Ein Hacker, der mit nicht näher genannten US-Spionageagenturen in Verbindung steht, hat Berichten zufolge 2016 die Server der Hotelbuchungs-Plattform Booking.com angegriffen und es dabei auf Buchungsdaten ausländischer Diplomaten und anderer Personen im Nahen Osten abgesehen. Das Unternehmen hat seine Kunden zu keinem Zeitpunkt über den Datendiebstahl informiert.
Der mutmaßliche Täter, genannt "Andrew", stahl die "Details von Tausenden von Hotelreservierungen" in Ländern des Nahen Ostens, das veröffentlichte am Mittwoch ein Bericht der niederländischen Zeitung NRC Handelsblad. Der brisante Artikel basiert auf Anschuldigungen, die in einem neuen Buch von Journalisten der Zeitung erhoben werden.
Ein Angestellter im Firmensitz in Amsterdam von Booking.com (dessen Eigentümer das US-amerikanische Unternehmen Booking Holdings Inc. ist) entdeckte den Einbruch zufällig, nachdem er auf einem schlecht gesicherten Server einen unbefugten Zugriff bemerkte. Durch den Einbruch hatten "Andrew" und dessen Komplizen Zugang zu Kundendaten, Reiseplänen und eindeutigen persönlichen Identifikationsnummern (PINs) der Benutzer.
Der Hack wurde von drei ehemaligen Sicherheitsexperten und einem Manager des Unternehmens zum Zeitpunkt des Einbruchs bestätigt. Durch die Einschaltung von US-Privatdetektiven stellte das Sicherheitsteam von Booking.com zwei Monate später fest, dass "Andrew" für ein Unternehmen arbeitete, welches Aufträge von US-Geheimdiensten ausführte. Der konkrete US-Geheimdienst, der in diesen Vorfall verwickelt war, wurde nicht identifiziert.
Obwohl Booking.com den niederländischen Nachrichtendienst AIVD alarmierte, wurden offenbar weder die geschädigten Nutzer noch die niederländische Datenschutzbehörde (AP) benachrichtigt – später begründete man diese Entscheidung damit, dass man zu diesem Zeitpunkt rechtlich nicht dazu verpflichtet gewesen wäre. Der Hack fand vor der Einführung der Datenschutz-Grundverordnung der Europäischen Union (DSGVO) statt, nach welcher Datenlecks ausnahmslos den zuständigen staatlichen Behörden gemeldet werden müssen.
Aus ungenannten Quellen geht jedoch hervor, dass die IT-Spezialisten des Unternehmens mit der Entscheidung des Managements – die auf einer Empfehlung der Londoner Anwaltskanzlei Hogan Lovells, den Verstoß geheim zu halten, beruhte – nicht einverstanden waren. Nach den damals geltenden Datenschutzgesetzen war das Unternehmen immerhin zumindest verpflichtet, die Betroffenen zu informieren, wenn der Datendiebstahl "wahrscheinlich nachteilige Auswirkungen auf das Privatleben von Einzelpersonen haben würde".
Das Unternehmen behauptete jedoch, dass durch das Datenleck "keine sensiblen oder finanziellen Informationen" abgerufen wurden, und sagte in einer Erklärung, dass seine "damalige Führung daran gearbeitet hat, die Grundsätze des niederländischen Datenschutzgesetzes zu befolgen". Nach diesem Gesetz sollten Unternehmen nur dann eine Meldung machen, "wenn es tatsächlich negative Auswirkungen auf das Privatleben von Einzelpersonen gab, wofür keine Beweise gefunden wurden".
Der Bericht kommt fast genau acht Jahre nach dem Aufdecken durch den NSA-Whistleblower Edward Snowden über die Existenz eines speziellen Programms namens "Royal Concierge", das von der britischen Spionagebehörde GCHQ betrieben wurde und routinemäßig mehr als 350 Hotels überwachte, in denen ausländische Diplomaten und Beamte einzuchecken pflegen.
In den Snowden-Dokumenten wurden zwar keine bestimmten Buchungswebseiten genannt, aber ein ehemaliger Sicherheitsspezialist von Booking.com sagte der niederländischen Zeitung über sein Unternehmen, es wäre "verrückt, wenn es nicht auf dieser Liste stünde".
Mehr zum Thema - Wie US-Geheimdienste über soziale Medien die Wahlen in Venezuela beeinflussten