Best Western: Wo sind meine Daten?

Aus der Datenschutzpolitik der Best Western Hotels:

BWI hat ferner bestimmte physische Sicherheitsmaßnahmen zum Schutz gegen unbefugten Zugriff auf personenbezogene Daten eingerichtet. Alle Serverräume sind durch ein Schlüsselkartensystem geschützt, das Benutzerrechte mit einer zentralen Datenbank abgleicht. Außerdem bleiben diese Serverräume stets verschlossen.

Leider wird nicht erwähnt, was Best Western bei einem Bruch der Sicherheit unternehmen will. So zum Beispiel wenn acht Millionen Kundendaten samt Kreditkartendaten gestohlen werden. So scheint es nicht Politik zu sein, die Kunden direkt auf der Homepage über diesen vermeintlichen Datendiebstahl aufzuklären. Stattdessen findet sich dort nur der Hinweis: „Earn reward points with the Best Western MasterCard“.

Ich war im April Gast in einem Best Western Hotel. Ich bin doch mal gespannt, ob die Hoteliers mich zügig informieren werden. Oder ich frage besser mal selbst nach. Weil: ich würde doch gerne wissen, ob eine Hausdurchsuchung ansteht, weil jemand mit meinen Daten größere Mengen Uran angekauft hat. Oder gar schlimmeres.

Update: Ein Anruf in dem Hotel Best Western City Ost bringt Entwarnung. Das Hotel sei nicht an das internationale Buchungssystem der Best-Western-Kette angeschlossen. Ich hoffe mal, das stimmt auch.

Update 2: Auch Expedia, über die ich das Hotel gebucht hatte, beruhigt mich. Meine Zahlungsdaten wurden demnach gar nicht an das Hotel übermittelt.

Update 3: Nun meldet sich auch die Datenschutzbeauftragte von Best Western bei mir: Der Medienbericht sei unrichtig – statt acht Millionen Kunden weltweit seien weniger als 20 Gäste eines einzelnen Best Western Hotels betroffen, die direkt umgehend informiert worden seien. Und über mich lägen gar keine Daten mehr vor.

Update 4:: In den Kommentaren hat die Pressesprecherin von Best Western ein ausführliches Statement hinterlassen:

Entgegen der Medienberichte kam es nicht zu einem Hackerangriff auf das Best Western Reservierungssystem. Best Western bestätigt vielmehr, dass es zu einem Vorfall in einem einzelnen Hotel in Deutschland gekommen ist, in dem einem Hacker über einen PC-Virus Zugang zu zehn Gästedaten geglückt ist.

Der Autor der Sunday Herald-Story Iain Bruce bleibt hingegen bei seiner Darstellung.

Leave a comment

2 Comments.

  1. Statement zu Medienberichten zum Datendiebstahl
    bei Best Western
    Eschborn, 26. August 2008
    In einem am Sonntag, den 24. August 2008, in der schottischen Tageszeitung „Glasgow Sunday Herald“ erschienenen Artikel wird behauptet, es sei zu einer Verletzung der Sicherheit von Daten von Best Western Gästen und zu einem großangelegten zum Datendiebstahl gekommen. Dieser Bericht entbehrt jeglicher Grundlage. Die Medienbehauptungen, dass Daten von 8 Millionen Gästen aus etwa 1.300 Best Western Hotels aus den vergangenen 12 Monaten aus dem Best Western Reservierungssystem von einem indischen Hacker gestohlen worden seien, sind unrichtig. Entgegen der Medienberichte kam es nicht zu einem Hackerangriff auf das Best Western Reservierungssystem. Best Western bestätigt vielmehr, dass es zu einem Vorfall in einem einzelnen Hotel in Deutschland gekommen ist, in dem einem Hacker über einen PC-Virus Zugang zu zehn Gästedaten geglückt ist. Die kleine Anzahl an betroffenen Gästen ist umgehend informiert worden und die Polizei sowie FBI wurden eingeschaltet.

    Best Western International hat sofort nach Veröffentlichung der entsprechenden Medienberichte alle Sicherheitssysteme überprüft. Die Überprüfung der in der „Glasgow Sunday Herald“ geschilderten Vorkommnisse hat keinerlei Hinweis darauf gegeben, dass die Behauptungen zutreffen. Es ist nicht zu einem Einbruch in das Best Western Reservierungssystem gekommen und es hat keinen großangelegten Datendiebstahl von Gästedaten gegeben. Ein Hackerangriff fand am 21. August in einem einzelnen deutschen Hotel durch ein trojanischen Computervirus statt. Das Hotel hat nach dem Erkennen des PC-Virus durch eine Anti-Virus-Software umgehend alle Systeme abgeschaltet und die Polizei eingeschaltet. Bei dem Datenangriff gab es nicht wie in den Medienberichten gemeldet, Einblick in 8 Millionen Datensätze von Gästen, sondern vielmehr Einblick in die Reservierungsdaten von zehn Gästen des Hotels, die umgehend informiert wurden. Alle notwendigen Sicherheitsmaßnahmen wurden sofort ergriffen.

    Best Western hat sich zur strikten Wahrung vertraulicher Informationen der Gäste verpflichtet. Die Hotelgruppe hält sich an die Datensicherheitsnormen (DSS) der Payment Card Industry (PCI). Um diese Einhaltung zu gewährleisten, verfügt Best Western über ein Sicherheitsnetzwerk, das durch Firewalls geschützt und durch eine starke Informationssicherheitspolitik geregelt ist. Kreditkarteninformationen werden nur dann gesammelt, wenn dies für die Bearbeitung einer Reservierung des Gastes notwendig ist. Dabei haben zu diesen Informationen ausschließlich diejenigen Personen Zugang, die sie benötigen, und deren Zugang ist nur über spezifische, persönliche und passwortgeschützte Eintragsstellen möglich. Best Western verschlüsselt Kreditkarteninformationen in seinen Systemen und Datenbanken sowie bei jeder elektronischen Übertragung über öffentliche Netzwerke. Sämtliche Kreditkarteninformationen und alle anderen persönlichen Informationen werden sofort nach Abreise des Gastes gelöscht. Um Kundeninformationen zu schützen, werden die Best Western Systeme und Verfahren regelmäßig geprüft und es werden die Dienste von in der Branche führenden Firmen in Anspruch genommen, um diese Sicherheitsmaßnahmen zu evaluieren.

    PCI verlangt, dass die Einhaltung regelmäßig bewertet, geprüft und erneut zertifiziert wird. Die letzte interne Überprüfung der Best Western Systeme wurde im August 2008 durchgeführt. Die Evaluierungen zeigten, dass Best Western die Datensicherheitsnormen (DSS) der Payment Card Industry (PCI) voll erfüllt.

    Best Western möchte seinen Kunden, Mitgliedshotels und Geschäftspartnern versichern, dass es zu keinem Zeitpunkt Anlass zu Besorgnis gab. Als Vorsichtsmaßnahme empfehlen wir unseren Gästen, ihre Kreditkartenangaben wie schon bisher stets sorgfältig zu überprüfen.

    Best Western ist mit über 4.200 Hotels (320.000 Zimmer) in rund 80 Ländern die größte Hotelkette der Welt. Best Western Hotels Deutschland GmbH mit Sitz in Eschborn betreut 166 Hotels in Deutschland und Luxemburg, die im Jahr 2007 einen Gesamtumsatz von knapp 470 Millionen Euro erwirtschaftet haben.

    Weitere Informationen und Pressekontakt:
    Best Western Hotels Deutschland GmbH, Eschborn
    Anke Cimbal, Tel. (0 61 96) 47 24 -31
    Fax (0 61 96) 47 24 78
    E-Mail: presse@bestwestern.de

    Best Western International Contact:
    Troy Rutman
    Best Western International
    Troy.Rutman@bestwestern.com
    00 1 602.578.0086 (mobile)
    00 1 602.957.5668 (office)