"Wir sind hinter dem zurückgeblieben, was unsere Gäste verdient haben und was wir von uns selbst erwarten. Wir tun alles, was wir können, um unsere Gäste zu unterstützen, und nutzen die gewonnenen Erkenntnisse, um in Zukunft noch besser zu werden."
Arne Sorenson, Präsident und Vorstandsvorsitzender von Marriott
Die kürzlich bekannt gewordene Datenschutzverletzung bei Marriot ist eine Lektion in Sachen Cybersicherheit für alle.
Die Herausforderung des Unternehmens, die Geschehnisse aufzuarbeiten, die Glaubwürdigkeit wiederherzustellen und schnelle Maßnahmen zu ergreifen, um einen weiteren Verstoß zu verhindern, sollte ein Weckruf für jedes Unternehmen sein, egal in welcher Branche.
Erste Details deuten darauf hin, dass Verschlüsselungsschlüssel zusammen mit Kreditkarteninformationen gestohlen wurden. Noch beunruhigender ist, dass Starwoods Richtlinien und Praktiken zur Verwaltung von Verschlüsselungsschlüsseln unzureichend sind - das Fehlen einer Aufdeckung von Sicherheitsverletzungen (und die Tatsache, dass diese bereits seit vier Jahren unter Starwood stattfinden) ist geradezu alarmierend.
Es besteht kein Zweifel, dass Marriott International Richtlinien und Verfahren zum Schutz von Daten und zur Erkennung bösartiger Anomalien eingeführt hat. Dieser Verstoß gegen die Starwood-Daten lässt entweder auf einen intern initiierten Cyberangriff oder auf einen Angriff schließen, bei dem erhöhte Zugangsdaten eines Benutzers entwendet wurden.
Dieser Vorfall ist zwar erschütternd, erinnert aber daran, dass die Sicherheit heute das Herzstück jedes digitalen Unternehmens ist.
1. Datenspeicherung mit gesundem Menschenverstand
Erste Lektion: Zahlungsinformationen sollten niemals zusammen mit Daten gespeichert werden, die nicht der Zahlung dienen.
Die beste Analogie ist, wenn Sie auf Reisen Ihre Schlüssel, Ihren Reisepass und Ihr Geld nebeneinander aufbewahren. Sie erhöhen die Wahrscheinlichkeit, dass alles, was wirklich wichtig ist, auf einen Schlag gestohlen werden könnte.
Wenn Starwood die Verschlüsselungsschlüssel nicht nach bewährten Verfahren ordnungsgemäß gespeichert und geschützt hat, könnte die Sicherheitslücke viel größer sein als ursprünglich gemeldet.
2. Due Diligence ist mehr als nur Buchhaltung
Marriott erwarb die Marke Starwood im Jahr 2016. Die Tatsache, dass dieser Verstoß seit 2014 andauert, lässt darauf schließen, dass das Problem nicht während des M&A-Prozesses aufgedeckt wurde.
Starwood war als Marke groß genug, um über ein ausgereiftes digitales Sicherheitsverfahren zu verfügen. Wurden rote Fahnen übersehen? Waren Starwood Sicherheitslücken nicht bekannt?
Oder wurde die digitale Sicherheit zum Zeitpunkt der Übernahme gar nicht berücksichtigt?
Das Verständnis des aktuellen Stands des digitalen Sicherheitsprogramms eines Unternehmens () ist entscheidend, um sicherzustellen, dass Sie nicht zu viel für ein Unternehmen bezahlen, das nicht genug in die Risikominderung investiert hat.
Die Einhaltung von Vorschriften ist ein wichtiger Bestandteil der Überprüfung der Qualität von Vermögenswerten und der Haftung bei einem Unternehmenszusammenschluss. Strenge Sicherheitsmaßnahmen sollten eine Rolle spielen
3. Bereiten Sie sich auf noch mehr gesetzliche Vorschriften und Komplexität vor
Es gibt zahlreiche bewährte Praktiken und Leitlinien, die Unternehmen bei der Planung und Umsetzung digitaler Sicherheitsmaßnahmen berücksichtigen sollten.
Aber nicht diese Konzepte sorgen für die Einhaltung der Vorschriften, sondern die Vorschriften selbst.
Unternehmen werden sich zweifellos einer zunehmenden Kontrolle und potenziellen Prüfungen hinsichtlich der Verwaltung digitaler Sicherheitsschlüssel stellen müssen. Die Behauptung, dass Daten verschlüsselt werden müssen, oder die Festlegung, welche Algorithmen verwendet werden sollen, wird nicht mehr ausreichen.
Die Unternehmen müssen nachweisen können, dass die Schlüssel effektiv verwaltet und sicher aufbewahrt werden, von der Wiege bis zur Bahre und zu jedem Zeitpunkt dazwischen. Compliance-Organisationen und Normungsgremien werden versuchen, diese Kriterien hinzuzufügen, und die Unternehmen müssen darauf vorbereitet sein, wenn neue Normen eingeführt werden.
Darüber hinaus hat dieser Vorfall alle Voraussetzungen, um zum Aushängeschild für die Datenschutzgrundverordnung zu werden. Marriott ist ein internationales Unternehmen mit einer bedeutenden Niederlassung in der EU.
Abgesehen von den finanziellen Sanktionen könnten die Folgen noch größere Einschränkungen nach sich ziehen und sich auf Datenschutzbestimmungen und künftige Gesetze in den USA auswirken.
4. Glaubwürdigkeit der Marke ist alles
Krisenmanagement ist etwas, das man plant, aber man weiß nie wirklich, wie es aussehen wird, bis etwas passiert.
Die Marke Marriott gibt es seit 1927. 1957 wurde sie zu der Hotelmarke, die sie heute ist. Sie hat jahrzehntelang einen vertrauensvollen Ruf aufgebaut, der in wenigen Augenblicken einen Schlag erlitten hat.
Nur die Zeit wird zeigen, wie schnell die Besucher verzeihen werden. Es ist unwahrscheinlich, dass sie jemals vergessen werden.
Gerichtsverfahren, staatliche Eingriffe, Misstrauen der Kunden ... und vergessen Sie nicht, dass sie auch eine Kreditkartenabteilung haben. Marriott wird noch jahrelang in den Schlagzeilen sein und uns immer wieder an die Schwierigkeiten erinnern, die das Unternehmen durch ein möglicherweise unzureichendes digitales Sicherheitsprogramm erlitten hat.
5. Personenbezogene Daten" sind genau das: Persönlich
Unternehmen nutzen Daten, um Kundenerlebnisse zu personalisieren. Und es funktioniert... wenn die Daten mit Zustimmung gesammelt werden und der Kunde ein gewisses Maß an Interesse gezeigt hat.
Überlegen Sie einmal, wie weit das geht - die Daten, über die diese Hacker verfügen, gehen über Kaufpräferenzen hinaus.
Es könnte enthalten, wo diese Reisenden gewesen sind, welche Zimmer sie mögen, was sie gegessen haben, Namen und Daten von anderen Familienmitgliedern, die mit ihnen gereist sind. Geburtstage, Passwörter, sogar Muster, wann jemand geschäftlich reist und von zu Hause weg ist. Unter dem Gesichtspunkt der nationalen Sicherheit könnten Passnummern und andere Informationen an gegnerische Staaten verkauft werden.
Es klingt weit hergeholt, aber diese neue Welt, in der wir leben, birgt Gefahren, derer wir uns noch gar nicht bewusst sind.
Diese Sicherheitsverletzung hätte jedes Unternehmen treffen können. Cyber-Angreifer werden immer raffinierter, und es ist unmöglich, kommende Bedrohungen vorherzusehen und alle Verstöße zu verhindern - aber es gibt Schritte, die es schwieriger machen, wie z. B. sicherzustellen, dass jeder Vermögenswert durch eine digitale Identität abgedeckt ist und dass die Geräte, in die Sie investieren, über eine integrierte Sicherheit verfügen.
Investitionen in die richtigen Maßnahmen können die Wahrscheinlichkeit eines Verstoßes verringern und gleichzeitig die negativen Auswirkungen eines Verstoßes reduzieren, wenn es dazu kommt.