Motel One: Datenleck soll Millionen Kunden betreffen

Daten von Gästen der Hotelkette Motel One wurden nach einem IT-Angriff veröffentlicht. Einem Medienbericht zufolge sollen die Gästelisten Jahre zurückreichen.

Kriminelle haben Kundendaten der Hotelgruppe Motel One gestohlen und veröffentlicht. Einem Bericht der Süddeutschen Zeitung zufolge sind darunter die Adressen von Millionen Menschen, die in den Hotels übernachtet haben. Auch einige Kreditkartendaten sollen betroffen sein – das Unternehmen spricht von 150.

Dem Bericht der Süddeutschen Zeitung (SZ) zufolge, haben die Angreifer die Daten bereits vergangenen Mittwoch im sogenannten Darknet veröffentlicht. Der Datensatz soll demnach etwa 6 Terabyte groß sein. Eine Unternehmenssprecherin bestätigte dies gegenüber der Nachrichtenagentur dpa. Es seien “insbesondere Adress- und Rechnungsdaten von Kunden und nur sehr vereinzelt Kreditkarteninformationen” gestohlen worden.

Laut dem SZ-Bericht sind Daten von Millionen Personen betroffen, die in den vergangenen knapp acht Jahren in einem der 90 Motel-One-Häuser übernachtet haben. Motel One betreibt nach eigenen Angaben derzeit Hotels in 13 europäischen Ländern und den USA. Die Daten können beispielsweise für Identitätsdiebstahl oder Betrugsversuche missbraucht werden – oder, um Reiseprofile von bestimmten Personen zu erstellen. Eigenen Angaben zufolge konnte die SZ-Redaktion die Echtheit der Daten bestätigen.

Namen und Aufenthaltsdauer

Die Daten sollen laut SZ vor allem aus sogenannten “Notfall-Listen” stammen. Auf diesen werden offenbar alle Gäste aufgeführt, die am jeweiligen Tag in einer Niederlassung übernachten. Die Listen enthalten vollständige Namen, die Aufenthaltsdauer und Zimmernummer. Nur aus einer im vergangenen Jahr neu eröffnete Niederlassung in New York sei keine solche Liste vorhanden.

Motel One erklärte gegenüber der dpa, mit diesen Informationen könnten Gäste beispielsweise auch bei Systemstörungen einchecken. Warum diese “Notfall-Listen” viele Jahre lang gespeichert wurden, ist laut dem SZ-Bericht unklar – das Unternehmen habe dies nicht kommentieren wollen.

Wie die SZ berichtet, sind zudem Rechnungen im siebenstelligen Bereich Teil des Datenlecks. Sie sollen teils bis ins Jahr 2013 zurückreichen und Adressen der Hotelgäste enthalten. Von manchen Gästen habe das Hotel zusätzlich auch das Geburtsdatum gespeichert.

Datenschutzbehörde eingeschaltet

Motel One hatte bereits Ende September öffentlich gemacht, Ziel eines IT-Angriffs geworden zu sein. Damals hieß es, es seien Adressen abgegriffen worden und auch 150 Kreditkartendaten – die Karteninhaber seien informiert worden. Laut dem SZ-Bericht handelt es sich dabei um Kreditkarten von Firmen und staatlichen Stellen wie der Bundeswehr. Im Datenleck sei auch die jeweilige Prüfziffer angegeben, die beispielsweise beim Online-Shopping mit einer Kreditkarte angegeben werden muss.

Die Hotelkette erklärte, mit einem IT-Sicherheitsunternehmen sowie den Ermittlungs- und Datenschutzbehörden zusammenzuarbeiten.

Eine Sprecherin der Bayerischen Datenschutzbehörde bestätigte gegenüber der Zeitung, über das Datenleck informiert worden zu sein. “Unsere Ermittlungen sind gegenwärtig noch nicht abgeschlossen”, so die Sprecherin. Teil dieser Ermittlungen sei auch die Überprüfung des Löschkonzepts des Unternehmens.

Zusätzlich zu den Kundendaten haben die Angreifer auch interne Geschäftszahlen der Hotel-Kette veröffentlicht. Auch diese sollen teils Jahre zurückreichen. Informationen zu Vertriebsstrategien und Geschäftskundenlisten sowie Verträge mit Reinigungsdienstleistern seien ebenfalls in dem Datensatz enthalten. Auch “einige Daten zu Mitarbeitenden” seien veröffentlicht worden, darunter etwa Handynummern. (dpa / js)