Marriott gibt Fehler bei Verschlüsselung von Kundendaten zu

Die weltweit bekannte Hotelkette Marriott musste vor kurzem in einem US-Gerichtsverfahren zugeben, dass die Bezahlkartendaten und Reisepassnummern von über 500 Millionen Kunden, die in den Jahren 2014 bis 2018 erbeutet wurden, nicht ausreichend verschlüsselt waren. Obwohl das Unternehmen versucht hat, seine eigenen Fehler zu vertuschen, konnte es nicht länger leugnen, dass die Daten ungeschützt waren.

Marriott hatte über Jahre hinweg behauptet, dass die AES-128 Verschlüsselung der Datensätze so sicher sei, dass es keinen Grund zur Besorgnis gebe und keine rechtliche Grundlage für Schadenersatzklagen seitens der betroffenen Kunden bestünde. Erst nach sechs Jahren vor Gericht gestand Marriott ein, dass keinerlei Verschlüsselung, weder mit AES-128 noch mit einem anderen Verfahren, vorhanden war. Stattdessen wurden die Daten lediglich mit SHA-1 gehasht, einem veralteten Hashverfahren, das bereits 2005 geknackt wurde.

Die Tatsache, dass Marriott seine Kunden über die mangelnde Sicherheit der Daten im Unklaren gelassen hat, ist äußerst bedenklich. Bereits im Jahr 2014 begann Mozilla, sich von der Verwendung von SHA-1 bei Browserzertifikaten zu distanzieren, da das Verfahren nicht mehr als sicher galt. Im Jahr 2018 waren Hashes mit SHA-1 sogar als obsolet anzusehen. Mit herkömmlicher Hardware können kurze Daten mit bekanntem Format wie Kreditkarten- und Passnummern schnell zurückberechnet werden.

Erst nach Anweisung eines Richters veröffentlichte Marriott ein Update online, das jedoch keine klare Aussage enthielt. Das Unternehmen gab lediglich zu, dass die Bezahlkartendaten und einige der Reisepassnummern mit einer alternativen kryptografischen Methode namens Secure Hash Algorithm 1 (SHA-1) gesichert waren. Obwohl dies technisch korrekt ist, erweckt es bei vielen Verbrauchern einen irreführenden Eindruck. SHA-1 bietet keinesfalls ausreichende Sicherheit und Hashes stellen keine Form der Verschlüsselung dar. Bereits vor 2018 konnte man nicht von einem ausreichenden Schutz der Daten sprechen.

Aufgrund des Datenlecks wurden mindestens 59 Klagen von Kundengruppen vor verschiedenen US-Gerichten eingereicht. Auf Wunsch von Marriott wurden die Klagen am US-Bundesbezirksgericht Maryland zusammengeführt. Das Unternehmen versuchte jedoch, die Zulassung als Sammelklage zu verhindern, indem es auf eine Klausel im Kundenbindungsprogramm verwies, die nur Einzelklagen in New York zulässt.

Dieser Fall zeigt erneut, wie wichtig es ist, dass Unternehmen die Daten ihrer Kunden ausreichend schützen. Kunden sollten sich bewusst sein, dass nicht jede Verschlüsselungsmethode gleich sicher ist und dass Unternehmen ihre Verantwortung gegenüber den Kundendaten ernst nehmen müssen.

Schlagwörter: Marriott + SHA-1 + AES-128

Wie bewerten Sie den Schreibstil des Artikels?