FTC ordnet Marriott und Starwood an, Datenschutzmaßnahmen zu verbessern

Die Anordnung der Federal Trade Commission gegen Marriott: Ein Vorstoß für bessere digitale Sicherheit

Am vergangenen Freitag kündigte die Federal Trade Commission (FTC) einen bedeutenden Schritt zum Schutz der Verbraucherdaten an, indem sie eine Anordnung finalisierte, die Marriott International und seine Tochtergesellschaft Starwood Hotels verpflichtet, ihre digitalen Sicherheitsmaßnahmen zu verbessern. Diese Entscheidung erfolgt im Anschluss an mehrere Sicherheitsverletzungen, die sensible Kundeninformationen gefährdeten.

Die Verletzungen: Ein Zeitrahmen der Sicherheitsfehler

Die Sicherheitsprobleme von Marriott begannen mit drei bedeutenden Datenverletzungen, die 2015, 2018 und 2020 festgestellt wurden und über 344 Millionen Kunden weltweit betrafen. Diese Vorfälle führten zur Offenlegung kritischer Daten, einschließlich Passdaten, Zahlungskarteninformationen und anderen persönlichen Daten. Besonders zu erwähnen ist:

• Die kürzeste Verletzung dauerte alarmierende 14 Monate vor der Entdeckung.
• Die längste Verletzung sah vor, dass Angreifer fast vier Jahre ab 2018 unbefugten Zugriff hielten.

Neue Sicherheitsmaßnahmen und -richtlinien

Als Reaktion auf diese Sicherheitsverletzungen haben sich Marriott und Starwood verpflichtet, verbesserte Sicherheitsprotokolle umzusetzen, einschließlich:

• Einrichtungen von Richtlinien zur Speicherung von Kundeninformationen nur so lange wie notwendig.
• Veröffentlichung eines Links, der es US-Kunden ermöglicht, die Löschung von Informationen, die mit ihren E-Mail- oder Treuekonten verbunden sind, zu beantragen.

Solche Maßnahmen stellen einen entscheidenden Wandel in der Art und Weise dar, wie die Hotelbranche mit Kundeninformationen umgeht.

Die wachsende Bedrohung für die Hotelbranche

Hotels sind zunehmend zu Zielscheiben für Cyberkriminelle geworden. Tatsächlich führte ein Ransomware-Angriff im letzten Jahr auf MGM Resorts dazu, dass Gäste und die FTC-Vorsitzende Lina Khan in der Warteschlange festsaßen, während das Resort wieder zu Stift und Papier zurückkehrte, um Check-ins zu verwalten.

Durchsetzung der FTC und zukünftige Compliance

Die FTC beschuldigte Marriott und Starwood, Verbraucher durch falsche Behauptungen über „angemessene und angemessene Datensicherheitspraktiken“ zu täuschen. Die Unternehmen wurden kritisiert für:

• Die Implementierung schwacher Passwort- und Firewall-Protokolle.
• Die Nichterfüllung von Aktualisierungen veralteter Software und Systeme.

Im Rahmen der Anordnung ist Marriott untersagt, falsche Angaben zu seinen Datenverarbeitungspraktiken zu machen, einschließlich der Art und Weise, wie es Kundendaten erhebt, verwaltet und löscht. Diese Anforderungen bleiben für 20 Jahre in Kraft.

Zusätzlich muss das Unternehmen Compliance-Aufzeichnungen führen und sich FTC-Inspektionen unterziehen, um die Verantwortung für seine Datenschutzmaßnahmen sicherzustellen.

Die Einigung und der Verbraucherschutz

Am selben Tag, an dem die FTC ihre Anklagen offenbarte, kündigte die Staatsanwaltschaft von Connecticut an, dass Marriott einer Einigung in Höhe von 52 Millionen Dollar im Zusammenhang mit den Verletzungen zugestimmt hatte. Diese Einigung unterstreicht die schweren Konsequenzen, mit denen Unternehmen konfrontiert werden können, wenn sie versäumen, Verbraucherdaten zu schützen.

Zusammenfassend lässt sich sagen, dass, da die digitale Sicherheit weiterhin ein drängendes Problem in verschiedenen Branchen darstellt, Marriotts Fall als Erinnerung an die dringende Notwendigkeit dient, dass Unternehmen den Schutz von Kundendaten priorisieren und robuste Sicherheitsmaßnahmen umsetzen.