Anmerkung der Redaktion: Dieser Blogbeitrag ist der dritte Teil einer Reihe, die sich mit den Ursachen und Auswirkungen von hochkarätigen Datenverstößen durch Dritte in den letzten zehn Jahren befasst. Verfolgen Sie auch weiterhin den Risk Register-Blog, um keine weiteren Teile dieser Reihe zu verpassen!
Als Marriott 2016 Starwood übernahm, erbte das Unternehmen eine kompromittierte Reservierungssystemplattform, die nach Bekanntwerden des Datenlecks im Jahr 2018 zu Rechtsstreitigkeiten und Reputationsschäden führte. Dieser Blogbeitrag befasst sich mit den Hintergründen des Datenlecks bei Marriott, den von den Angreifern verwendeten Methoden, dem Verbleib der Daten, den Auswirkungen des Datenlecks auf Marriott und den Lehren, die externe Fachleute daraus ziehen können.
Hintergrund der Datenpanne
Als Marriott 2016 Starwood übernahm, wusste es nicht, dass böswillige Akteure seit 2014 direkten Zugriff auf die Netzwerke und Systeme von Starwood hatten. Die Angreifer behielten den Zugriff auf die Starwood-Systeme bis zur Entdeckung und Offenlegung der Sicherheitsverletzung im Jahr 2018. Die böswilligen Akteure stahlen Namen, Adressen, Telefonnummern, Geburtsdaten, E-Mail-Adressen, verschlüsselte Kreditkartendaten, Passnummern und Reiseverläufe von Gästen.
Verwendete Methoden
Die Angreifer verwendeten einen Remote Access Trojaner (RAT). Ein RAT ist eine Malware, mit der Angreifer Fernzugriff auf den Computer eines Opfers erlangen können. Die Angreifer verwendeten außerdem ein Open-Source-Tool namens Mimikatz, das den Speicher eines Geräts oder Systems nach Benutzeranmeldedaten durchsucht. Beide Tools wurden eingesetzt, um den Zugriff auf die gehackten Systeme aufrechtzuerhalten, sich innerhalb des Netzwerks seitlich zu bewegen und die Berechtigungen auf kompromittierten Systemen zu erweitern.
Was ist mit den Daten passiert?
Cybersicherheitsexperten glauben, dass staatliche Akteure für den Verstoß verantwortlich waren. Anfang 2019 waren die gestohlenen Informationen jedoch noch nicht im Dark Web zum Verkauf angeboten worden. Die große Menge an kompromittierten Daten wäre für ausländische Geheimdienste nützlich, und diese Dienste haben sowohl die Motivation als auch die Ressourcen, Starwood zu kompromittieren und die gestohlenen Daten zu analysieren. Im März 2019 sagte Arne Sorenson, CEO von Marriott, vor einem Unterausschuss des US-Senats aus, dass Marriott noch nicht ermittelt habe, wer für den Hack verantwortlich ist.
Wie sich der Datenverstoß auf Marriott ausgewirkt hat
Nach Bekanntgabe des Datenlecks fiel der Aktienkurs von Marriott um mehr als 5 %. In jüngerer Zeit erholte sich die Aktie des Unternehmens wieder, und es kam zu keinen nennenswerten Umsatzverlusten. Im Juli 2019 gab die britische Datenschutzbehörde (Information Commissioner's Office, ICO) jedoch bekannt, dass sie Marriott International gemäß der neuen Datenschutz-Grundverordnung (DSGVO) mit einer Geldstrafe in Höhe von 99.200.396 £ (123 Millionen US-Dollar) belegen wolle .
Darüber hinaus wurden mehrere Sammelklagen gegen Marriott eingereicht. Eine der Behauptungen lautet, dass Marriott während des Übernahmeprozesses seine Sorgfaltspflicht bei der Prüfung der Cybersicherheit von Starwood nicht erfüllt habe. In der Klage wird behauptet, dass die Datenpanne vor der Übernahme von Starwood durch Marriott entdeckt worden wäre, wenn Marriott dies getan hätte. Bis heute sind die Gerichtsverfahren noch nicht abgeschlossen.
Was Fachleute für das Risikomanagement von Drittanbietern aus dem Datenleck bei Marriott lernen können
Risikomanagement-Experten können aus dem Hackerangriff auf Marriott viele Lehren ziehen. Vor allem hätte Marriott im Rahmen des M&A-Prozesses eine gründlichere Due-Diligence-Prüfung der internen Kontrollen und Sicherheitsrichtlinien von Starwood durchführen sollen, um festzustellen, wie diese den Zugriff Dritter auf ihre Systeme ermöglichten und wie dies Starwood gefährden konnte. Dies kann jedoch eine Herausforderung darstellen, da die Transparenz in der Regel begrenzt ist und es an zentralisierten Informationen über die Geschäftslage eines Übernahmeziels mangelt.
Prevalent ist insofern einzigartig, als wir automatisierte Lieferantenbewertungen mit kontinuierlicher Bedrohungsüberwachung auf einer einzigen Plattform kombinieren, um einen 360-Grad-Überblick über Lieferanten zu erhalten. Das Ergebnis ist die Transparenz, die Sie benötigen, um Risiken aufzudecken, zu interpretieren und zu mindern.
Angesichts zunehmender regulatorischer Aktivitäten im Bereich der Informationssicherheit, der Empörung der Verbraucher über Datenschutzverletzungen und der wachsenden Komplexität der Geschäftsrisikolandschaft werden die rechtlichen und finanziellen Auswirkungen von Verstößen durch Dritte weiter zunehmen. Mit den richtigen Maßnahmen können Fachleute für das Risikomanagement von Dritten verhindern, dass die Namen ihrer Unternehmen in die Schlagzeilen geraten.
Wenn Sie mehr darüber erfahren möchten, wie Prevalent Ihnen bei der Bewältigung komplexer Risiken durch Dritte helfen kann, kontaktieren Sie uns noch heute.
Anmerkung der Redaktion: Dieser Beitrag wurde ursprünglich veröffentlicht auf Prävalent.net. Im Oktober 2024 übernahm Mitratech das KI-gestützte Risikomanagement für Dritte, Prevalent. Der Inhalt wurde seitdem aktualisiert und enthält nun Informationen, die auf unser Produktangebot, regulatorische Änderungen und Compliance abgestimmt sind.
