Marriott-Zusammenbruch: Hotelkette verpflichtet, Daten zu löschen und Sicherheit zu erhöhen
Das Bundespostamt für den Verbraucherschutz (Federal Trade Commission, FTC) hat die Hotelkette Marriott vor Ort angetreten, nachdem es durch eine Serie von Datenschutzverletzungen zwischen 2014 und 2020 über 344 Millionen Kunden weltweit geschädigt hat. In einer Erklärung am 9. Oktober 2021 kündigte die Agentur an, dass Marriott auf Anfrage alle mit seinem Konto eines Kunden verbundenen persönlichen Daten löschen und alle durch die Verstöße verlorengegangenen Treuepunkte wiederherstellen muss.
Außerdem muss Marriott seine Sicherheit stark erhöhen, um Kunden besser vor künftigen Cyberangriffen zu schützen. Die Kette muss ein umfassendes Sicherheitsprogramm einrichten, das Multi-Faktor-Authentifizierung, Verschlüsselung und andere Schutzmaßnahmen umfasst.
Die FTC wirft Marriott vor, esversäumt zu haben, ordnungsgemäße Passwortkontrollen, Zugangskontrollen, Firewall-Kontrollen oder Netzwerksegmentierung einzurichten. Das Unternehmen habe seine Kunden getäuscht, indem es behauptet, über angemessene und angemessene Sicherheiten zu verfügen.
Der Fall Marriot ist ein Klassiker für die sich steigernde Verantwortung, die Unternehmen und ihre Sicherheitsverantwortlichen in Bezug auf die Datensicherheit haben. Es ist eine klare Botschaft für andere Unternehmen, dass Nachlässigkeit beim Schutz von Kundendaten zu erheblichen Strafen und dauerhaften Reputationsschäden führen kann.
Die Einigung mit der FTC hat Marriott noch mehr zu befürchten. Marriott muss Zero-Trust-Prinzipien etablieren, regelmäßige Sicherheitsberichte an den CEO und Mitarbeiterschulungen zum Umgang mit Daten und zur Datensicherheit organisieren. Zahlreiche Maßnahmen müssen umgesetzt werden, darunter Komponentenhärtung, Bestandsaufnahme, Verschlüsselung, Netzwerksegmentierung, Patch-Management, Eindringlingserkennung, Benutzerzugriffskontrollen und die Verfolgung von Dateien und Benutzern innerhalb des Netzwerks.
Für Marriott-Kunden bedeutet diese Einigung Folgendes: Sie können das Unternehmen bitten, ihr Bonvoy-Konto auf unbefugte oder verdächtige Aktivitäten zu überprüfen. Sollten dadurch Treuepunkte gestohlen werden, muss das Unternehmen diese wiederherstellen. Über die Marriott-Website oder die mobile App können Sie die Löschung aller personenbezogenen Daten anfordern, die mit Ihrer E-Mail-Adresse oder Bonvoy-Kontonummer verknüpft sind. Wir können auch eine Multi-Faktor-Authentifizierung für Ihr Bonvoy-Konto einrichten, um es besser zu schützen. In der Datenschutzrichtlinie des Unternehmens muss klar dargelegt werden, warum es Ihre personenbezogenen Daten erfasst und speichert.
