Letzte Woche hatte der CEO Arne Sorensen eine Erkl\u00e4rung abgegeben und neue Details zu dem Leck bei Marriott geschildert: Am 30. November 2018 hatten Ermittler herausgefunden, dass 383 Millionen Kundendaten, 18,5 Millionen Passw\u00f6rter, 5,25 Millionen Reisepassnummern, 9,1 Millionen verschl\u00fcsselte Kreditkartennummern und 385.000 valide Kreditkartennummern gestohlen wurden. Der Schaden, welcher hierdurch entstanden sein muss, mag gigantisch sein und es werden einige Opfer darunter bleiben, die nicht entsch\u00e4digt werden k\u00f6nnen. Im darauf folgenden Monat der Bekanntgabe hat der MAR-Aktienkurs mehr als 12 % an Wert (gesunken auf 100,99 $) verloren.<\/p>\n\n\n\n
Mittlerweile geht es bergauf, der Kurs hat sich auf aktuell 124,96 $ (Stand 18.03.2019) erholt und heute wurde bekannt, dass bis 2021 1.700 neue Hotels aufgemacht werden sollen.<\/p>\n\n\n\n
Das ist f\u00fcr Marriott sicherlich eine gl\u00fcckliche Entwicklung, jedoch bleibt die Frage, worauf sich der Schaden in Zahlen verl\u00e4uft und ob sich der Umgang mit dem Thema Sicherheit in Zukunft weiter versch\u00e4rft oder ob diese rasche Erholung zu einer d\u00e4mpfenden Stimmung anregt.<\/p>\n\n\n\n
Am 08.09.2018 hatte Accenture, die die Starwood Datenbank leitet, in der die Daten f\u00fcr Reservierungen gepflegt werden, verk\u00fcndet, dass das Monitoring-System IBM Guardium Anomalien in dieser Datenbank am Tag zuvor erkannt hatte. Seit zwei Jahren wurde eine Migration aktiv durchgef\u00fchrt, bei der die Kundendaten aus der Datenbank von Starwood auf jene der Marriott-Kette zu migrieren. Zu dieser Zeit jedoch war das Starwood-System noch von dem der Marriott-Kette getrennt.<\/p>\n\n\n\n
Am Tag zuvor, dem 07.09.2018, kam von einem internen Starwood-Benutzer eines administrativen Kontos eine Anfrage auf eine Datenbank, die Anzahl der Reihen einer Tabelle dieser Datenbank zur\u00fcckzugeben. Solche Anfragen werden von der \u00dcberwachungssoftware angezeigt, da sie als gef\u00e4hrlich eingestuft werden, weil die Datenbank f\u00fcr gew\u00f6hnlich solche Anfragen nicht ausf\u00fchren muss. Aus diesem Grund h\u00e4tte ein Mensch von Hand den Befehl eingeben m\u00fcssen. Der Besitzer des Benutzerkontos hatte die Anfrage jedoch nicht ausgef\u00fchrt, weshalb bekannt war, dass es sich um einen m\u00f6glichen Angriff handelt.<\/p>\n\n\n\n
Am 10.09.2018 wurden Forensiker zur Unterst\u00fctzung eingebunden. Innerhalb einer Woche wurde Schadsoftware im Starwood-IT-System gefunden. Die Ermittler haben ein RAT (remote access trojan) gefunden. Eine solche Software erm\u00f6glicht den verdeckten Zugriff, \u00dcberwachung und Kontrolle \u00fcber einen Computer.<\/p>\n\n\n\n
Am Tag darauf hatte der CEO \u00fcber diesen Zustand erfahren, der Vorstand am \u00fcbern\u00e4chsten Tag. Trotz der Schadsoftware auf den Starwood-Systemen gab es keine Beweise f\u00fcr unautorisierte Zugriffe auf Kundendaten.<\/p>\n\n\n\n
Im Oktober 2018 wurde Mimikatz auf Ger\u00e4ten der Starwood-Systeme gefunden. Dies ist eine Anwendung, mit der Penetrationstests durchgef\u00fchrt werden k\u00f6nnen. Es durchsucht den Speicher des infizierten Ger\u00e4ts nach Benutzernamen und Passw\u00f6rtern und wurde wahrscheinlich dazu genutzt, um an weitere Daten von Nutzern der Starwood-Systeme zu kommen. Ermittler fanden jedoch noch immer keine Beweise gefunden f\u00fcr gestohlene Kundendaten.<\/p>\n\n\n\n
Im November 2018 haben Ermittler entdeckt, dass die Angreifer schon seit Juli 2014 aktiv auf den Starwoods-IT-Systemen waren. Der Angriff lief also schon seit 4 Jahren.<\/p>\n\n\n\n
Am 14. November 2018 wurde dann der Beweis f\u00fcr das Datenleck gefunden. Es wurden zwei komprimierte und verschl\u00fcsselte Dateien entdeckt, die potenziell von einem internen Ger\u00e4t entfernt worden sind. Diese Dateien wurden m\u00f6glicherweise vom System entfernt, um Spuren zu verschleiern.<\/p>\n\n\n\n
Am 19. November 2018 haben die Ermittler die Dateien entschl\u00fcsselt: Eine dieser Dateien enthielt einen Export aus der Starwood-Datenbank f\u00fcr Reservierungen inklusive Kundendaten. Die andere Datei enthielt Reisepassdaten.<\/p>\n\n\n\n
An diesem Tag wurde das Leck von der Hotelkette ver\u00f6ffentlicht.<\/p>\n\n\n\n
Weiterf\u00fchrende Literatur und Verweise: Letzte Woche hatte der CEO Arne Sorensen eine Erkl\u00e4rung abgegeben und neue Details zu dem Leck bei Marriott geschildert: Am 30. November 2018 hatten Ermittler herausgefunden, dass 383 Millionen Kundendaten, 18,5 Millionen Passw\u00f6rter, 5,25 Millionen Reisepassnummern, 9,1 Millionen verschl\u00fcsselte Kreditkartennummern und 385.000 valide Kreditkartennummern gestohlen wurden. Der Schaden, welcher hierdurch entstanden sein muss, mag gigantisch […]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_et_pb_use_builder":"","_et_pb_old_content":"","_et_gb_content_width":"","footnotes":""},"categories":[1],"tags":[],"class_list":["post-491","post","type-post","status-publish","format-standard","hentry","category-unkategorisiert"],"yoast_head":"\n
https:\/\/www.wsj.com\/articles\/marriott-expects-to-open-1-700-hotels-11552905407<\/a> (18.03.2019)
https:\/\/www.grc.com\/securitynow.htm<\/a> Episode #705 (18.03.2019)
https:\/\/news.marriott.com\/2018\/11\/marriott-announces-starwood-guest-reservation-database-security-incident\/<\/a> (18.03.2019)<\/p>\n","protected":false},"excerpt":{"rendered":"