[English]Noch ein kleiner Nachtrag: Die Hotelkette H-Hotels.com ist Opfer eines Cyberangriffs geworden. Dadurch ist die interne und externe Kommunikation der Hotelkette derzeit nur eingeschränkt verfügbar. Allerdings sollen Buchungen und der Hotelbetrieb der Gruppe weiter möglich sein. Das Unternehmen geht bisher davon aus, dass bei diesem Angriff, der am Wochenende stattfand, keine Kundendaten abgeflossen sind. Ergänzung: Wie von mir erwartet, hat die H-Hotels.com-Gruppe nun erste Hinweise auf entwendete Daten – es scheint ein Erpresserschreiben der Angreifer zu geben. Ergänzung 2: Daten sind im Darknet gelandet.
Anzeige
Cyberangriff eingestanden
Einer Mitteilung der Hotelkette zufolge fand der Cyberangriff auf das IT-Netzwerk bereits am Sonntag, den 11. Dezember 2022, statt. Man muss dabei einschränken, dass der Cyberangriff am Sonntag von den IT-Sicherheitssystemen der Hotelgesellschaft entdeckt worden ist (die Angreifer könnten sich bereits Wochen vorher im IT-System getummelt haben).
Nachdem ein Cyberangriff bemerkt wurde, haben die Mitarbeiter die IT-Systeme der Hotelkette unverzüglich heruntergefahren und vom Internet getrennt, um weitere Ausbreitungen abzuwehren. H-Hotels.com hat unmittelbar die zuständigen Ermittlungsbehörden informiert und Strafanzeige erstattet. In enger Abstimmung mit den Ermittlungsbehörden untersuchen derzeit IT-Forensiker alle betroffenen IT-Systeme.
Diese Analysen werden einige Tage dauern. Im Anschluss sollen sämtliche Systeme bereinigt und alle Daten abschließend überprüft werden, um eine Fortsetzung des Cyberangriffs oder einen erneuten Cyberangriff ausschließen zu können. Das Hotel gibt in seiner Verlautbarung an, dass es Cyberkriminellen gelungen sei, die umfangreichen technischen und organisatorischen Schutzsysteme der IT zu durchbrechen. Was das genau für Maßnahmen waren, bleibt aber im Dunkeln – kann aber auch schlicht eine der üblichen Floskeln sein.
Das Unternehmen schreibt: Bisher liegen den beauftragten IT-Forensikern keine Hinweise darauf vor, dass relevante oder personenbezogenen Daten durch den Cyberangriff entwendet werden konnten. Hierzu soll es in den kommenden Tagen in Abstimmung mit den Ermittlungsbehörden und der zuständigen Datenschutzbehörde weitere Untersuchungen geben. Sollte im Zuge dieser Untersuchungen ein Datenabfluss von personenbezogenen Daten festgestellt werden, wird H-Hotels.com die betroffenen Personen informieren. Zwischen den Zeilen lese ich, dass es sich wohl um eine Ransomware-Infektion handeln könnte, so dass man von einem Datenabfluss ausgehen kann – aber das werden wir in den kommenden Tagen dann erfahren.
Der laufende Hotelbetrieb in den einzelnen Hotels der Gruppe ist sichergestellt und Buchungen werden in den Hotels wie gewohnt angenommen. Anfragen per E-Mail können aktuell nicht bzw. nicht zeitnah beantwortet werden. Kundinnen und Kunden wird empfohlen, das gewünschte oder bereits gebuchte Hotel im Falle eines Kontaktwunschs telefonisch zu kontaktieren.
Hinweis auf abgezogene Daten
Ergänzung: Wie von mir erwartet, hat die H-Hotels-Gruppe nun erste Hinweise auf entwendete Daten eingestanden. In einer weiteren Mitteilung Nach Cyberangriff auf H-Hotels.com ist nun von "ersten Hinweisen auf eventuell entwendete personenbezogene Daten" die Rede. Dazu heißt es:
Im Zuge der laufenden Ermittlungen scheint sich der Verdacht zu erhärten, dass von dem Datenraub auch personenbezogene Daten (z.B. Name, Anschrift, Mailadresse) betroffen sein könnten. Die Tätergruppe hat entsprechende und hinsichtlich der Richtigkeit nicht überprüfbare Angaben gemacht, die auch eine Entwendung personenbezogener Daten nicht ausschließen lassen.
Das klingt für mich nach Doppelter-Erpressung von Ransomware-Gangs, die Daten abziehen, die Dateien verschlüsseln und später die Opfer mit der Drohung, die Daten zu veröffentlichen, erpressen. Die Kollegen von Bleeping Computer berichten hier, dass die Play Ransomware-Gruppe für den Angriff verantwortlich zeichnet. Die Kollegen haben einen Screenshot der betreffenden Gruppe veröffentlicht.
Anzeige
Die spannende Frage ist, welche Bereiche der IT-Systeme vom Angriff betroffen waren und ob auch auf die Datenbanken mit Zahlungsdaten zugegriffen werden konnte.
H-Hotels.com arbeitet laut eigener Aussage eng mit IT-Forensikern und den bereits informierten Datenschutzbehörden zusammen, um die Auswirkungen aus den entwendeten Daten so gering wie möglich zu halten. H-Hotels.com will die betroffenen Personen, sofern personenbezogene Daten entwendet wurden, entsprechend den Vorgaben der Datenschutzbehörde informieren.
H-Hotels.com betreibt 60 Hotels an 50 Standorten in Deutschland, Österreich und der Schweiz. Die Gesamtkapazität liegt bei etwa 9.600 Zimmern. Die Hotelkette beschäftigt 2.500 Mitarbeiter und ist eine der größten in der DACH-Region. Sie firmiert unter "H-Hotels" und den Untermarken Hyperion, H4 Hotels, H2 Hotels, H + Hotels, H.ostels und H.omes.
Daten im Darknet gelandet
Ergänzung 2: Die Betreiber von IT Inside aus der Schweiz haben sich bei mir gemeldet.
Ich habe mich lange nicht mehr bei Ihnen gemeldet, aber hier könnte eine Story sein, die für Sie von Interesse sein könnte. Sie haben im Dezember bereits einen Beitrag zum Cyberangriff auf H-Hotels veröffentlicht.
Da der Angriff auch Hotels der Kette in der Schweiz betrifft, haben wir uns bei Inside IT ebenfalls damit befasst. Wir haben heute ein (erstes) am 4. Januar von der Ransomware-Gruppe Play ins Darkweb gestellte Datenpaket analysiert und dazu auch Antworten des Unternehmens eingeholt. H-Hotels hat im Anschluss an unsere Anfrage auch eine neue Stellungnahme zum Vorfall publiziert, die meines Wissens bis jetzt noch nicht von deutschen (IT-) Medien aufgegriffen wurde.
Die gekürzte Stellungnahme von H-Hotels vom 4. Januar 2022 findet sich hier und enthält folgenden Inhalt:
Nach Cyberangriff auf H-Hotels: Cyberkriminelle bieten entwendete Daten im Darknet an
Die Cyberkriminellen, die sich auf den Angriff vom 11. Dezember 2022 auf die IT-Systeme von H-Hotels.com bekannt haben, haben heute Vormittag begonnen, entwendete Daten im Darknet anzubieten. […]
H-Hotels hatte unmittelbar nach Bekanntwerden des Cyberangriffs die zuständigen Datenschutzbehörden kontaktiert und kontinuierlich über weitere Entwicklungen informiert. Wie berichtet, war es den Angreifern gelungen, durch einen komplexen und hochprofessionellen Angriff die mehrstufigen technischen Barrieren und IT-Schutzsysteme zu durchbrechen und Daten zu entwenden.
Es handelte sich bei den Angreifern um eine hochprofessionelle Gruppierung aus dem Bereich der organisierten Kriminalität, die derzeit für eine Vielzahl von Cyberangriffen auf namhafte Unternehmen und Institutionen verantwortlich gemacht wird.
Nachdem es im Zuge der Ermittlungsarbeiten vor Weihnachten erste konkrete Hinweise auf einen möglichen Datenraub auch von personenbezogenen Daten durch Cyberkriminelle gab, hatte H-Hotels mit Datum vom 20. Dezember die Öffentlichkeit, Partnerunternehmen und Mitarbeitende über einen möglichen Datendiebstahl informiert. Die bisherigen Hinweise haben sich durch das Angebot der Daten der Cyberkriminellen im Darknet erhärtet.
Die von H-Hotels.com beauftragten IT-Forensiker und IT-Spezialisten werden das angebotene Datenpaket in den nächsten Tagen analysieren. Entsprechend der Vorgaben der Datenschutzbehörden werden betroffene Personen informiert, sofern personenbezogene Daten entwendet wurden.
Derweil sind die Arbeiten in der Wiederherstellung der IT-Systeme weiter vorangeschritten.
[…]
Aufgrund der laufenden Untersuchungen können derzeit keine weiteren Informationen gegeben werden. Für aktualisierte Informationen nutzen Sie bitte die Internetseite www.h-hotels.com.
Ob es hochprofessionelle Angreifer waren, die ein komplexes, mehrstufiges Schutzsystem der H-Hotels-Gruppe überwinden konnten, lasse ich mal offen – da liegen mir schlicht keine Informationen vor. Für betroffene H-Hotels Gäste ist das Ganze allerdings sehr unlustig. Philipp Anz von Inside IT hat in seinem Artikel Rechnungen, Identitätskarten und Buchungen von H-Hotels im Darkweb gelandet Details zu seinen Recherchen veröffentlicht. Die Play Ransomware-Gruppe hat sich zum Angriff und 6 GByte abgezogenen Daten bekannt. In den veröffentlichten Datensätzen finden sich personenbezogene Daten (z.B. Name, Anschrift, Mailadresse). Aber auch Fotos deutscher Personalausweise, Krankenkassenausweise, Buchungsbestätigungen etc. sind in den Datensätzen zu finden. Lediglich Kreditkartendaten scheinen keine erbeutet worden zu sein.
2015
Die Metro hat es auch erwischt.
It-Sicherheitsvorfall
Bin nicht ganz sicher, ob es der alte oder der neue Vorfall ist – hatte es die Nacht – nach einem Leserhinweis gesehen – aber die Metro-Leute haben KEINERLEI Datum angegeben. Der Text gleicht dem, was vor Wochen kommuniziert wurde. Anfrage an die Metro-Presse ist raus.
Dafür hat es den Exchange erwischt – schreibe gerade was …
Es gibt schon eine neue Seite mit Infos:
"scheint sich der Verdacht zu erhärten, dass von dem Datenraub auch personenbezogene Daten (z.B. Name, Anschrift, Mailadresse) betroffen sein könnten."
Neue Stellungnahme