HackerangriffeDatenschutzCyberkriminalität

Carnival-Datenpanne: 6 Millionen Kunden betroffen – Social Engineering als Einfallstor

Von CyberDeutsch Redaktion
Carnival-Datenpanne: 6 Millionen Kunden betroffen – Social Engineering als Einfallstor
Zusammenfassung

Der Kreuzfahrtkonzern Carnival Corporation hat knapp 6 Millionen Kunden benachrichtigt, deren persönliche Daten bei einem Datenleck gestohlen wurden. Der Vorfall wurde am 14. April entdeckt, nachdem Hacker über Social Engineering Zugang zu einem Mitarbeiterkonto erhielten und von dort aus Unternehmenssysteme kompromittierten. Die gestohlenen Informationen umfassen je nach Person Namen, Adressen, Geburtsdaten, E-Mail-Adressen, Telefonnummern und Ausweisdaten. Die Hackergruppe ShinyHunters übernahm die Verantwortung und veröffentlichte die Daten Ende April. Für deutsche Nutzer ist dieser Vorfall relevant, da viele deutsche Bürger als Carnival-Kunden oder über die Holland-America-Loyalitätsprogramme betroffen sein könnten. Das Incident verdeutlicht ein grundsätzliches Risiko beim Datenschutz in der Tourismusbranche und zeigt, wie Social-Engineering-Angriffe zu massiven Datenverlusten führen können. Besonders bemerkenswert ist, dass Carnival bereits mehrfach Opfer von Cyberangriffen wurde – 2019, 2020 und 2021 – was auf persistente Sicherheitsmängel hindeutet. Deutsche Betroffene sollten aufgrund der freigegebenen persönlichen Daten verstärkt auf Identitätsdiebstahl und betrügerische Aktivitäten achten.

Carnival Corporation, einer der weltweit größten Betreiber von Kreuzfahrtschiffen, steht nach einer umfangreichen Datenpanne unter Druck. Wie das Unternehmen mitteilte, wurden die persönlichen Daten von etwa 5,995,277 Personen kompromittiert. Die genaue Anzahl der betroffenen Kunden variiert je nach Quelle – das Leak-Portal HaveIBeenPwned analysierte die durchgesickerten Datensätze und kam auf etwa 7,5 Millionen betroffene Konten aus dem Mariner-Society-Programm von Holland America.

Der Angriffsvector war überraschend klassisch: Cyberkriminelle nutzten Social Engineering, um Zugriff auf ein Mitarbeiterkonto zu erlangen. Mit diesen Anmeldedaten penetrierten sie Carnival-Systeme und exfiltrierte sensible Dateien. Die betroffenen Daten umfassen Namen, Adressen, Geburtsdaten, E-Mail-Adressen, Telefonnummern und Regierungsausweisdaten – also eine komplette Identitätszeichnung für Identitätsdiebstahl.

Die Hacker-Gruppe ShinyHunters reklamierte die Attacke für sich. Sie behauptete, 8,7 Millionen Datensätze erbeutet zu haben, und veröffentlichte diese Ende April auf ihrer Leak-Website. Dies macht die Situation für Millionen von Kunden kritisch, da ihre sensiblen Informationen öffentlich verfügbar sind.

Das ist nicht das erste Mal, dass Carnival in Sicherheitsmeldungen auftaucht. Seit 2020 verzeichnet das Unternehmen eine Serie von Vorfällen: Ein Hack 2019, ein Ransomware-Angriff 2020 und erneut ein Hackerangriff im März 2021. Dies deutet auf strukturelle Sicherheitslücken hin.

Experten betonen, dass Unternehmen Social Engineering als zentrale Sicherheitsherausforderung ernst nehmen müssen. Der CISO von SOCRadar, Ensar Seker, empfiehlt: Phishing-resistente Multi-Faktor-Authentifizierung, stärkere Identitätsprüfungsprozesse, Conditional Access Policies, Privileged Access Segmentation und regelmäßige Red-Team-Simulationen. Besonders wichtig ist kontinuierliches Behavioral Monitoring, um verdächtige Aktivitäten früh zu erkennen.

Für deutsche Nutzer und Unternehmen ist dies ein Alarmsignal. Auch wenn Carnival nicht direkt ein deutsches Unternehmen ist, können deutsche Kunden betroffen sein. Im Fall einer Meldepflicht nach DSGVO müssen Unternehmen Betroffene unverzüglich benachrichtigen. Carnival bietet immerhin 24 Monate kostenlose Kreditüberwachung an – ein wichtiger Schritt zur Schadenbegrenzung.

Ähnliche Artikel