Im Januar 2024 ist es bei einem von der Lufthansa Group beauftragten Dienstleister zu einem unberechtigten Zugriff auf ein IT-System gekommen, mit dem Hotelbuchungen im Falle von Flugstreichungen vorgenommen werden. Entsprechend des Art. 34 Abs. 1 DSGVO informierten die jeweiligen Lufthansa Group Airlines alle betroffenen Fluggäste (sofern die Kontaktdaten in der Buchung hinterlegt waren) transparent über diesen Vorfall und die Maßnahmen, die die Lufthansa Group sofort nach Kenntnis ergriffen hat, um die Daten zu schützen. Trotz intensiver Maßnahmen konnte die Lufthansa Group nicht alle Betroffenen aufgrund von fehlenden bzw. inkorrekten Kontaktdaten erreichen. Um sicherzustellen, dass alle Betroffenen umfassend über den Vorfall informiert werden, sind nachfolgend alle relevanten Informationen aufgeführt.
Information gemäß Art. 34 Abs. 1 DSGVO über einen unberechtigten Datenzugriff im Januar 2024
Was ist passiert?
Ein unberechtigter Zugriff, der zu einem unberechtigten Datenabfluss geführt hat, ermöglichte den Zugang zu einer Anwendung unseres externen Dienstleisters für Hotelbuchungen für Übernachtungen im Zeitraum vom 2. November 2019 bis zum 22. Januar 2024. Die Anwendung unterstützt Gäste, die von einer Flugunregelmäßigkeit betroffen sind, darin, Übernachtungsgutscheine für Hotels auszustellen. Von dem unberechtigten Datenabfluss waren die nachfolgend aufgeführten Daten betroffen.
Welche Daten sind im Detail betroffen?
Betroffene Datensätze enthielten Vor- und Nachname, Geschlecht, Mobilfunknummer, Hinweis auf Reise mit Kleinkind sowie Flugnummer des gestrichenen Fluges, Gutscheinnummer und den Tag der Hotelbuchung. Es gibt keine Hinweise darauf, dass weitere Kundendaten entwendet oder kompromittiert wurden. Zahlungsdaten oder E-Mail-Adressen waren zu keinem Zeitpunkt für unbefugte Personen sichtbar.
Wie haben die Lufthansa Group Airlines reagiert?
Unmittelbar nach Entdeckung des Zugriffs wurde das betroffene IT-System des externen Dienstleisters unverzüglich deaktiviert und alle notwendigen technischen und organisatorischen Maßnahmen zur Behebung und zum Schutz der Kundendaten sowie der IT-Systeme implementiert. Ein weiterer unberechtigter Zugriff war damit nicht mehr möglich.
Konkret wurden folgende Maßnahmen ergriffen:
- Erneuerung aller Zugangsdaten
- Intensive Analyse von weiteren Zugriffsversuchen inkl. Sicherheitstests der Software
- Überprüfung auf Publikation von entwendeten Daten ohne auffällige Ergebnisse
- Verbesserung der Sicherheit des Installationsverfahrens von zukünftigen Softwareversionen
- Erhöhung der IT-Sicherheit durch automatisches Erkennen, Aufspüren und Entschärfen von Bedrohungen im System
- Sensibilisierung der Entwickler durch Schulungsmaßnahmen
Erst nach umfangreichen Sicherheitstests wurde das IT-System wieder in Betrieb genommen.
Was sind mögliche Folgen des Vorfalls?
Durch den unberechtigten Zugriff könnten Angreifer Kenntnis über den Tag der Hotelübernachtung aufgrund einer Flugabweichung erlangt haben. Zudem besteht ein Restrisiko, dass betroffene Fluggäste gegebenenfalls Phishing-Versuche Versuche via Textnachricht oder Telefonanruf erhalten.
Wie informiert Lufthansa Group?
Nach Kenntnisnahme des unbefugten Zugriffs und sofortiger Deaktivierung des Systems, haben IT-Spezialisten der Lufthansa Group, des beauftragten Dienstleisters sowie zusätzlicher spezialisierter IT Security Dienstleister die Untersuchung des unbefugten Zugriffs und die Umsetzung der Maßnahmen zum Schutz Ihrer Daten unverzüglich vorgenommen.
Ebenso hat die Lufthansa Group gemäß unserer internen als auch gesetzlichen Datenschutzvorschriften die zuständige Datenschutzbehörde informiert und gemeinsam eine Aufarbeitung und Beurteilung des Vorfalls vorgenommen.
Nachdem beide Prozesse inzwischen abgeschlossen wurden, konnten alle Betroffenen mit Kontaktdaten umfassend informiert werden.
Wie schützen die Lufthansa Group Airlines allgemein Kundendaten?
Der Schutz von personenbezogenen Daten hat für die Lufthansa Group höchste Priorität. Die Lufthansa Group setzt, abgesehen von konkreten Maßnahmen wie im vorliegenden Fall, kontinuierlich technische und organisatorische Maßnahmen ein, um Kundendaten zu sichern. Lufthansa Group Mitarbeitende, Partner und Dienstleister werden regelmäßig für das Thema Datenschutz und Datensicherheit sensibilisiert.
Die Lufthansa Group Airlines möchten hierfür um Entschuldigung bitten und hoffen, dass durch diesen Vorfall keine Unannehmlichkeiten entstanden sind.
Dieser Artikel dient ausschließlich der Information und erhöhten Aufmerksamkeit. Falls Sie weitere Informationen benötigen, wenden Sie sich bitte an: hoteltool.information@lufthansa-group.com