Compliance. Marriott/ Starwood - Analyse eines Datendiebstahls. Literaturanalyse - Entwurf Datenschutz-Grundverordnung. Stellenanzeige Compliance Manager

Inhaltsverzeichnis

ABKÜRZUNGSVERZEICHNIS

ABSTRACT

1 MARRIOTT / STARWOOD - ANALYSE EINES DATENDIEBSTAHLS
1.1 CHRONOLOGIE
1.2 SCHADENSUMFANG UND VERMUTETE VERURSACHER
1.3 TECHNISCHE UND ORGANISATORISCHE SCHWACHPUNKTE
1.4 REAKTION DES UNTERNEHMENS
1.5 KONSEQUENZEN UND SCHLUSSFOLGERUNGEN

2 LITERATURANALYSE - ENTWURF DATENSCHUTZ-GRUNDVERORDNUNG
2.1 EINWÄNDE VON DRITTEN
2.2 KRITERIEN FÜR DATENSCHUTZBEAUFTRAGTE UND KRITIKPUNKTE
2.3 VORTEILE FÜR PERSONEN
2.4 ZUSTÄNDIGKEIT VON AUFSICHTSBEHÖRDEN

3 STELLENANZEIGE COMPLIANCE MANAGER

LITERATURVERZEICHNIS

INTERNETQUELLEN

Abkürzungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten¹

Abstract

In dieser Hausarbeit werden folgende Aufgaben behandelt:

– der in 2018 aufgedeckte Datendiebstahl beim Hotelkonzern Marriott / Starwood wird beschrieben hinsichtlich Chronologie, Umfang, Ursachen und Schwachpunkten, der Reaktion des Unternehmens sowie Konsequenzen und Schlussfolgerungen;

– ein Artikel des Jura-Professors Gerrit Hornung aus dem Jahr 2012 zum Entwurf der EU-Datenschutz-Grundverordnung wird analysiert in Bezug auf bestehende Einwände, die Kriterien und Aufgaben des internen Datenschutzbeauftragten, die Datenschutzrechte und deren Auswirkungen auf natürliche Personen sowie die Regelung der Aufsicht über internationale Konzerne; – die Stellenanzeige für einen ”Compliance Manager” wird formuliert.

1 Marriott / Starwood - Analyse eines Datendiebstahls

Eine Suche in Google mit den Begriffen “Hotelkonzern Starwood Datendiebstahl 2018” liefert ungefähr 25.700 Treffer, darunter als Topergebnisse circa 20 Links von Presseorganen, Fernsehsendern und IT-Portalen aus dem Zeitraum Ende November bis Anfang Dezember 2018.² Sie enthalten ähnlich lautende Meldungen, teilweise in Details abweichend, einige reißerisch oder spekulativ betitelt, zum Datendiebstahl bei Marriott, dem größten Hotelkonzern der Welt, der Starwood 2016 akquirierte.³ Mitte 2019 kommen Nachrichten hinzu über ein von der britischen Datenschutzbehörde verhängtes Bußgeld aufgrund mangelnder Datensicherheitsvorkehrungen.⁴ Die Strafzahlung wird in 2020 aufgrund der Kooperation und Schadensbegrenzung durch das Unternehmen deutlich reduziert.⁵ Anfang 2021 fasst ein Blog-Beitrag in Pentest wesentliche Erkenntnisse zusammen.⁶

Bei Google Scholar ergibt die Suche mit dem Begriff „Hotel group Marriott data breach 2018“ ungefähr 1.900 Ergebnisse, darunter sind auch aktuellere Quellen. Von diesen bieten Daswani/Elbayadi⁷ eine tiefergehende systemische Analyse des Datendiebstahls bei Marriott, die als konsolidierte Darstellung den weiteren Ausführungen zugrunde liegt.

1.1 Chronologie

Der chronologische Ablauf stellt sich aus heutiger Sicht wie folgt dar:

2014

- Nov: erste Infektionen von Starwood Point-of-Sale (POS) Systemen mittels Web Shell⁸ und weiterer Malware⁹ , blieben bis Okt 2015 unentdeckt

2015

- Beginn der Due Diligence zur Akquisition von Starwood durch Marriott
- Nov: Bekanntgabe der Absicht Marriotts, Starwood zu akquirieren („Signing“)
- Nov: Offenlegung der Malware-Infektion bei Starwood (Nov 2014 – Okt 2015)

2016

- Weiterführung der Due Diligence, Starwood bleibt Wettbewerber
- Aug: Malware-Infektion von 20 Hotels, betroffen auch Marriott und Starwood
- Sep: Abschluss der Akquisition („Closing”), Beginn der Integration bei Marriott, inkl. der IT-Systeme

2017

- Jun: Malware durch externen Consultant versehentlich auf das Webmail-System von Marriotts Computer Incident Response Team (CIRT) geladen
- Jul: weitere Malware als Teil eines russischen Botnetzes¹⁰ auf sechs Starwood Website Domain Servern entdeckt

2018

- Sep:
– eine nicht-systemische Datenbankabfrage vom Account eines Administrators durch IBM Guardium (IT-Sicherheitstool) wird entdeckt
– da der Administrator die anomale Abfrage nicht persönlich veranlasst hat, wird klar, dass das Datenbanksystem von Marriott gehackt wurde
– ein externes Analystenteam identifiziert zahlreiche weitere Malware, insbesondere einen Remote Access Trojaner (RAT) als „Türöffner“ und den Speicherscanner „Mimikatz“ für Nutzernamen und Passwörter
- Okt-Nov:
– Zielsystem (Starwood Reservierungsdatenbank), Dauer (vier Jahre) und Inhalte (persönliche Daten, Reservierungs- und Reisepass-Informationen) des Datendiebstahls werden ermittelt
– zwei von den Hackern verschlüsselte „Datenhalden“ werden entschlüsselt und der Schadensumfang geklärt
- Nov:
– Marriott kommuniziert den Datendiebstahl am 30.11. und informiert US- und EU-Strafverfolgungs- und Regulierungsbehörden¹¹
– breites Medienecho in Presse, Internet und TV
– Marriott unterrichtet über 300 Millionen Kunden und weist auf Maßnahmen zur Schadensbegrenzung hin

2019

- Jul: britisches Information Commissioner’s Office (ICO) kündigt Strafzahlung für Marriott iHv. £99,2 Mio. an, gemäß der „EU General Data Protection Regulation (GDPR)“¹²
- Jul: Marriott erklärt, gegen die Geldstrafe Berufung einzulegen¹³

2020

- Okt: ICO reduziert die Strafzahlung auf £18,4 Millionen aufgrund der Kooperation sowie der Verminderung von Schadensfolgen durch Marriott¹⁴

1.2 Schadensumfang und vermutete Verursacher

Bei Marriott wurden 383 Millionen Datensätze mit Namen, Geburtsdaten, Kreditkarteninformationen, Email- und Heimatadressen sowie über 5 Millionen Passnummern gestohlen¹⁵ . Es war der bis dahin zweitgrößte Datendiebstahl nach dem von drei Milliarden Emailkonten bei Yahoo in 2013.¹⁶

Für Marriott geht der Schaden weit über den Verlust der Daten hinaus. Auf finanzieller Seite addieren sich zum genannten Bußgeld erhebliche Kosten für die Aufklärung der Schwachstellen durch externe Berater, die Revision und Erneuerung der IT-Systeme und ihrer aufwändigeren Sicherheitsmaßnahmen sowie die Einstellung zusätzlichen IT-Personals. An der Nasdaq fiel der Aktienkurs von Ende Oktober bis Mitte Dezember 2018 um 15%.¹⁷ Nicht quantifizierbar jedoch erheblich dürften die Folgeschäden, Vertrauens- und Reputationsverluste bei Kunden und Behörden sowie der Motivationsschaden bei den Beschäftigten sein.

Der Einbruch wird zum einen Spionagetätigkeiten staatlich unterstützter chinesischer Stellen zugeordnet. Andere nicht genannte Hackergruppen werden jedoch ebenfalls verdächtigt, seit 2014 im internen Netzwerk von Starwood aktiv gewesen zu sein.

Als eine weitreichende und potenziell gefährliche Auswirkung sieht das FBI die Möglichkeit, die Marriott-Daten mit denen aus den ebenfalls China zugeschriebenen katastrophalen Einbrüchen in die IT-Systeme des Office of Personnel Management (OPM) der US-Regierung aus den Jahren 2014 und 2015 zu kombinieren. Dabei wurden höchst sensible Daten zu 21,5 Millionen Sicherheitsprüfungen von US-Regierungsangestellten, Fingerabdrücke von 5,6 Millionen Personen sowie Personalakten von 4,2 Millionen aktiven und früheren Regierungsangestellten gestohlen.¹⁸ Dadurch wären beispielsweise die weltweiten Reisegewohnheiten von FBI-Agenten und Spionen abzuleiten, was diese in hohem Maße gefährden könnte.¹⁹ Die Verschlechterung des 2018 angespannten Verhältnisses zwischen den USA und China wird als eine zusätzlich mögliche politische Implikation angesehen.

Sämtliche Verdächtigungen wurden seitens chinesischer Stellen stets zurückgewiesen.

1.3 Technische und organisatorische Schwachpunkte

Der Einbruch bei Marriott wurde durch die 2015 vereinbarte und 2016 vollzogene Akquisition von Starwood ermöglicht. Starwood war bereits 2014 gehackt worden, was weder bei der Due Diligence noch in den zwei Jahren nach der Übernahme durch Marriott bemerkt wurde. Der Prozess der Migration von Starwood-Daten in Marriotts Reservierungssystem dauerte bis Dezember 2018.

Daswani/Elbayadi klassifizieren die allgemein verbreiteten Ursachen bei Datendiebstählen in drei „Metalevel“-Schwächen (mangelnde Priorisierung, unzureichende Investitionen, inkonsequente Sicherheitsmaßnahmen) sowie sechs technische Fehler (unverschlüsselte Daten, Phishing, Malware, kompromittierte Partnerfirmen, Softwarelücken, unbeabsichtigte Bedienungsfehler).²⁰

Davon ermöglichten die folgenden konkreten Defizite den langandauernden umfangreichen Datendiebstahl bei Starwood und Marriott:²¹

Metalevel

- fehlende IT-Sicherheitskultur und mangelnde Priorisierung von IT-Sicherheit bei Due Diligence (DD) und Integration
– Fokus auf Kostensynergien bei der Integration der IT-Bereiche
– Outsourcing von Sicherheitsfunktionen

[...]

¹ Zum Zweck der besseren Lesbarkeit wird auf die geschlechtsdifferenzierende Schreibweise verzichtet.

² Google (2022a), URL.

³ Wikipedia (2021a), URL.

⁴ Google (2022b), URL.

⁵ BBC (2020), URL.

⁶ Pentest (2021), URL.

⁷ Daswani/Elbayadi (2021), S. 55-74.

⁸ Wikipedia (2022), URL; die Web Shell ermöglicht den Fernzugriff auf Webserver.

⁹ Daswani/Elbayadi (2021), S. 19-22; ”…malicious software, e.g., viruses, worms, rootkits, keyloggers, and ransomware.”

¹⁰ Wikipedia (2021b), URL; Botnet = Netzwerk automatisierter Schadprogramme.

¹¹ Marriott (2018), URL.

¹² EDPB (2019), URL.

¹³ Guardian (2019), URL.

¹⁴ ICO (2020), URL.

¹⁵ Daswani/Elbayadi (2021), S. 55-56.

¹⁶ ebda., S. 155-169.

¹⁷ Onvista (2022), URL.

¹⁸ Daswani/Elbayadi (2021), S. 131-154.

¹⁹ Reuters (2018), URL.

²⁰ Daswani/Elbayadi (2021), S. 3-34.

²¹ ebda., S. 55-67.