Media Markt und Saturn von Ransomware-Angriff betroffen
9. November 2021
TTDSG – was Sie jetzt tun müssen
30. November 2021
Booking.com wohl von US-Spion gehackt
Ein Mann mit Verbindungen zu US-Geheimdiensten soll Booking.com im Jahre 2016 gehackt haben. Booking.com hat diesen Vorfall verschwiegen
Bei dem verschwiegenen Hack auf die Reiseplattform Booking.com wurden Nutzerdaten kopiert. Laut der niederländischen Zeitung NRC wurde der Angriff mit einem Mann in Verbindung gebracht, dem Verbindungen zu US-Geheimdiensten nachgewiesen wurden.
Die betroffenen Kunden und die niederländische Datenschutzbehörde wurden damals nicht über den Vorfall informiert.
Ein Zufall sorgte dafür, dass Booking.com überhaupt erst von der Spionage erfuhr. Damals stellte man in der Sicherheitsabteilung fest, dass sich eine unbekannte Person Zugriff auf die Systeme verschafft hat.
Hierbei griff der Angreifer auf Tausende Hotelreservierungen zu, in denen persönliche Daten von Booking.com Kunden enthalten waren. Letztendlich konnte Booking.com den Angreifer mithilfe von Privatdetektiven identifizieren. Es handelte sich um eine Person, die für eine Firma arbeitet, welche Aufträge von US-Geheimdiensten durchführt.
Seit Edward Snowden ist es kein Geheimnis, dass US-Geheimdienste gezielt Hotel-Websites ausspionieren. Mithilfe solcher Informationen könnte man bspw. die Bewegungen von Diplomaten verstehen und somit Abhörgeräte in deren Hotelzimmern installieren.
Wieso hat Booking.com den Hack verschwiegen?
Weder die Betroffenen noch die niederländische Datenschutzbehörde wurden über den Vorfall informiert. Es wurde lediglich um Hilfe beim niederländischen Geheimdienst AIVD gebeten. Booking.com erklärte, dass es Absprachen mit einer Anwaltskanzlei gab, welche zu dem Schluss kam, dass das Unternehmen keinerlei rechtliche Verpflichtung hatte, den Vorfall zu melden.
IT-Spezialisten des Unternehmens sollen mit der Entscheidung alles andere als einverstanden gewesen sein. Es ist auch nicht ganz klar, ob das Unternehmen nicht doch zur Information verpflichtet war. Denn laut Gesetz ist das bereits der Fall, wenn die Datenschutzverletzung „wahrscheinlich nachteilige Auswirkungen auf das Privatleben von Einzelpersonen haben würde“.
Gerrit-Jan Zwenne, Professor für Recht und digitale Technologien an der Universität Leiden, weist darauf hin, dass Booking.com damit rechnen musste, dass es zur Spionage der Betroffenen kam. „Diese Art von gestohlenen Informationen kann verwendet werden, um Personen auf Flugverbotslisten zu setzen, ihnen die Einreise in bestimmte Länder zu verbieten oder sie abzuhören“, erläutert Zwenne.
Erst vor Kurzem musste das Unternehmen ein Bußgeld von 475.000€ bezahlen, da ein Datenschutzverstoß zu spät an die zuständige Behörde gemeldet wurde. Laut Gesetz muss man einen Sicherheitsvorfall innerhalb von 72 Stunden melden. Booking.com hat sich dafür aber 22 Tage Zeit gelassen.
