DatenschutzHackerangriffeCyberkriminalität

Carnival Corporation bestätigt Datenpanne mit fast 6 Millionen Betroffenen

Von CyberDeutsch Redaktion
Carnival Corporation bestätigt Datenpanne mit fast 6 Millionen Betroffenen
Zusammenfassung

Der Reisekonzern Carnival Corporation, betreiber der weltweit größten Kreuzfahrtflotte mit neun renommierten Reedereien und über 90 Schiffen, hat bestätigt, dass eine Datenpanne fast sechs Millionen Menschen betroffen hat. Die Cyberkriminellen der ShinyHunters-Gruppe nutzten einen Social-Engineering-Angriff, um Anfang April 2026 in die IT-Systeme des Unternehmens einzudringen und persönliche Daten wie Namen, Geburtsdaten, E-Mail-Adressen und Informationen zum Treueprogramm zu stehlen. Carnival teilte am Mittwoch seinen betroffenen Kunden mit, dass Unbekannte am 10. April durch die Täuschung eines Mitarbeiters Zugriff auf begrenzte Teile des IT-Systems erlangten. Für deutsche Nutzer, Unternehmen und Behörden ist dieser Vorfall besonders relevant, da Deutschland eine große Anzahl von Kreuzfahrt-Passagieren stellt und solche Datenpannen zeigen, dass auch große internationale Konzerne anfällig für Sicherheitslücken sind. Der Vorfall unterstreicht die wachsende Bedrohung durch professionalisierte Cyberkriminelle und verdeutlicht, wie wichtig robuste Sicherheitsmaßnahmen und Schulungen gegen Social Engineering sind – sowohl für internationale Konzerne als auch für deutsche Organisationen in allen Branchen.

Carnival Corporation, mit über 160.000 Mitarbeitern und einem jährlichen Umsatz von über 26 Milliarden Dollar einer der weltweit größten Reisekonzerne, bestätigt nun offiziell den Cyberversttoß. Das Unternehmen setzte mehr als 5,99 Millionen Kunden darüber in Kenntnis, dass Betrüger deren persönliche Informationen gestohlen haben. Wie das Unternehmen in seinen Benachrichtigungsschreiben erklärte, gelang es einem Angreifer am 10. April 2026, mittels Social Engineering einen Mitarbeiter zu täuschen und sich Zugang zu begrenzten Teilen der IT-Infrastruktur zu verschaffen. Das Sicherheitsteam entdeckte die unbefugte Aktivität erst am 14. April und sperrte den Zugriff sofort ab. Am 22. April stellte man fest, dass Daten kopiert worden waren.

Die Hackergruppe ShinyHunters reklamierte die Verantwortung für sich, gab aber an, über 8,7 Millionen Datensätze und terabyteweise interne Unternehmenskommunikation erbeutet zu haben. Der Datenleck-Analysedienst Have I Been Pwned bestätigte, dass die gestohlenen Daten insbesondere Informationen des Holland-America-Treueprogramms – einer weiteren Marke unter Carnival – enthielten, darunter Namen, Geburtsdaten, Geschlechtsangaben und Loyalitätsstatus-Daten.

Für deutsche Betroffene ist das Incident besonders relevant, weil AIDA Cruises – eine der beliebtesten Kreuzfahrtlinien im deutschsprachigen Raum – zur Carnival-Gruppe gehört. Das BSI empfiehlt betroffenen Nutzern, ihre Daten zu überwachen und auf verdächtige Aktivitäten zu achten.

ShinyHunters hat sich in den letzten Monaten als aggressive Cyberkriminelle-Gruppe etabliert. Das FBI warnte Opfer der Gruppe zwei Wochen zuvor, keine Lösegelderpressungen zu bezahlen – eine Zahlung garantiere nicht, dass die Daten nicht weiterverkauft oder zu weiteren Erpressungsversuchen verwendet werden.

Carnival ist kein Unbekannter in der Datenpanne-Statistik: Das Unternehmen meldete bereits Sicherheitsvorfälle in März 2020 und Juni 2021, bei denen Kundendaten sowie Informationen von Mitarbeitern und Crew-Mitgliedern kompromittiert wurden. Ransomware-Gangs drangen auch im August und Dezember 2020 ein und stahlen persönliche Daten.

Ähnliche Artikel