vor den Phishing Angriffen gewarnt sind. Der Anbieter der Datenbank stellt Ihnen eine Vorlage zur Verfügung.
2. Reichen Sie eine Meldung über die Datenpanne beim LfDI MV ein. Nutzen Sie dafür das Online-Formular für Datenpannenmeldungen gem. Art. 33 DS-GVO – das Formular finden Sie auf unserer Website unter Kontakt.
3. Sensibilisieren Sie alle Mitarbeitenden im Allgemeinen für das Thema Phishing sowie zu diesem bekannten Vorfall und weisen Sie auf die aktuelle Gefährdungslage hin. Links oder Anhänge aus verdächtigen E-Mails dürfen nicht geöffnet werden.
4. Es müssen alle Passwörter der Benutzerkonten, die im Zusammenhang mit der Datenbank stehen, geändert werden. Es sollten neben dem Zugriff auf die betroffene Datenbank auch alle angeschlossenen Systeme überprüft werden.
5. Protokolle sollten auf ungewöhnliche Anmeldeversuche oder Systemzugriffe kontrolliert werden.
6. Überprüfen Sie, ob Ihr Backup-System dem aktuellen technischen Standard entspricht und bessern Sie gegebenenfalls nach.
7. Grundsätzlich sollte für alle Systeme eine Zwei-Faktor-Authentifizierung eingerichtet werden.
8. Richten Sie eigene Warnhinweise auf Ihren Kommunikationskanälen ein, um Gäste für Phishing zu sensibilisieren und vor möglichen Angriffen zu warnen.

Was kann ich als betroffene Person und Gast tun?

Prüfen Sie eingehende E-Mails und Nachrichten besonders sorgfältig auf Absenderadresse oder ungewöhnliche Zahlungsaufforderungen. Kontaktieren Sie im Zweifel das Hotel über eine offizielle Telefonnummer oder Adresse. Überweisen Sie nie Geld auf Grundlage einer Nachricht, deren Echtheit Sie nicht eindeutig überprüfen können. Geben Sie nie persönliche Daten oder Zahlungsinformationen über zugesandte Links preis.

Seien Sie in jedem Fall vorsichtig, wenn ein Hotel Sie per E-Mail oder Messenger-Dienst darum bittet, weitere Informationen anzugeben oder eine Zahlung anzuweisen. In der Regel haben Sie bei der Buchung bereits alle erforderlichen Daten angegeben. Vor allem die Kontaktaufnahme über Messenger kann oft unseriös wirken. Wenn Sie unsicher sind, ob die Nachricht echt ist, versichern Sie sich am besten durch einen Anruf bei dem betreffenden Hotel.

Wenn Sie bereits eine Phishing Nachricht erhalten haben, wenden Sie sich an das Hotel, das hier imitiert wurde. Sollten Sie bereits Daten an Dritte weitergegeben haben, können Sie sich u. a. an Ihre Bank oder an die Polizei wenden.

Kontakt: presse@datenschutz-mv.de