Datenleck der Superlative: Wie Hacker beim Aida-Mutterkonzern Millionen Kunden ausspähten

Es ist ein digitaler Albtraum von gewaltigem Ausmaß: Beim amerikanischen Kreuzfahrtgiganten Carnival Corporation, zu dem auch die in Rostock beheimatete Reederei Aida Cruises gehört, haben unbekannte Angreifer interne Systeme infiltriert und die persönlichen Daten von rund sechs Millionen Reisenden kopiert. Während die deutschen Urlauber von ihren Traumkreuzfahrten träumen, plündern Cyberkriminelle im Hintergrund ungestört die sensibelsten Informationen aus den Konzernservern. Willkommen in der schönen neuen digitalen Welt, in der selbst ein Milliardenkonzern nicht in der Lage zu sein scheint, die Daten seiner Kunden zu schützen.

Ein Mitarbeiter, ein Klick – und das Tor stand offen

Wie kam es zu diesem Desaster? Die Antwort ist erschreckend banal. Bereits am 18. April sollen sich die Angreifer über das Konto eines einzelnen Mitarbeiters Zugang verschafft haben. Vier Tage – ganze vier Tage! – vergingen, ehe der Konzern überhaupt bemerkte, dass in seinen Systemen etwas faul war. Der Konzern mit Hauptsitz im sonnigen Miami spricht von einem sogenannten Social-Engineering-Angriff. Im Klartext: Statt komplizierter technischer Tricks reichte es offenbar aus, einen gutgläubigen Beschäftigten geschickt zu täuschen, um an dessen Zugangsdaten zu gelangen.

Die Schwachstelle saß nicht im Code, sondern am Schreibtisch – der Mensch als Einfallstor der modernen Cyberkriminalität.

Welche Daten erbeutet wurden – und warum das brisant ist

Die Auswertung des veröffentlichten Datensatzes durch den bekannten Dienst „Have I Been Pwned“ liest sich wie eine Horrorliste für jeden datenschutzbewussten Bürger. Erbeutet wurden demnach:

• Namen und Geburtsdaten
• E-Mail-Adressen und geografische Angaben
• Geschlecht und persönliche Profildaten
• Passnummern und Führerscheindaten
• Informationen aus Treue- und Bonusprogrammen

Carnival beeilte sich mitzuteilen, es gebe keine Anhaltspunkte dafür, dass personenbezogene Daten deutscher Aida-Kunden betroffen seien. Doch wer wollte sich auf solche Beschwichtigungen verlassen? Der Konzern nannte gleichzeitig nicht, welche Tochterunternehmen oder Länder konkret betroffen sind – ein Schweigen, das vielsagend ist. Für US-Bürger immerhin bietet man großzügig zwei Jahre kostenlosen Kredit- und Identitätsschutz an. Der deutsche Kunde darf sich derweil seine eigenen Gedanken machen.

Die Erpresser geben sich zu erkennen

Zu der Tat soll sich Medienberichten zufolge die berüchtigte Erpressergruppe ShinyHunters bekannt haben. Diese behauptet, deutlich mehr interne Daten kopiert zu haben, als der Konzern bislang zugibt. Carnival hat diese Behauptung bisher nicht offiziell bestätigt – was angesichts der bisherigen Informationspolitik wenig überraschen dürfte.

Und es ist beileibe nicht das erste Mal, dass dieser Konzern ins Visier der Hacker gerät. In den vergangenen Jahren meldete Carnival mehrere Angriffe, bei denen persönliche und teilweise finanzielle Daten von Kunden und Beschäftigten in falsche Hände gerieten. Bereits 2020 waren Aida Cruises und Costa Crociere Opfer eines Hackerangriffs, bei dem sogar die Bordsysteme lahmgelegt wurden und mehrere Schiffsreisen kurzfristig abgesagt werden mussten. Man fragt sich unwillkürlich: Hat dieser Konzern aus den Fehlern der Vergangenheit nichts gelernt?

Was uns dieser Vorfall lehrt

Dieser Fall offenbart schonungslos die Verwundbarkeit unserer durchdigitalisierten Welt. Während Politik und Wirtschaft uns predigen, immer mehr Lebensbereiche ins Digitale zu verlagern – von der elektronischen Patientenakte bis zum digitalen Euro –, häufen sich die Datenlecks in beängstigendem Tempo. Jeder, der seine sensiblen Daten irgendeinem Konzern anvertraut, wird letztlich zum Spielball von Cyberkriminellen. Es ist ein Mahnruf, das Vertrauen in rein digitale Strukturen zu hinterfragen.

Wer in unsicheren Zeiten nach echter Beständigkeit sucht, der findet sie nicht in flüchtigen Datensätzen oder digitalen Versprechen, sondern in handfesten, physischen Werten. Gold und Silber lassen sich nicht durch einen getäuschten Mitarbeiter kopieren, nicht durch eine Erpressergruppe entwenden und nicht durch einen Serverausfall vernichten. Sie liegen in physischer Form sicher im eigenen Tresor – greifbar, krisenfest und unabhängig von jeder digitalen Infrastruktur. Gerade deshalb gehören Edelmetalle als solides Fundament in jedes breit gestreute und durchdachte Vermögensportfolio.

Hinweis: Dieser Artikel stellt keine Anlageberatung dar. Die hier geäußerten Einschätzungen entsprechen der Meinung unserer Redaktion und den uns vorliegenden Informationen. Jeder Anleger ist verpflichtet, eigenständig zu recherchieren und trägt die Verantwortung für seine Anlageentscheidungen selbst. Bei rechtlichen Fragen zum Datenschutz konsultieren Sie bitte einen entsprechenden Fachberater.