Das Thayer Hotel in West Point, ein Wahrzeichen der Gemeinschaft der US-Militärakademie, hat eine Datenschutzverletzung gemeldet, bei der persönliche Daten von über 33.000 Personen kompromittiert wurden. Das Hotel entdeckte den Einbruch im September 2025 und hat seitdem mit Hilfe von Cybersicherheitsspezialisten eine forensische Untersuchung durchgeführt.
Laut Benachrichtigungsschreiben, die bei den Aufsichtsbehörden eingereicht wurden, stellte das Hotel am 26. September einen unbefugten Zugriff auf sein Netzwerk fest. Die Untersuchung ergab, dass sich Angreifer Zugang zu Systemen mit Kundendaten verschafft hatten, obwohl nicht bestätigt wurde, ob die Daten kopiert oder entfernt wurden. Von der Sicherheitsverletzung waren etwa 33.053 Personen betroffen, darunter Hotelgäste, Mitarbeiter und Besucher.
Zu den kompromittierten Daten gehören Namen, die mit von der Regierung ausgestellten Identifikationsnummern wie Führerscheinen, Pässen und staatlichen Ausweisen verknüpft sind. In einer kleinen Anzahl von Fällen wurden auch Sozialversicherungsnummern offengelegt. Das Hotel sagte, es habe sofort Maßnahmen ergriffen, um seine Systeme zu sichern und interne Anmeldeinformationen zurückzusetzen, nachdem das Eindringen entdeckt worden war.
Das Thayer Hotel befindet sich in der Nähe der US-Militärakademie und beherbergt häufig aktuelle und ehemalige Militärangehörige, Beamte und Familien von Kadetten. Die Anwesenheit solcher Gäste gibt Anlass zur Befürchtung, dass offengelegte Daten für gezielten Betrug oder Phishing verwendet werden könnten. Sicherheitsexperten warnen davor, dass Informationen wie Pass- und Lizenznummern für Identitätsdiebstahl oder Social-Engineering-Versuche ausgenutzt werden können.
Das Hotel sagte, es arbeite eng mit Strafverfolgungs- und Cybersicherheitsberatern zusammen, um seine Systeme zu stärken und zukünftige Vorfälle zu verhindern. Den Betroffenen wurde ein Jahr lang Identitätsschutz und Kreditüberwachung angeboten. Experten weisen jedoch darauf hin, dass die Offenlegung dauerhafter Identifikatoren wie Pässe und Sozialversicherungsnummern anhaltende Risiken birgt, die über den Überwachungszeitraum hinausgehen.
Langfristige Sicherheitsbedenken für das Gastgewerbe und militärisch verknüpfte Daten
Die Sicherheitsverletzung im Thayer Hotel unterstreicht die Verwundbarkeit von Hospitality-Anbietern, die mit sensiblen Gästedaten umgehen, insbesondere solchen, die Regierungs- und Militärgemeinden bedienen. Cyberkriminelle haben es oft auf Hotels abgesehen, weil sie detaillierte persönliche Daten speichern und sich bei Reservierungen und Abrechnungen häufig auf Systeme von Drittanbietern verlassen.
Analysten sagen, dass Hospitality-Netzwerke aufgrund der Menge an täglich verarbeiteten personenbezogenen Daten und der relativen Schwierigkeit, eine strikte Segmentierung zwischen Gästeservice und Verwaltungssystemen aufrechtzuerhalten, ein attraktives Ziel bleiben. In diesem Fall scheinen die Angreifer Schwachstellen in der internen Infrastruktur des Hotels ausgenutzt zu haben und nicht über seine Buchungspartner.
Für Personen, die von der Sicherheitsverletzung betroffen sind, liegt die langfristige Bedrohung in der Wiederverwendung gestohlener Informationen in anderen Systemen. Ausweisdokumente können verwendet werden, um betrügerische Kredite zu beantragen, Finanzkonten zu eröffnen oder Verifizierungsprozesse zu umgehen. Experten raten betroffenen Gästen, ihre Kreditauskünfte zu überwachen und bei unerwünschten Nachrichten oder Angeboten, die sich auf ihren militärischen Status beziehen, vorsichtig zu sein.
Das Thayer Hotel erklärte, dass es seinen Datenschutzrahmen weiter verbessert und stärkere Zugriffskontrollen implementiert. Die Untersuchung hat den Verstoß nicht mit einer bekannten Bedrohungsgruppe in Verbindung gebracht. Nichtsdestotrotz verdeutlicht der Vorfall den wachsenden Druck auf kleinere Gastgewerbeorganisationen, Cybersicherheitsstandards auf Unternehmensebene einzuführen, die der Sensibilität der von ihnen verwalteten Informationen entsprechen.