Marriott International: Benachrichtigung über einen Vorfall

Diese Website enthält Informationen zu dem Vorfall, Antworten auf Fragen sowie Maßnahmen, die von den Gästen unternommen werden können.

31. März 2020 (aktualisiert am 29. Juni 2020)

Beschreibung des Vorfalls

Hotels, die unter den Marken von Marriott betrieben bzw. als Franchise-Unternehmen geführt werden, nutzen eine Anwendung, über die den Gästen in Hotels Dienstleistungen angeboten werden. Ende Februar 2020 stellten wir fest, dass die Zugangsdaten zweier Mitarbeiter eines Franchise-Unternehmens möglicherweise dazu genutzt wurden, auf eine unerwartete Menge an Daten zu unseren Gästen zuzugreifen. Nach unserer Kenntnis begannen diese Aktivitäten Mitte Januar 2020. Sobald das Problem bekannt wurde, haben wir sichergestellt, dass die Zugangsdaten deaktiviert wurden, umgehend eine Untersuchung eingeleitet, verstärkte Überwachungsmaßnahmen implementiert und Ressourcen zur Information und Unterstützung unserer Gäste arrangiert. Zwischenzeitlich konnte Marriott eine geringe Anzahl ähnlicher Aktivitäten im Vorfeld identifizieren, bei denen die Zugangsdaten zweier weiterer Mitarbeiter eines anderen Hotels im Portfolio von Marriott im selben Land involviert waren. Als Reaktion darauf haben wir ähnliche Maßnahmen zur Eindämmung und Behebung ergriffen und jetzt abgeschlossen.


Die Untersuchung von Marriott ist nun abgeschlossen. Es gibt keinen Grund zu der Annahme, dass Passwörter oder PINs für das Marriott Bonvoy-Konto, Zahlungskarteninformationen, Passinformationen, Personalausweisdaten oder Führerscheinnummern betroffen waren.


Wir glauben, dass folgende Informationen betroffen sein könnten. Es lagen jedoch nicht immer alle Daten für jeden Gast vor:

  • Kontaktangaben (z. B. Name, Anschrift, E-Mail-Adresse und Telefonnummer)
  • Kontoinformationen für unser Treueprogramm (z. B. Kontonummer und Punktestand, jedoch keine Passwörter)
  • Sonstige persönliche Angaben (z. B. Firma, Geschlecht sowie Geburtsmonat und -tag)
  • Partnerschaften und Zugehörigkeiten (z. B. Verknüpfung mit Vielfliegerprogrammen und Kundennummern)
  • Präferenzen (z. B. Präferenzen für den Aufenthalt und das Zimmer sowie Kommunikationssprache)

Benachrichtigung der Gäste
Seit 31. März 2020 informiert Marriott per E-Mail über den Vorfall.

Selbstbedienungs-Portal
Wir haben für unsere Gäste ein Selbstbedienungs-Portal eingerichtet, über das sie feststellen können, ob ihre Daten von dem Vorfall betroffen sind und wenn ja, um welche Art von Informationen es sich handelt. Sie erreichen dieses Portal hier.

Zusätzliche Callcenter-Kapazität

Wir haben zusätzliche Callcenter-Kapazitäten eingerichtet, wo Gäste weitere Informationen erhalten können. Sie sind unter den folgenden Nummern erreichbar:

Standort Nummer
USA/Kanada +1-800-598-9655
Australien 1800 280 257
Frankreich 08055 40130
Deutschland 0800 664 44 14
Vereinigtes Königreich 0800 345 70 18
Alle anderen Länder (u. U. fallen Gebühren an) +1-402-952-5356

Die Callcenter werden von Montag bis Freitag während der normalen Geschäftszeiten in den USA von 8:00 bis 20:00 EDT (13:00 bis 1:00 Uhr MEZ) besetzt sein. Es wird Unterstützung auf Englisch und Französisch angeboten. Dolmetschdienste sind auf Anfrage erhältlich.

 

Zusätzliche Unterstützung für Gäste
Zur Unterstützung unserer Gäste haben wir zusätzlich folgende Maßnahmen ergriffen:

  • Sofern verfügbar, bietet Marriott Ihnen die Möglichkeit, sich wie nachfolgend beschrieben 1 Jahr lang kostenlos bei einem Überwachungsdienst für personenbezogene Daten anzumelden.
  • Falls Sie Mitglied bei Marriott Bonvoy sind und wir festgestellt haben, dass Ihre Daten betroffen sind, beachten Sie bitte Folgendes:
    • Ihr bisheriges Passwort für Marriott Bonvoy wurde deaktiviert. Wenn Sie sich unter Marriott.de bei Ihrem Marriott Bonvoy-Konto anmelden, werden Sie aufgefordert, Ihr Passwort zu ändern.
    • Zudem werden Sie aufgefordert, die Multi-Faktor-Authentifizierung zu aktivieren, um den Zugriff auf Ihr Konto noch besser zu schützen.
  • Wir haben die zuständigen Behörden benachrichtigt und unterstützen deren Ermittlungen.

Kostenlose Registrierung bei IdentityWorks

Sofern verfügbar, bietet Marriott betroffenen Gästen die Möglichkeit, sich 1 Jahr lang kostenlos bei IdentityWorks, einem Überwachungsdienst für personenbezogene Daten, zu registrieren. Bereitgestellt wird dieser Dienst durch Experian, einem Anbieter für globale Daten- und Informationsdienste. Es handelt sich hierbei um einen optionalen Dienst, mit dem Sie Informationen identifizieren können, die von dem Dienst überwacht werden sollen. In welchem Ausmaß Ihre Daten bei der Überwachung berücksichtigt werden sollen, liegt ganz bei Ihnen. Alle Informationen, die Sie Experian zur Verfügung stellen, werden nur von Experian und ausschließlich für den Überwachungsdienst verwendet.

Aus regulatorischen und anderen Gründen sind IdentityWorks und ähnliche Produkte nicht in allen Ländern bzw. Regionen verfügbar. Aktuell ist IdentityWorks in Australien, Brasilien, Kanada, Deutschland, Hongkong, Indien, Irland, Italien, Mexiko, Neuseeland, Polen, Singapur, Spanien, Großbritannien und den USA verfügbar. Die Online-Registrierung ist auf Englisch, Französisch, Französisch (Kanada), Deutsch, Italienisch, Portugiesisch und Spanisch möglich.

Gehen Sie wie folgt vor, um Ihre personenbezogenen Daten durch IdentityWorks überwachen zu lassen:

  • Registrieren Sie sich bis spätestens 30. Juni 2020 (nach diesem Datum verliert Ihr Code seine Gültigkeit).
  • Besuchen Sie die Website von Experian IdentityWorks, um sich zu registrieren:
  • Geben Sie den Aktivierungscode ein:
    • Sie finden Ihren Aktivierungscode in der E-Mail-Benachrichtigung oder können ihn über das Selbstbedienungs-Portal abrufen.
    • Kunden außerhalb der USA: Sie finden Ihren Aktivierungscode in der E-Mail-Benachrichtigung oder können ihn über das Selbstbedienungs-Portal abrufen.

Eine Kreditkarte ist für die Registrierung bei Experian IdentityWorks nicht erforderlich.



Häufig gestellte Fragen

Die nachfolgenden FAQs werden im Laufe der Zeit evtl. ergänzt.

Beschreibung des Vorfalls

Hotels, die unter den Marken von Marriott betrieben bzw. als Franchise-Unternehmen geführt werden, nutzen eine Anwendung, über die den Gästen in Hotels Dienstleistungen angeboten werden. Ende Februar 2020 stellten wir fest, dass die Zugangsdaten zweier Mitarbeiter eines Franchise-Unternehmens möglicherweise dazu genutzt wurden, auf eine unerwartete Menge an Daten zu unseren Gästen zuzugreifen. Nach unserer Kenntnis begannen diese Aktivitäten Mitte Januar 2020. Sobald das Problem bekannt wurde, haben wir sichergestellt, dass die Zugangsdaten deaktiviert wurden, umgehend eine Untersuchung eingeleitet, verstärkte Überwachungsmaßnahmen implementiert und Ressourcen zur Information und Unterstützung unserer Gäste arrangiert. Zwischenzeitlich konnte Marriott eine geringe Anzahl ähnlicher Aktivitäten im Vorfeld identifizieren, bei denen die Zugangsdaten zweier weiterer Mitarbeiter eines anderen Hotels im Portfolio von Marriott im selben Land involviert waren. Als Reaktion darauf haben wir ähnliche Maßnahmen zur Eindämmung und Behebung ergriffen und jetzt abgeschlossen.

Auf welche Daten wurde zugegriffen?

Es gibt keinen Grund zu der Annahme, dass Passwörter oder PINs für das Marriott Bonvoy-Konto, Zahlungskarteninformationen, Passinformationen, Personalausweisdaten oder Führerscheinnummern betroffen waren.


Wir glauben, dass folgende Informationen betroffen sein könnten. Es lagen jedoch nicht immer alle Daten für jeden Gast vor:

  • Kontaktangaben (z. B. Name, Anschrift, E-Mail-Adresse und Telefonnummer)
  • Kontoinformationen für unser Treueprogramm (z. B. Kontonummer und Punktestand, jedoch keine Passwörter)
  • Sonstige persönliche Angaben (z. B. Firma, Geschlecht sowie Geburtsmonat und -tag)
  • Partnerschaften und Zugehörigkeiten (z. B. Verknüpfung mit Vielfliegerprogrammen und Kundennummern)
  • Präferenzen (z. B. Präferenzen für den Aufenthalt und das Zimmer sowie Kommunikationssprache)

Wenn Sie nicht sicher sind, ob Ihre Daten von dem Vorfall betroffen sind, haben wir ein Selbstbedienungs-Portal eingerichtet, über das Sie feststellen können, ob dies der Fall ist und um welche Art von Informationen es sich handelt. Sie erreichen dieses Portal hier.

Wie haben Sie auf den Vorfall reagiert?

Sobald das Problem bekannt wurde, haben wir sichergestellt, dass die Zugangsdaten deaktiviert wurden, umgehend eine Untersuchung eingeleitet, verstärkte Überwachungsmaßnahmen implementiert und Ressourcen zur Information und Unterstützung unserer Gäste arrangiert. Interne und externe Sicherheitskräfte haben hart daran gearbeitet, den Vorfall zu untersuchen, zusätzliche Sicherheitsmaßnahmen zu implementieren und die gefundenen Probleme zu beheben.

 

Falls Sie Mitglied bei Marriott Bonvoy sind und festgestellt wurde, dass Ihre Daten betroffen sind, beachten Sie außerdem bitte Folgendes:

  • Ihr bisheriges Bonvoy-Passwort wurde deaktiviert. Wenn Sie sich unter Marriott.de bei Ihrem Marriott Bonvoy-Konto anmelden, werden Sie aufgefordert, Ihr Passwort zu ändern.
  • Zudem werden Sie gebeten, die Multi-Faktor-Authentifizierung zu aktivieren, um den Zugriff auf Ihr Konto noch besser zu schützen.

Waren meine Daten von dem Vorfall betroffen?

Es wurde ein Selbstbedienungs-Portal eingerichtet, über das unsere Gäste feststellen können, ob ihre Daten von dem Vorfall betroffen sind und wenn ja, um welche Art von Informationen es sich handelt. Sie erreichen dieses Portal hier.

Waren mein Passwort oder meine PIN für Marriott Bonvoy betroffen?

Nein. Es gibt keinen Grund zu der Annahme, dass es sich bei den betroffenen Daten um Passwörter oder PINs für Marriott Bonvoy-Konten handelt. Wir empfehlen Ihnen aber trotzdem, entsprechende Maßnahmen zu ergreifen, um sich und Ihr Konto zu schützen. Nähere Informationen dazu finden Sie im Abschnitt „Informationen zu weiteren Maßnahmen“.

 

Waren Zahlungskarten betroffen?

Nein. Es gibt keinen Grund zu der Annahme, dass sich unter den betroffenen Daten Informationen zu Zahlungskarten befanden.

 

Waren Führerscheindaten oder Personalausweisnummern betroffen?

Nein. Es gibt keinen Grund zu der Annahme, dass sich unter den betroffenen Daten Führerscheindaten oder Personalausweisnummern befanden.


Waren Passinformationen betroffen?

Nein. Es gibt keinen Grund zu der Annahme, dass sich unter den betroffenen Daten Passinformationen befanden.

 

Wie viele Gäste waren von dem Vorfall betroffen?

Wir gehen davon aus, dass die Daten von ca. 5,5 Millionen Gästen betroffen sind.

 

Wie werden die betroffenen Gäste von Marriott unterstützt?

Die betroffenen Gäste werden über mögliche Maßnahmen informiert, u. a. die Registrierung beim Online-Datenüberwachungsdienst IdentityWorks. Zudem tun wir unser Bestes, die Fragen unserer Gäste über eine spezielle Website sowie über zusätzliche Callcenter-Kapazitäten zu beantworten.

Woher weiß ich, dass die E-Mail tatsächlich von Marriott kommt?

Wir möchten, dass Sie darauf vertrauen können, dass die erhaltene E-Mail von Marriott stammt. Die E-Mail wurde über die Adresse marriott@email-marriott.com verschickt. Dies ist das standardmäßige E-Mail-Konto für die Kommunikation mit unseren Gästen.

 

Bei anderen Unternehmen ist es in der Vergangenheit jedoch auch schon vorgekommen, dass böswillige Personen die Gelegenheit genutzt haben, um andere dazu zu verleiten, persönliche Informationen bereitzustellen, indem sie Links zu gefälschten Websites (Phishing) verwenden oder sich als jemand ausgeben, dem sie vertrauen (Social Engineering). Bitte beachten Sie, dass die E-Mail, die Sie von uns erhalten, keine Anhänge enthält oder Informationen von Ihnen verlangt, und dass etwaige Links Sie nur zu einer Website unter der Marke von marriott.com zurückführen.

 

Was ist IdentityWorks, und wie kann ich mich registrieren?

IdentityWorks ist ein Dienst zur Überwachung personenbezogener Daten, der Ihnen ein Jahr lang kostenlos von Marriott angeboten wird. Bereitgestellt wird dieser Dienst durch Experian, einem Anbieter für globale Daten- und Informationsdienste. Es handelt sich hierbei um einen optionalen Dienst, mit dem die Gäste Informationen identifizieren können, die von dem Dienst überwacht werden sollen. In welchem Ausmaß Ihre Daten bei der Überwachung berücksichtigt werden sollen, liegt ganz bei Ihnen. Alle Informationen, die Sie Experian zur Verfügung stellen, werden nur von Experian und ausschließlich für den Überwachungsdienst verwendet.

 

Aus regulatorischen und anderen Gründen sind IdentityWorks und ähnliche Produkte nicht in allen Ländern bzw. Regionen verfügbar. Aktuell ist IdentityWorks in Australien, Brasilien, Kanada, Deutschland, Hongkong, Indien, Irland, Italien, Mexiko, Neuseeland, Polen, Singapur, Spanien, Großbritannien und den USA verfügbar. Die Online-Registrierung ist in folgenden Sprachen möglich: Deutsch, Englisch, Französisch, Französisch (Kanada), Italienisch, Portugiesisch und Spanisch.

 

Gehen Sie wie folgt vor, um Ihre personenbezogenen Daten durch IdentityWorks überwachen zu lassen:

  • Registrieren Sie sich bis spätestens 30. Juni 2020 (nach diesem Datum verliert Ihr Code seine Gültigkeit).
  • Besuchen Sie die Website von Experian IdentityWorks, um sich zu registrieren:
  • Geben Sie den Aktivierungscode ein:
    • Kunden in den USA: Sie finden Ihren Aktivierungscode in der E-Mail-Benachrichtigung oder können ihn über das Selbstbedienungs-Portal abrufen.
    • Kunden außerhalb der USA: Sie finden Ihren Aktivierungscode in der E-Mail-Benachrichtigung oder können ihn über das Selbstbedienungs-Portal abrufen.

Eine Kreditkarte ist für die Registrierung bei Experian IdentityWorks nicht erforderlich.

 

Informationen zu weiteren Maßnahmen

Um zu verhindern, dass Ihre Daten für Phishing- oder Social-Engineering-Angriffe missbraucht oder den Versuch genutzt werden, auf die Punkte in Ihrem Marriott Bonvoy-Konto zuzugreifen und diese zu verwenden, können Sie zusätzlich zur Registrierung bei IdentityWorks eine Reihe von Vorsichtsmaßnahmen treffen:

 

  • Falls Sie ein Marriott Bonvoy-Konto besitzen aber noch keinen Online-Zugriff aktiviert und ein Passwort eingerichtet haben, sollten Sie dies umgehend tun.
  • Halten Sie sich bei der Passwortverwaltung an die empfohlenen Methoden. So sollte das Passwort beispielsweise keineswegs leicht zu erraten sein und auch nicht für mehrere Konten verwendet werden.
  • Achten Sie bei Ihrem Marriott Bonvoy-Konto auf Aktivitäten, die nicht von Ihnen stammen, und melden Sie sich bei uns, wenn Ihnen verdächtige Aktivitäten auffallen.
  • Falls festgestellt wurde, dass Ihre Daten von dem Vorfall betroffen waren, werden Sie aufgefordert, Ihr Passwort zurückzusetzen und die Multi-Faktor-Authentifizierung zu aktivieren, um den Zugriff auf Ihr Konto noch besser zu schützen.
  • Bei einem Anruf oder einer anderen Art der Kontaktaufnahme durch jemanden, der vorgibt, für Marriott oder ein anderes Hotel der Marke Marriott zu arbeiten, geben Sie keine Informationen preis – vor allem keine Zahlungskarteninformationen, Bankdaten, Informationen zu Online-Konten oder Passwörter. Marriott wird Sie niemals telefonisch oder in einer E-Mail nach solchen Informationen fragen.
  • Seien Sie wachsam gegenüber potenziellen „Phishing“-E-Mails, die scheinbar von Marriott-E-Mail-Adressen gesendet wurden, aber nicht von diesen stammen.

Give the Gift of Points

Give the Gift of Time

Give the Gift of Gear

Give the Gift of Travel