1756911

Hacker stehlen Kreditkartendaten von deutschen Reiseveranstaltern

23.04.2013 | 13:56 Uhr |

Hacker haben Zugriff auf Kreditkartendaten und Adressen von Kunden bestimmter deutscher Reiseveranstalter erlangt, die auf Servern des Dienstleisters TravelTainment lagen. Betroffen sind unter anderem Kunden von DER Touristik und opodo.de. Betroffene Kunden sollen genau ihre Kontobewegungen überwachen. Update zu unserer gestrigen News: Die FAQ von TravelTainment.

Verschiedene deutsche Reiseveranstalter nutzen TravelTainment als Dienstleister. TravelTainment agiert nach eigener Aussage für verschiedene Vertragspartner als Auftragsdatenverarbeiter und erfasst diese Daten zur Durchführung von Transaktionen wie beispielsweise Kreditkartenzahlungen. Hackern gelang es in die Server von TravelTainment einzudringen und Kundendaten zu entwenden. Dabei handelt es sich sowohl um Kreditkartendaten als auch um die Adressen von Kunden.
 
TravelTainment entdeckte den Angriff am 11. April, wie Beate Zwermann, Mitarbeiterin bei der PR-Agentur von TravelTainment, auf unsere Nachfrage erklärte. Das Leck wurde laut Zwermann noch am gleichen Tag geschlossen. TravelTainment habe daraufhin die betroffenen Kreditkarteninstitute informiert. Außerdem wurden die Reiseveranstalter (unter anderem tui.de, expedia.de, opodo & DER Touristik sowie thomascook.de und weg.de) über den Angriff in Kenntnis gesetzt.

Die Reiseveranstalter wiederum sollen bereits ihre betroffenen Kunden informiert haben. Die betroffenen Urlauber sollen nun genau die Kontobewegungen auf ihrem Kreditkartenkonto überwachen und sich bei Unstimmigkeiten sofort bei ihrem Kreditkarteninstitut melden. Gegebenenfalls müssen die Kreditkarten dann gesperrt werden.
 
Laut TravelTainment soll ein „relativ kleiner Kundenkreis“ betroffen sein. TravelTainment habe zudem das Cybercrime-Zentrum des Landeskriminalamts Nordrhein-Westfalen eingeschaltet, das die notwendigen Maßnahmen eingeleitet hat. Darüber hinaus habe TravelTainment Strafanzeige erstattet.

TravelTainment hat uns eine FAQ zu dem Datendiebstahl zugeschickt. Wir veröffentlichen diese FAQ. Wir weisen aber daraufhin, dass mittlerweile einige Details wie die Namen der betroffenen Reiseveranstalter bekannt sind, die noch nicht in der FAQ stehen.

FAQ von TravelTainment

Welche Daten sind betroffen?
Partielle Kreditkartendaten einer relativ kleinen Zahl von Kunden. Zurzeit können wir keine
weiteren Auskünfte geben, um die Ermittlungen nicht zu gefährden. Detail-Informationen
werden deshalb nur kommuniziert, wenn es notwendig ist und zur angemessenen Zeit.

Stehen Sie in Kontakt zu den Kreditkarten-Unternehmen?
Zusätzlich zur Polizei wurden auch die betroffenen Kreditkarten-Unternehmen informiert.

Konnten die Daten zu betrügerischen Zwecken missbraucht werden?
Zurzeit können wir keine weiteren Auskünfte geben, um die Ermittlungen nicht zu gefährden.
Detail-Informationen werden deshalb nur kommuniziert, wenn es notwendig ist und zur
angemessenen Zeit. Allerdings möchten wir betonen, dass nur eine relativ kleine Zahl von
Kunden betroffen ist und dass unberechtigte Dritte nur Zugang zu partiellen
Kreditkartenbezogenen Daten erhalten haben.

Wann ist das passiert?
Zurzeit können wir keine weiteren Auskünfte geben, um die Ermittlungen nicht zu gefährden.
Detail-Informationen werden deshalb nur kommuniziert, wenn es notwendig ist und zur
angemessenen Zeit. Die Sicherheit unserer Kundendaten ist unsere oberste Priorität,
deshalb haben wir sofort reagiert und versucht, den Grund für den unerlaubten Zugang zu
identifizieren.

Ist die Zahl der betroffenen Kunden bekannt?
Eine relativ kleine Zahl von Kunden ist betroffen und es wurde sofort versucht, den Grund für
den unerlaubten Zugang zu identifizieren. Gleichzeitig wurden alle möglichen Maßnahmen
ergriffen, um unsere Systeme gegen diese und mögliche zukünftige Angriffe zu sichern.
Zurzeit können wir keine weiteren Auskünfte geben, um die Ermittlungen nicht zu gefährden.
Detail-Informationen werden deshalb nur kommuniziert, wenn es notwendig ist und zur
angemessenen Zeit.

Welche Geschäftspartner sind betroffen?
Es steht uns nicht zu, über einzelne Partner zu sprechen. Wir haben aber alle betroffenen
Kunden kontaktiert und unterrichten sie permanent über den Stand der Dinge. Sie wiederum
unterrichten, falls notwendig, ihre betroffenen Kunden.

Welche Märkte sind betroffen – nur der in Deutschland? Welche Kundengruppen – nur online?
Es steht uns nicht zu, über einzelne Partner zu sprechen. Wir haben alle betroffenen Kunden
kontaktiert und unterrichten sie permanent über den Stand der Dinge. Sie wiederum
unterrichten, falls notwendig, ihre betroffenen Kunden. Zurzeit können wir keine weiteren
Auskünfte geben, um die Ermittlungen nicht zu gefährden. Detail-Informationen werden
deshalb nur kommuniziert, wenn es notwendig ist und zur angemessenen Zeit.

Wurde die Datenschutzbehörde informiert?
Wir haben sofort unsere betroffene Kunden informiert und unterrichten sie permanent über
den Stand der Dinge. Es liegt in ihrer Verantwortung zu entscheiden, ob sie die
Datenschutzbehörde aufgrund verschiedener Faktoren informieren.

Wie hat sich der unerlaubte Zugriff genau ereignet?
Unberechtigte Dritte haben Zugang zu partiellen Kreditkartenbezogenen Daten einer relativ
kleinen Zahl von Kunden erhalten. Die Sicherheit unseren Kundendaten ist unsere oberste
Priorität, deshalb haben wir sofort reagiert und versucht, den Grund für den unerlaubten
Zugang zu identifizieren und unsere Systeme gegen diese und mögliche zukünftige Angriffe
zu sichern. Zurzeit können wir keine weiteren Auskünfte geben, um die Ermittlungen nicht zu
gefährden. Detail-Informationen werden deshalb nur kommuniziert, wenn es notwendig ist
und zur angemessenen Zeit.

War der unberechtigte Dritte ein Arbeitnehmer?
Wir haben sofort reagiert und versucht, den Grund für den unerlaubten Zugang zu
identifizieren und unsere Systeme gegen diese und mögliche zukünftige Angriffe zu sichern.
Zurzeit können wir keine weiteren Auskünfte geben, um die Ermittlungen nicht zu gefährden.
Detail-Informationen werden deshalb nur kommuniziert, wenn es notwendig ist und zur
angemessenen Zeit.

Warum besitzt TravelTainment diese Daten?
TravelTainment agiert für Vertragspartner als Auftragsdatenverarbeiter und erfasst diese
Daten zur Durchführung von Transaktionen.

Welche Schritte hat TravelTainment unternommen, um zu verhindern, dass solch ein Vorfall passiert?
Wir möchten betonen, dass wir die größtmögliche Priorität auf die Sicherung unserer
Kundendaten legen und wir weiter daran arbeiten dies auch in Zukunft sicherzustellen.
Zurzeit können wir keine weiteren Auskünfte geben, um die Ermittlungen nicht zu gefährden.
Detail-Informationen werden deshalb nur kommuniziert, wenn es notwendig ist und zur
angemessenen Zeit.

Welches Datenzentrum war betroffen? Teilt sich TravelTainment ein Datenzentrum mit Amadeus?
Der Vorfall betraf nur das Datenzentrum von TravelTainment, das komplett getrennt ist vom
Amadeus-Datenzentrum in Erding.

Wen können beunruhigte Kunden bei TravelTainment für weitergehende Informationen ansprechen?
Beunruhigte Kunden oder andere Personen (außer Journalisten) können CEO Bernhard
Steffen oder Dr. Oliver Rengelshausen über die Telefonzentrale von TravelTainment
erreichen.
Was ist Ihr Rat an die Verbraucher in dieser Situation?
Wie immer gilt auch hier der Rat, die Zahlungsverkehre auf der Kreditkarte im Blick zu haben
und sich bei verdächtigen Aktivitäten sofort an das ausstellende Institut / Bank zu wenden.

0 Kommentare zu diesem Artikel
1756911