Booking.com – Datenschutzsünder oder ansprechendes Buchungsportal?

rotes Hexagon mit einem weißen Vorhandschloss in der Mitte IT-SECURITY,

Johanna Hametner

IT-Consultant Information Security

E-Mail schreiben

Endlich Sommer, endlich sonniges Wetter, endlich Urlaub. Die Vorfreude (nach einem reisearmen 2020) scheint fast grenzenlos.

Auf der Suche nach einer passenden Unterkunft ist oft booking.com die erste Wahl. Zahlreiche Filter, diverse Preisklassen und eine einfache und unkomplizierte Abwicklung der Buchung. Ziemlich ansprechend, findet auch die Autorin. Doch aus der früheren Begeisterung für die Plattform wurde in den letzten Monaten Misstrauen. Seit einer Datenschutzstrafe und der Offenlegung diverser Kundendaten ist der Wohlfühlfaktor bei der Buchung über booking.com als Datenschutzbeauftragte deutlich gesunken. 

Was genau ist passiert?

Booking.com hat einen Datenschutzvorfall (auch Data Breach genannt) zu spät an die niederländische Datenschutzbehörde gemeldet und kassierte anschließend eine Strafe von 475.000 Euro. 
 
Der Data Breach inkludierte den Zugriff von Hackern auf etwa 4.000 Kundendaten, teilweise inklusive Ausweis- und Kreditkartendaten – mehr dazu später. Datenschutzbehörden betonen immer wieder die Wichtigkeit der fristgerechten Meldung eines Data Breaches. Mit einem derartigen Urteil wurde dies entsprechend unterlegt. 

Wie ist der Data Breach passiert?

Die Clients mehrerer Mitarbeiter von Hotels in den Vereinigten Arabischen Emiraten wurden durch Hacker kompromittiert. Viele haben jetzt vielleicht das Bild eines „bösen“ Hackers im schwarzen Kapuzenpulli, im Mr. Robot Style im Kopf. Aber nein, weder Kali Linux noch sonstige technische Tricks waren erforderlich. Die Daten wurden mittels Social Engineering erlangt. Social Engineering bedeutet das Ausnutzen menschlicher Schwachstellen. Durch das Auslösen von Gefühlen wie Mitleid oder Sorge werden sensible Daten von Mitarbeitern (wie in den Hotels in den Vereinigten Arabischen Emiraten) „herausgelockt“. 
 
Die Betroffenen umfassten Kunden, welche Hotelzimmer über die niederländische Version von Booking.com in den Vereinigten Arabischen Emiraten gebucht hatten. Bei dem Betrugsversucht hatten Dritte die personenbezogenen Daten von 4.109 Betroffenen abgegriffen, darunter auch die Kreditkartendaten von 283 Hotelgästen. Bei 97 Betroffenen konnten die Betrüger die Sicherheitsnummer der Kreditkartenbesitzer offenlegen. Doch nicht genug – um an weitere Kreditkartendaten (wir vermuten für den Handel im Darknet) zu gelangen, hatten sich die Betrüger außerdem als Booking.com-Mitarbeiter ausgegeben und waren in telefonischen Kontakt zu den Betroffenen getreten. Diese Art von Social Engineering nennt man übrigens Vishing (= Voice Phishing) und ist eine Angriffsmethode, die immer mehr im Trend liegt. Und wir sprechen hier nicht von Enkel Tricks sondern von betrügerischen Maschen, auf die nicht nur Betagte Personen rein fallen. 
 
Selbst wenn die Kriminellen in den meisten Fällen keine Kreditkartendaten, sondern „nur“ den Namen, die Kontaktdaten und die Buchungsdaten einer Person erlangten kann dies negative Folgen haben. Schließlich könnten diese Details von Betrügern für "Phishing" oder Identitätsdiebstahl genutzt werden.
 
Dieser Vorfall zeigt wiederum, dass nicht nur die IT-Infrastruktur, sondern auch die Mitarbeiter ausgenützt werden können. Oft unterstützen Sie aus gutem Glauben oder Hilfsbereitschaft Betrüger, ohne sich den Konsequenzen bewusst zu sein. Daher ist eine laufende Schulung zur Steigerung der Awareness der Mitarbeiter für ein angemessenes Informationssicherheitsniveau unumgänglich.

Warum genau wurde gestraft?

Booking.com entdeckte den Verstoß am 13. Januar 2019, versäumte es aber, den Vorfall bis zum 7. Februar 2019 den Aufsichtsbehörden zu melden. Kritisch für die Aufsichtsbehörde war also, dass der Vorfall erst 22 Tage nach dem Vorfall an die Betroffenen und erst nach 25 Tagen an die Aufsichtsbehörde gemeldet wurden. Wenn in Europa ein Unternehmen Opfer eines Hacker-Angriffs oder eines Datenlecks (oder eines sonstigen Data Breaches) wird, muss es diesen Vorfall innerhalb einer Frist von 72 Stunden an die zuständige Datenschutzbehörde melden. Diese Frist hat Booking.com nicht eingehalten und muss aus diesem Grund nun ein DSGVO-Bußgeld in Höhe von 475.000 Euro zahlen. Um ehrlich zu sein – zwischen der Frist von 3 Tagen und der Meldung innerhalb von 25 Tagen liegt schon ein ganz schön langer Zeitraum, wodurch eine derartige Strafe (für uns) durchaus verständlich ist. Vor allem wenn bei einem Datenleck Kreditkarteninformationen abgegriffen werden, sollte man schnellstmöglich handeln um seine Kunden zu schützen. 
 
Die niederländische Datenschutzbehörde (Autoriteit Persoonsgegevens, oder "AP") verhängte die Geldstrafe, nachdem sie den Vorfall als "schwerwiegenden Verstoß" gegen die EU-Datenschutzverordnung bezeichnet hatte. AP-Vizepräsidentin Monique Verdier sagte in einer Erklärung: "Dies ist ein ernsthafter Verstoß. Eine Datenpanne kann leider überall passieren, auch wenn man gute Vorsichtsmaßnahmen getroffen hat. "Aber um Schaden für Ihre Kunden und die Wiederholung einer solchen Datenverletzung zu verhindern, müssen Sie dies rechtzeitig melden."

Wie schützt man sich nun gegen solche Angriffe?

Unsere Erfahrung zeigt, dass die Gefahr der menschlichen Komponente in der Informationssicherheit zunehmend ausgenutzt wird. Unternehmen investieren viel Zeit und Geld, um technische und organisatorische Maßnahmen umzusetzen. Dabei wird der Fokus häufig auf IT-Infrastruktur, Prozesse und Dokumentation gelegt. Doch egal wie sicher beispielsweise das Netzwerk ist und wie perfekt ausformuliert Prozesse sind, wenn Mitarbeiter sensible Informationen (sowohl personenbezogen wie auch Geschäftsinformation) nach außen tragen ist die Gefahr einer Sicherheitslücke unumgänglich. Daher ist es besonders wichtig, die Mitarbeiter in Sachen Informationssicherheit ins Boot zu holen und durch Awareness Kampagnen und Trainings auf Vorfälle vorzubereiten. Denn so könnte man Angriffe wie es bei booking.com der Fall war verhindern. 
 
Sie brauchen Unterstützung beim Melden eines Data Breaches oder bei der Durchführung von Awareness Training und simulierten Phishing Kampagnen? Dann kontaktieren Sie uns!