{"id":312216,"date":"2025-06-03T13:27:47","date_gmt":"2025-06-03T11:27:47","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=312216"},"modified":"2025-06-05T00:42:43","modified_gmt":"2025-06-04T22:42:43","slug":"cyberangriff-auf-h-world-hotelgruppe-steigenberger-co","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2025\/06\/03\/cyberangriff-auf-h-world-hotelgruppe-steigenberger-co\/","title":{"rendered":"Cyberangriff auf H World Hotelgruppe (Steigenberger & Co.)?"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Kurzer Rundruf an die Blog-Leserschaft, ob da jemand n\u00e4here Informationen zu hat. Mir ist die Information untergekommen, dass es einen erfolgreichen Cyberangriff auf die H World-Hotelgruppe gab. Dann w\u00e4re mutma\u00dflich auch Steigenberger betroffen. Noch konnte ich aber keine anderen Quellen finden.<\/p>\n

<\/p>\n

Wer ist die H World Group?<\/h2>\n

\"\"Der Begriff der H World Group sagte mir nichts – obwohl das H wohl f\u00fcr Hotel stehen k\u00f6nnte (aber eher Huazhu abk\u00fcrzt) und der Name besagt, dass die Gruppe weltweit Hotels betreibt. Aber das Internet hilft weiter – die H World Group firmierte fr\u00fcher als Huazhu Hotels Group<\/a>. Das ist ein chinesisches Unternehmen, welches mehrere Hotelketten in China und international betreibt. Die Gruppe verwaltet ein vielf\u00e4ltiges Portfolio an Hotels unter Pacht-, Franchise- und Eigentumsmodellen.<\/p>\n

\"H<\/p>\n

Zu ihren bekannten Marken geh\u00f6ren unter anderem HanTing Hotel, JI Hotel, Orange Hotel und Hi Inn, habe ich bei der Google-Suche gelesen. Mir sind Steigenberger und Intercity-Hotel auf der Homepage der Gruppe aufgefallen (siehe oben). Aber auch weitere Hotelketten wie Ibis, Acor etc. scheinen zur Gruppe zu geh\u00f6ren. Das Management liegt in chinesischer und deutscher Hand (Steigenberger GmbH Gesch\u00e4ftsf\u00fchrer), wenn ich es richtig deute.<\/p>\n

Zum 31. M\u00e4rz 2025 betrieb H World 11.685 Hotels mit 1.142.158 Betten weltweit.\u00a0Bei Huazhu Hotels Group klingelte bei mir was und eine Suche f\u00fchrte mich u.a. zum Beitrag aus dem Jahr 2018<\/a>. Im genannten Jahr kamen der Hotelkette Buchungs- und Hoteldaten \"abhanden\", und ein Akteur bot ein 140 Gigabyte gro\u00dfes Datenpaket in einem Dark-Web-Forum an. Die Gruppe hatte seinerzeit diese Mitteilung<\/a> zum Vorfall ver\u00f6ffentlicht – meinen Informationen nach waren 130 Millionen G\u00e4stedaten betroffen.<\/p>\n

Hinweis auf mutma\u00dflichen Cybervorfall im Mai 2025<\/h2>\n

Ein ungenannt bleiben wollender Blog-Leser hat sich per Mail bei mir gemeldet und schrieb, dass vor etwa einer Woche ein gro\u00dfer Teil der HWorld-Gruppe Opfer eines massiven Hackerangriffs wurde. Die Quelle erw\u00e4hnte auch\u00a0viele Steigenberger-Hotels in diesem Zusammenhang.<\/p>\n

Es hie\u00df, dass der Cyberangriff mutma\u00dflich durch die Akira-Gruppe erfolgte, das w\u00fcrden interne E-Mails nahelegen. Deren Leak-Seite kann ich derzeit nicht erreichen – und die einschl\u00e4gigen Beobachtungsseiten f\u00fcr Ransomware-Angriffe haben mir noch keine Treffer geliefert.<\/p>\n

Aber die Quelle verriet mir noch, dass laut Stand (vergangene Woche) mehr als f\u00fcnf Hotels betroffen seien. S\u00e4mtliche Daten wurden verschl\u00fcsselt, hie\u00df es. Und es g\u00e4be deutliche Hinweise darauf, dass auch sensible Informationen abgeflossen sind.<\/p>\n

Darunter sollen sich auch Buchungsdaten, Rechnungen, Gutscheincodes sowie Kreditkartendaten im Klartext befinden. Letztere seien laut meiner Quelle offenbar h\u00e4ufig, etwa bei Kosten\u00fcbernahmen durch Firmenkunden, in unverschl\u00fcsselten Textdateien gespeichert worden.<\/p>\n

Besonders brisant schrieb die Quelle, sei, dass anscheinend keine Backups der Daten mehr\u00a0 existieren. Diese Backups seien aus Kostengr\u00fcnden vor Jahren abgeschafft worden. In den betroffenen H\u00e4usern seien zentrale Systeme wie Schl\u00fcsselkarten, Zahlungsterminals und Reservierungssoftware vollst\u00e4ndig ausgefallen. Buchungen werden aktuell per Hand aufgenommen, lautete die Aussage.<\/p>\n

Die Quelle meinte noch, dass die\u00a0offizielle Website der Hotelgruppe<\/a> seit dem Vorfall nicht mehr erreichbar sei. Dies kann ich nicht best\u00e4tigen, ich kam auf die Webseite – aber gelegentlich gab es Ladeprobleme. Was aber wohl definitiv beim einem Versuch der Kontaktaufnahme mit deren Pressabteilung nicht funktioniert, ist das Kontaktformular. Beim Abschicken l\u00e4sst sich das Ganze tot und endet mit einem Gateway-Fehler.<\/p>\n

Bisher alles unbest\u00e4tigt und unter Vorbehalt<\/h2>\n

Es sind sehr detaillierte Informationen, wobei ich die Quelle nicht verifizieren kann.\u00a0Ich habe im Internet sowie auf der obigen Webseite der Gruppe gesucht, aber nichts zum oben skizzierten Sachverhalt im Web gefunden.<\/p>\n

Daher wei\u00df ich nicht, welche Hotels betroffen sind und wie valide die obigen Informationen sind. Sofern jemand etwas aus der Leserschaft wei\u00df, kann er sich ja bei mir melden oder kommentieren.<\/p>\n

Momentan l\u00e4uft eine Presseanfrage per Mail bei der Hotel-Gruppe, da bei einem Telefonkontakt nichts bekannt war. Sobald ich neuere Informationen habe, trage ich es nach.<\/p>\n

Stand 5. Juni 2025 ist meine Anfrage unbeantwortet.<\/p><\/blockquote>\n

Angriff auf Arcona-Hotel<\/h2>\n

Erg\u00e4nzung:<\/strong> Auf arcona.de habe ich eine Best\u00e4tigung eines Angriffs<\/a> gefunden – wobei nirgendwo eine Verbindung zur oben genannten Gruppe existiert. Hier die Meldung der Arcona-Hotels.<\/p>\n

\n

Cyberangriff auf die arcona Hotels & Resorts<\/span><\/p>\n

Stand 03.06.2025:<\/strong>
\nWie bereits letzte Woche berichtet, wurde arcona Opfer eines Cyberangriffes auf die IT-Systeme. Dieser f\u00fchrte sowohl zu Beeintr\u00e4chtigungen in drei Hotels als am zentralen Standort in Rostock. Seitdem wurden wichtige Fortschritte in der IT-Forensik und im Notbetrieb gemacht.<\/p>\n

Aktuell wird in den betroffenen Hotels, insbesondere daran gearbeitet, die verschl\u00fcsselten Systeme wie z.B. das Kassensystem schrittweise in einen stabilen und abgesicherten Notbetrieb zu \u00fcberf\u00fchren.<\/p>\n

In den forensischen Untersuchungen konnte nachvollzogen werden, wie sich die Angreifer standort\u00fcbergreifend innerhalb der arcona-Struktur ausbreiten konnten. Dabei hat sich herausgestellt, dass ehemalige arcona Standorte ebenfalls betroffen sind.<\/p>\n

Die IT-Forensik arbeitet aktiv mit den IT-Verantwortlichen der anderen ehemaligen Standorte zusammen, um eine gemeinsame und umfassende Aufkl\u00e4rung des Vorfalls zu erm\u00f6glichen. Die Zusammenarbeit soll helfen, die Komplexit\u00e4t und die Ursache des Angriffs noch besser zu verstehen. Unser IT-Forensik-Partner analysiert weiterhin umfangreich alle relevanten Systeme und Verbindungen.<\/p>\n

Die Komplexit\u00e4t des Vorfalls und die eingeschr\u00e4nkte Datenlage aufgrund der Verschl\u00fcsselung, stellt jedoch hohe Anforderungen an alle beteiligten Experten. Auch wenn die Fragestellung zur Ausbreitung schon gekl\u00e4rt werden konnte, dauern die Untersuchungen zum Einfallstor und dem genauen Angriffshergang noch an. Weiterhin kann ein Datenabfluss weder best\u00e4tigt noch ausgeschlossen werden. Neben der Sicherstellung des Notbetriebs wird der Wiederanlauf der Systemlandschaft vorgenommen. Hierbei flie\u00dfen alle gewonnenen Erkenntnisse aus der forensischen Untersuchung sowie aktuelle Bedrohungsszenarien mit ein.
\n<\/strong><\/p>\n

Stand 23.05.2025:
\n<\/strong>Am Freitag, den 23. Mai 2025, wurden bei den arcona Hotels & Resorts technische Unregelm\u00e4\u00dfigkeiten festgestellt. Nach anf\u00e4nglicher Pr\u00fcfung durch den IT-Dienstleister wurden vorsorglich die Standorte von den zentralen IT-Diensten getrennt, um m\u00f6gliche Sch\u00e4den zu begrenzen.<\/p>\n

Der allgemeine Hotelbetrieb l\u00e4uft weiter, Reservierungen k\u00f6nnen ohne Einschr\u00e4nkungen auf unserer Website sowie \u00fcber Ihren Login im myarcona Kundenclub get\u00e4tigt werden, auch der E-Mail-Verkehr ist uneingeschr\u00e4nkt m\u00f6glich.<\/p>\n

Wir haben umgehend die zust\u00e4ndigen Beh\u00f6rden informiert. Zur technischen Analyse und Bew\u00e4ltigung der Lage wurde das auf IT-Forensik spezialisierte Unternehmen ResponseOne GmbH eingebunden.<\/p>\n

Wir halten Sie hier \u00fcber den weiteren Verlauf auf dem Laufenden. Bei Fragen wenden Sie sich bitte an\u00a0cyberangriff[@]arcona.de.<\/p>\n

Vielen Dank f\u00fcr Ihr Verst\u00e4ndnis.<\/p><\/blockquote>\n","protected":false},"excerpt":{"rendered":"

[English]Kurzer Rundruf an die Blog-Leserschaft, ob da jemand n\u00e4here Informationen zu hat. Mir ist die Information untergekommen, dass es einen erfolgreichen Cyberangriff auf die H World-Hotelgruppe gab. Dann w\u00e4re mutma\u00dflich auch Steigenberger betroffen. Noch konnte ich aber keine anderen Quellen … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-312216","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/312216","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=312216"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/312216\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=312216"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=312216"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=312216"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}