{"id":276197,"date":"2022-12-21T03:31:32","date_gmt":"2022-12-21T02:31:32","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=276197"},"modified":"2023-01-05T13:21:27","modified_gmt":"2023-01-05T12:21:27","slug":"cyberangriff-auf-h-hotels-com-11-dez-2022","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/12\/21\/cyberangriff-auf-h-hotels-com-11-dez-2022\/","title":{"rendered":"Cyberangriff auf H-Hotels.com (11. Dez. 2022)"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Noch ein kleiner Nachtrag: Die Hotelkette H-Hotels.com ist Opfer eines Cyberangriffs geworden. Dadurch ist die interne und externe Kommunikation der Hotelkette derzeit nur eingeschr\u00e4nkt verf\u00fcgbar. Allerdings sollen Buchungen und der Hotelbetrieb der Gruppe weiter m\u00f6glich sein. Das Unternehmen geht bisher davon aus, dass bei diesem Angriff, der am Wochenende stattfand, keine Kundendaten abgeflossen sind. Erg\u00e4nzung:<\/strong> Wie von mir erwartet, hat die H-Hotels.com-Gruppe nun erste Hinweise auf entwendete Daten – es scheint ein Erpresserschreiben der Angreifer zu geben. Erg\u00e4nzung 2:<\/strong> Daten sind im Darknet gelandet.<\/p>\n

<\/p>\n

Cyberangriff eingestanden\"\"<\/h2>\n

Einer Mitteilung<\/a> der Hotelkette zufolge fand der Cyberangriff auf das IT-Netzwerk bereits am Sonntag, den 11. Dezember 2022, statt. Man muss dabei einschr\u00e4nken, dass der Cyberangriff am Sonntag von den IT-Sicherheitssystemen der Hotelgesellschaft entdeckt worden ist (die Angreifer k\u00f6nnten sich bereits Wochen vorher im IT-System getummelt haben).<\/p>\n

Nachdem ein Cyberangriff bemerkt wurde, haben die Mitarbeiter die IT-Systeme der Hotelkette unverz\u00fcglich heruntergefahren und vom Internet getrennt, um weitere Ausbreitungen abzuwehren. H-Hotels.com hat unmittelbar die zust\u00e4ndigen Ermittlungsbeh\u00f6rden informiert und Strafanzeige erstattet. In enger Abstimmung mit den Ermittlungsbeh\u00f6rden untersuchen derzeit IT-Forensiker alle betroffenen IT-Systeme.<\/p>\n

Diese Analysen werden einige Tage dauern. Im Anschluss sollen s\u00e4mtliche Systeme bereinigt und alle Daten abschlie\u00dfend \u00fcberpr\u00fcft werden, um eine Fortsetzung des Cyberangriffs oder einen erneuten Cyberangriff ausschlie\u00dfen zu k\u00f6nnen. Das Hotel gibt in seiner Verlautbarung an, dass es Cyberkriminellen gelungen sei, die umfangreichen technischen und organisatorischen Schutzsysteme der IT zu durchbrechen. Was das genau f\u00fcr Ma\u00dfnahmen waren, bleibt aber im Dunkeln – kann aber auch schlicht eine der \u00fcblichen Floskeln sein.<\/p>\n

Das Unternehmen schreibt: Bisher liegen den beauftragten IT-Forensikern keine Hinweise darauf vor, dass relevante oder personenbezogenen Daten durch den Cyberangriff entwendet werden konnten.<\/em> Hierzu soll es in den kommenden Tagen in Abstimmung mit den Ermittlungsbeh\u00f6rden und der zust\u00e4ndigen Datenschutzbeh\u00f6rde weitere Untersuchungen geben. Sollte im Zuge dieser Untersuchungen ein Datenabfluss von personenbezogenen Daten festgestellt werden, wird H-Hotels.com die betroffenen Personen informieren. Zwischen den Zeilen lese ich, dass es sich wohl um eine Ransomware-Infektion handeln k\u00f6nnte, so dass man von einem Datenabfluss ausgehen kann – aber das werden wir in den kommenden Tagen dann erfahren.<\/p>\n

Der laufende Hotelbetrieb in den einzelnen Hotels der Gruppe ist sichergestellt und Buchungen werden in den Hotels wie gewohnt angenommen. Anfragen per E-Mail k\u00f6nnen aktuell nicht bzw. nicht zeitnah beantwortet werden. Kundinnen und Kunden wird empfohlen, das gew\u00fcnschte oder bereits gebuchte Hotel im Falle eines Kontaktwunschs telefonisch zu kontaktieren.<\/p>\n

Hinweis auf abgezogene Daten<\/h2>\n

Erg\u00e4nzung:<\/strong> Wie von mir erwartet, hat die H-Hotels-Gruppe nun erste Hinweise auf entwendete Daten eingestanden. In einer weiteren Mitteilung\u00a0Nach Cyberangriff auf H-Hotels.com<\/a> ist nun von \"ersten\u00a0Hinweisen auf eventuell entwendete personenbezogene Daten\" die Rede. Dazu hei\u00dft es:<\/p>\n

Im Zuge der laufenden Ermittlungen scheint sich der Verdacht zu erh\u00e4rten, dass von dem Datenraub auch personenbezogene Daten (z.B. Name, Anschrift, Mailadresse) betroffen sein k\u00f6nnten. Die T\u00e4tergruppe hat entsprechende und hinsichtlich der Richtigkeit nicht \u00fcberpr\u00fcfbare Angaben gemacht, die auch eine Entwendung personenbezogener Daten nicht ausschlie\u00dfen lassen.<\/p><\/blockquote>\n

\"H-Hotels.com<\/p>\n

Das klingt f\u00fcr mich nach Doppelter-Erpressung von Ransomware-Gangs, die Daten abziehen, die Dateien verschl\u00fcsseln und sp\u00e4ter die Opfer mit der Drohung, die Daten zu ver\u00f6ffentlichen, erpressen. Die Kollegen von Bleeping Computer berichten hier<\/a>, dass die Play Ransomware-Gruppe f\u00fcr den Angriff verantwortlich zeichnet. Die Kollegen haben einen Screenshot der betreffenden Gruppe ver\u00f6ffentlicht.<\/p>\n

Die spannende Frage ist, welche Bereiche der IT-Systeme vom Angriff betroffen waren und ob auch auf die Datenbanken mit Zahlungsdaten zugegriffen werden konnte.<\/p>\n

H-Hotels.com arbeitet laut eigener Aussage eng mit IT-Forensikern und den bereits informierten Datenschutzbeh\u00f6rden zusammen, um die Auswirkungen aus den entwendeten Daten so gering wie m\u00f6glich zu halten. H-Hotels.com will die betroffenen Personen, sofern personenbezogene Daten entwendet wurden, entsprechend den Vorgaben der Datenschutzbeh\u00f6rde informieren.<\/p>\n

H-Hotels.com betreibt 60 Hotels an 50 Standorten in Deutschland, \u00d6sterreich und der Schweiz. Die Gesamtkapazit\u00e4t liegt bei etwa 9.600 Zimmern.\u00a0Die Hotelkette besch\u00e4ftigt 2.500 Mitarbeiter und ist eine der gr\u00f6\u00dften in der DACH-Region. Sie firmiert unter \"H-Hotels\" und den Untermarken Hyperion, H4 Hotels, H2 Hotels, H + Hotels, H.ostels und H.omes.<\/p><\/blockquote>\n

Daten im Darknet gelandet<\/h2>\n

Erg\u00e4nzung 2:<\/strong> Die Betreiber von IT Inside aus der Schweiz haben sich bei mir gemeldet.<\/p>\n

Ich habe mich lange nicht mehr bei Ihnen gemeldet, aber hier k\u00f6nnte eine Story sein, die f\u00fcr Sie von Interesse sein k\u00f6nnte. Sie haben im Dezember bereits einen Beitrag zum Cyberangriff auf H-Hotels ver\u00f6ffentlicht.<\/p>\n

Da der Angriff auch Hotels der Kette in der Schweiz betrifft, haben wir uns bei Inside IT ebenfalls damit befasst. Wir haben heute ein (erstes) am 4. Januar von der Ransomware-Gruppe Play ins Darkweb gestellte Datenpaket analysiert und dazu auch Antworten des Unternehmens eingeholt. H-Hotels hat im Anschluss an unsere Anfrage auch eine neue Stellungnahme zum Vorfall publiziert, die meines Wissens bis jetzt noch nicht von deutschen (IT-) Medien aufgegriffen wurde.<\/p><\/blockquote>\n

Die gek\u00fcrzte Stellungnahme von H-Hotels vom 4. Januar 2022 findet sich hier<\/a> und enth\u00e4lt folgenden Inhalt:<\/p>\n

Nach Cyberangriff auf H-Hotels: Cyberkriminelle bieten entwendete Daten im Darknet an<\/strong><\/p>\n

Die Cyberkriminellen, die sich auf den Angriff vom 11. Dezember 2022 auf die IT-Systeme von H-Hotels.com bekannt haben, haben heute Vormittag begonnen, entwendete Daten im Darknet anzubieten. […]<\/p>\n

H-Hotels hatte unmittelbar nach Bekanntwerden des Cyberangriffs die zust\u00e4ndigen Datenschutzbeh\u00f6rden kontaktiert und kontinuierlich \u00fcber weitere Entwicklungen informiert. Wie berichtet, war es den Angreifern gelungen, durch einen komplexen und hochprofessionellen Angriff die mehrstufigen technischen Barrieren und IT-Schutzsysteme zu durchbrechen und Daten zu entwenden.<\/p>\n

Es handelte sich bei den Angreifern um eine hochprofessionelle Gruppierung aus dem Bereich der organisierten Kriminalit\u00e4t, die derzeit f\u00fcr eine Vielzahl von Cyberangriffen auf namhafte Unternehmen und Institutionen verantwortlich gemacht wird.<\/p>\n

Nachdem es im Zuge der Ermittlungsarbeiten vor Weihnachten erste konkrete Hinweise auf einen m\u00f6glichen Datenraub auch von personenbezogenen Daten durch Cyberkriminelle gab, hatte H-Hotels mit Datum vom 20. Dezember die \u00d6ffentlichkeit, Partnerunternehmen und Mitarbeitende \u00fcber einen m\u00f6glichen Datendiebstahl informiert. Die bisherigen Hinweise haben sich durch das Angebot der Daten der Cyberkriminellen im Darknet erh\u00e4rtet.<\/p>\n

Die von H-Hotels.com beauftragten IT-Forensiker und IT-Spezialisten werden das angebotene Datenpaket in den n\u00e4chsten Tagen analysieren. Entsprechend der Vorgaben der Datenschutzbeh\u00f6rden werden betroffene Personen informiert, sofern personenbezogene Daten entwendet wurden.<\/p>\n

Derweil sind die Arbeiten in der Wiederherstellung der IT-Systeme weiter vorangeschritten.<\/p>\n

[…]<\/p>\n

Aufgrund der laufenden Untersuchungen k\u00f6nnen derzeit keine weiteren Informationen gegeben werden. F\u00fcr aktualisierte Informationen nutzen Sie bitte die Internetseite www.h-hotels.com.<\/p><\/blockquote>\n

Ob es hochprofessionelle Angreifer waren, die ein komplexes, mehrstufiges Schutzsystem der H-Hotels-Gruppe \u00fcberwinden konnten, lasse ich mal offen – da liegen mir schlicht keine Informationen vor. F\u00fcr betroffene H-Hotels G\u00e4ste ist das Ganze allerdings sehr unlustig. Philipp Anz von Inside IT hat in seinem Artikel\u00a0Rechnungen, Identit\u00e4tskarten und Buchungen von H-Hotels im Darkweb gelandet<\/a> Details zu seinen Recherchen ver\u00f6ffentlicht. Die Play Ransomware-Gruppe hat sich zum Angriff und 6 GByte abgezogenen Daten bekannt. In den ver\u00f6ffentlichten Datens\u00e4tzen finden sich personenbezogene Daten (z.B. Name, Anschrift, Mailadresse). Aber auch Fotos deutscher Personalausweise, Krankenkassenausweise, Buchungsbest\u00e4tigungen etc. sind in den Datens\u00e4tzen zu finden. Lediglich Kreditkartendaten scheinen keine erbeutet worden zu sein.<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Noch ein kleiner Nachtrag: Die Hotelkette H-Hotels.com ist Opfer eines Cyberangriffs geworden. Dadurch ist die interne und externe Kommunikation der Hotelkette derzeit nur eingeschr\u00e4nkt verf\u00fcgbar. Allerdings sollen Buchungen und der Hotelbetrieb der Gruppe weiter m\u00f6glich sein. Das Unternehmen geht bisher … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-276197","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/276197","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=276197"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/276197\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=276197"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=276197"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=276197"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}