[English]Kurzer Rundruf an die Blog-Leserschaft, ob da jemand nähere Informationen zu hat. Mir ist die Information untergekommen, dass es einen erfolgreichen Cyberangriff auf die H World-Hotelgruppe gab. Dann wäre mutmaßlich auch Steigenberger betroffen. Noch konnte ich aber keine anderen Quellen finden.
Wer ist die H World Group?
Der Begriff der H World Group sagte mir nichts – obwohl das H wohl für Hotel stehen könnte (aber eher Huazhu abkürzt) und der Name besagt, dass die Gruppe weltweit Hotels betreibt. Aber das Internet hilft weiter – die H World Group firmierte früher als Huazhu Hotels Group. Das ist ein chinesisches Unternehmen, welches mehrere Hotelketten in China und international betreibt. Die Gruppe verwaltet ein vielfältiges Portfolio an Hotels unter Pacht-, Franchise- und Eigentumsmodellen.
Zu ihren bekannten Marken gehören unter anderem HanTing Hotel, JI Hotel, Orange Hotel und Hi Inn, habe ich bei der Google-Suche gelesen. Mir sind Steigenberger und Intercity-Hotel auf der Homepage der Gruppe aufgefallen (siehe oben). Aber auch weitere Hotelketten wie Ibis, Acor etc. scheinen zur Gruppe zu gehören. Das Management liegt in chinesischer und deutscher Hand (Steigenberger GmbH Geschäftsführer), wenn ich es richtig deute.
Zum 31. März 2025 betrieb H World 11.685 Hotels mit 1.142.158 Betten weltweit. Bei Huazhu Hotels Group klingelte bei mir was und eine Suche führte mich u.a. zum Beitrag aus dem Jahr 2018. Im genannten Jahr kamen der Hotelkette Buchungs- und Hoteldaten "abhanden", und ein Akteur bot ein 140 Gigabyte großes Datenpaket in einem Dark-Web-Forum an. Die Gruppe hatte seinerzeit diese Mitteilung zum Vorfall veröffentlicht – meinen Informationen nach waren 130 Millionen Gästedaten betroffen.
Hinweis auf mutmaßlichen Cybervorfall im Mai 2025
Ein ungenannt bleiben wollender Blog-Leser hat sich per Mail bei mir gemeldet und schrieb, dass vor etwa einer Woche ein großer Teil der HWorld-Gruppe Opfer eines massiven Hackerangriffs wurde. Die Quelle erwähnte auch viele Steigenberger-Hotels in diesem Zusammenhang.
Es hieß, dass der Cyberangriff mutmaßlich durch die Akira-Gruppe erfolgte, das würden interne E-Mails nahelegen. Deren Leak-Seite kann ich derzeit nicht erreichen – und die einschlägigen Beobachtungsseiten für Ransomware-Angriffe haben mir noch keine Treffer geliefert.
Aber die Quelle verriet mir noch, dass laut Stand (vergangene Woche) mehr als fünf Hotels betroffen seien. Sämtliche Daten wurden verschlüsselt, hieß es. Und es gäbe deutliche Hinweise darauf, dass auch sensible Informationen abgeflossen sind.
Darunter sollen sich auch Buchungsdaten, Rechnungen, Gutscheincodes sowie Kreditkartendaten im Klartext befinden. Letztere seien laut meiner Quelle offenbar häufig, etwa bei Kostenübernahmen durch Firmenkunden, in unverschlüsselten Textdateien gespeichert worden.
Besonders brisant schrieb die Quelle, sei, dass anscheinend keine Backups der Daten mehr existieren. Diese Backups seien aus Kostengründen vor Jahren abgeschafft worden. In den betroffenen Häusern seien zentrale Systeme wie Schlüsselkarten, Zahlungsterminals und Reservierungssoftware vollständig ausgefallen. Buchungen werden aktuell per Hand aufgenommen, lautete die Aussage.
Die Quelle meinte noch, dass die offizielle Website der Hotelgruppe seit dem Vorfall nicht mehr erreichbar sei. Dies kann ich nicht bestätigen, ich kam auf die Webseite – aber gelegentlich gab es Ladeprobleme. Was aber wohl definitiv beim einem Versuch der Kontaktaufnahme mit deren Pressabteilung nicht funktioniert, ist das Kontaktformular. Beim Abschicken lässt sich das Ganze tot und endet mit einem Gateway-Fehler.
Bisher alles unbestätigt und unter Vorbehalt
Es sind sehr detaillierte Informationen, wobei ich die Quelle nicht verifizieren kann. Ich habe im Internet sowie auf der obigen Webseite der Gruppe gesucht, aber nichts zum oben skizzierten Sachverhalt im Web gefunden.
Daher weiß ich nicht, welche Hotels betroffen sind und wie valide die obigen Informationen sind. Sofern jemand etwas aus der Leserschaft weiß, kann er sich ja bei mir melden oder kommentieren.
Momentan läuft eine Presseanfrage per Mail bei der Hotel-Gruppe, da bei einem Telefonkontakt nichts bekannt war. Sobald ich neuere Informationen habe, trage ich es nach.
Stand 5. Juni 2025 ist meine Anfrage unbeantwortet.
Angriff auf Arcona-Hotel
Ergänzung: Auf arcona.de habe ich eine Bestätigung eines Angriffs gefunden – wobei nirgendwo eine Verbindung zur oben genannten Gruppe existiert. Hier die Meldung der Arcona-Hotels.
Cyberangriff auf die arcona Hotels & Resorts
Stand 03.06.2025:
Wie bereits letzte Woche berichtet, wurde arcona Opfer eines Cyberangriffes auf die IT-Systeme. Dieser führte sowohl zu Beeinträchtigungen in drei Hotels als am zentralen Standort in Rostock. Seitdem wurden wichtige Fortschritte in der IT-Forensik und im Notbetrieb gemacht.Aktuell wird in den betroffenen Hotels, insbesondere daran gearbeitet, die verschlüsselten Systeme wie z.B. das Kassensystem schrittweise in einen stabilen und abgesicherten Notbetrieb zu überführen.
In den forensischen Untersuchungen konnte nachvollzogen werden, wie sich die Angreifer standortübergreifend innerhalb der arcona-Struktur ausbreiten konnten. Dabei hat sich herausgestellt, dass ehemalige arcona Standorte ebenfalls betroffen sind.
Die IT-Forensik arbeitet aktiv mit den IT-Verantwortlichen der anderen ehemaligen Standorte zusammen, um eine gemeinsame und umfassende Aufklärung des Vorfalls zu ermöglichen. Die Zusammenarbeit soll helfen, die Komplexität und die Ursache des Angriffs noch besser zu verstehen. Unser IT-Forensik-Partner analysiert weiterhin umfangreich alle relevanten Systeme und Verbindungen.
Die Komplexität des Vorfalls und die eingeschränkte Datenlage aufgrund der Verschlüsselung, stellt jedoch hohe Anforderungen an alle beteiligten Experten. Auch wenn die Fragestellung zur Ausbreitung schon geklärt werden konnte, dauern die Untersuchungen zum Einfallstor und dem genauen Angriffshergang noch an. Weiterhin kann ein Datenabfluss weder bestätigt noch ausgeschlossen werden. Neben der Sicherstellung des Notbetriebs wird der Wiederanlauf der Systemlandschaft vorgenommen. Hierbei fließen alle gewonnenen Erkenntnisse aus der forensischen Untersuchung sowie aktuelle Bedrohungsszenarien mit ein.
Stand 23.05.2025:
Am Freitag, den 23. Mai 2025, wurden bei den arcona Hotels & Resorts technische Unregelmäßigkeiten festgestellt. Nach anfänglicher Prüfung durch den IT-Dienstleister wurden vorsorglich die Standorte von den zentralen IT-Diensten getrennt, um mögliche Schäden zu begrenzen.Der allgemeine Hotelbetrieb läuft weiter, Reservierungen können ohne Einschränkungen auf unserer Website sowie über Ihren Login im myarcona Kundenclub getätigt werden, auch der E-Mail-Verkehr ist uneingeschränkt möglich.
Wir haben umgehend die zuständigen Behörden informiert. Zur technischen Analyse und Bewältigung der Lage wurde das auf IT-Forensik spezialisierte Unternehmen ResponseOne GmbH eingebunden.
Wir halten Sie hier über den weiteren Verlauf auf dem Laufenden. Bei Fragen wenden Sie sich bitte an cyberangriff[@]arcona.de.
Vielen Dank für Ihr Verständnis.
MVP: 2013 – 2016
Die H Hotels sind "Icons, Steigenberger, Jaz, Maxx, IntercityHotel und Zleep". Wäre interessant ob auch die hrewards.com dabei ist.
Gehört dazu, steht ja gleich auf der Startseite ganz unten.
"Steigenberger Hotels GmbH
Lyoner Straße 25
60528 Frankfurt am Main
Deutschland"
Nehmen wir mal an, das die auch dabei sind.
Akira listet laut einigen Crawlern (nur in DE, nur 1 Monat rückwirkend) eine ganze Menge. "H World Gruppe" finde ich nicht. Wenn jedoch Verknüpfung zur GCH Hotel Group zur H-Group bestehen…
GCH listet zB auch Ibis. Es gibt jedoch sonst keine erkennbare Überdeckung von @Phadda genannten.
Datum gibt gelistetes "Discovery Date" wieder. Dies muss nicht identisch zu Datum der Infiltration, Einbruchserkennung oder Pressemeldung sein:
@GB – bitte entscheide selbst ob die Liste hier sind macht !? Moderations-DUMMY
Quelle könnte ich durchgeben, Screenshots mache ich in den riesigen Listen schon lange nicht mehr. Akira hat allein in der genutzten Quelle 812 Opfer seit 2023 weltweit.