Europa

Medienbericht: US-Spionagebehörde beauftragte Hacker mit Datendiebstahl bei ausländischen Diplomaten

Anfang 2016 drang ein US-amerikanischer Hacker in die Server der Hotelbuchungs-Plattform Booking.com ein und stahl Details zu Tausenden von Hotelreservierungen in Ländern des Nahen Ostens. Nach zweimonatigen Recherchen stellten vier IT-Spezialisten von Booking.com fest, dass es sich bei dem Hacker um einen Mann handelte, der enge Verbindungen zu US-amerikanischen Geheimdiensten hat.
Medienbericht: US-Spionagebehörde beauftragte Hacker mit Datendiebstahl bei ausländischen DiplomatenQuelle: Gettyimages.ru © gorodenkoff

Ein Hacker, der mit nicht näher genannten US-Spionageagenturen in Verbindung steht, hat Berichten zufolge 2016 die Server der Hotelbuchungs-Plattform Booking.com angegriffen und es dabei auf Buchungsdaten ausländischer Diplomaten und anderer Personen im Nahen Osten abgesehen. Das Unternehmen hat seine Kunden zu keinem Zeitpunkt über den Datendiebstahl informiert.

Der mutmaßliche Täter, genannt "Andrew", stahl die "Details von Tausenden von Hotelreservierungen" in Ländern des Nahen Ostens, das veröffentlichte am Mittwoch ein Bericht der niederländischen Zeitung NRC Handelsblad. Der brisante Artikel basiert auf Anschuldigungen, die in einem neuen Buch von Journalisten der Zeitung erhoben werden.

Ein Angestellter im Firmensitz in Amsterdam von Booking.com (dessen Eigentümer das US-amerikanische Unternehmen Booking Holdings Inc. ist) entdeckte den Einbruch zufällig, nachdem er auf einem schlecht gesicherten Server einen unbefugten Zugriff bemerkte. Durch den Einbruch hatten "Andrew" und dessen Komplizen Zugang zu Kundendaten, Reiseplänen und eindeutigen persönlichen Identifikationsnummern (PINs) der Benutzer.

Der Hack wurde von drei ehemaligen Sicherheitsexperten und einem Manager des Unternehmens zum Zeitpunkt des Einbruchs bestätigt. Durch die Einschaltung von US-Privatdetektiven stellte das Sicherheitsteam von Booking.com zwei Monate später fest, dass "Andrew" für ein Unternehmen arbeitete, welches Aufträge von US-Geheimdiensten ausführte. Der konkrete US-Geheimdienst, der in diesen Vorfall verwickelt war, wurde nicht identifiziert.

Obwohl Booking.com den niederländischen Nachrichtendienst AIVD alarmierte, wurden offenbar weder die geschädigten Nutzer noch die niederländische Datenschutzbehörde (AP) benachrichtigt – später begründete man diese Entscheidung damit, dass man zu diesem Zeitpunkt rechtlich nicht dazu verpflichtet gewesen wäre. Der Hack fand vor der Einführung der Datenschutz-Grundverordnung der Europäischen Union (DSGVO) statt, nach welcher Datenlecks ausnahmslos den zuständigen staatlichen Behörden gemeldet werden müssen.

Aus ungenannten Quellen geht jedoch hervor, dass die IT-Spezialisten des Unternehmens mit der Entscheidung des Managements – die auf einer Empfehlung der Londoner Anwaltskanzlei Hogan Lovells, den Verstoß geheim zu halten, beruhte – nicht einverstanden waren. Nach den damals geltenden Datenschutzgesetzen war das Unternehmen immerhin zumindest verpflichtet, die Betroffenen zu informieren, wenn der Datendiebstahl "wahrscheinlich nachteilige Auswirkungen auf das Privatleben von Einzelpersonen haben würde".

Das Unternehmen behauptete jedoch, dass durch das Datenleck "keine sensiblen oder finanziellen Informationen" abgerufen wurden, und sagte in einer Erklärung, dass seine "damalige Führung daran gearbeitet hat, die Grundsätze des niederländischen Datenschutzgesetzes zu befolgen". Nach diesem Gesetz sollten Unternehmen nur dann eine Meldung machen, "wenn es tatsächlich negative Auswirkungen auf das Privatleben von Einzelpersonen gab, wofür keine Beweise gefunden wurden".

Der Bericht kommt fast genau acht Jahre nach dem Aufdecken durch den NSA-Whistleblower Edward Snowden über die Existenz eines speziellen Programms namens "Royal Concierge", das von der britischen Spionagebehörde GCHQ betrieben wurde und routinemäßig mehr als 350 Hotels überwachte, in denen ausländische Diplomaten und Beamte einzuchecken pflegen.

In den Snowden-Dokumenten wurden zwar keine bestimmten Buchungswebseiten genannt, aber ein ehemaliger Sicherheitsspezialist von Booking.com sagte der niederländischen Zeitung über sein Unternehmen, es wäre "verrückt, wenn es nicht auf dieser Liste stünde".

Mehr zum ThemaWie US-Geheimdienste über soziale Medien die Wahlen in Venezuela beeinflussten

Durch die Sperrung von RT zielt die EU darauf ab, eine kritische, nicht prowestliche Informationsquelle zum Schweigen zu bringen. Und dies nicht nur hinsichtlich des Ukraine-Kriegs. Der Zugang zu unserer Website wurde erschwert, mehrere Soziale Medien haben unsere Accounts blockiert. Es liegt nun an uns allen, ob in Deutschland und der EU auch weiterhin ein Journalismus jenseits der Mainstream-Narrative betrieben werden kann. Wenn Euch unsere Artikel gefallen, teilt sie gern überall, wo Ihr aktiv seid. Das ist möglich, denn die EU hat weder unsere Arbeit noch das Lesen und Teilen unserer Artikel verboten. Anmerkung: Allerdings hat Österreich mit der Änderung des "Audiovisuellen Mediendienst-Gesetzes" am 13. April diesbezüglich eine Änderung eingeführt, die möglicherweise auch Privatpersonen betrifft. Deswegen bitten wir Euch bis zur Klärung des Sachverhalts, in Österreich unsere Beiträge vorerst nicht in den Sozialen Medien zu teilen.