Information gemäß Art. 34 Abs. 1 DSGVO über einen unberechtigten Datenzugriff im Januar 2024

Im Januar 2024 ist es bei einem von der Lufthansa Group beauftragten Dienstleister zu einem unberechtigten Zugriff auf ein IT-System gekommen, mit dem Hotelbuchungen im Falle von Flugstreichungen vorgenommen werden. Entsprechend des Art. 34 Abs. 1 DSGVO informieren die jeweiligen Lufthansa Group Airlines alle betroffenen Fluggäste (sofern die Kontaktdaten in der Buchung hinterlegt waren) transparent über diesen Vorfall und die Maßnahmen, die die Lufthansa Group sofort nach Kenntnis ergriffen hat, um die Daten zu schützen.

Information von Fluggästen, die über Reisebüros oder Reiseveranstalter gebucht haben

Sofern die Kontaktdaten der Reisenden in der Buchung hinterlegt waren, informieren die Lufthansa Group Airlines auch alle betroffenen Fluggäste, die nicht direkt bei den Lufthansa Group Airlines (Website, Service Center, Ticketschalter am Flughafen), sondern über Reisebüros oder Reiseveranstalter gebucht haben. Bei fehlenden Kontaktdaten ist keine Kundeninformation möglich. Sollte Ihre Kundschaft möglicherweise vom unberechtigten Datenzugriff betroffen sein, wenden Sie sich bitte bei Bedarf an: hoteltool.information@lufthansa-group.com   

Was ist passiert?

Ein unberechtigter Zugriff ermöglichte den Zugang zu einer Anwendung unseres externen Dienstleisters für Hotelbuchungen im Zeitraum vom 2. November 2019 bis zum 22. Januar 2024, in der Daten von Gästen eingesehen werden konnten. Die Anwendung unterstützt Gäste, die von einer Flugunregelmäßigkeit betroffen sind, darin, Übernachtungsgutscheine für Hotels auszustellen.

Welche Daten sind im Detail betroffen?

Betroffene Datensätze enthielten Vor- und Nachname, Geschlecht, Mobilfunknummer, Hinweis auf Reise mit Kleinkind sowie Flugnummer des gestrichenen Fluges, Gutscheinnummer und den Tag der Hotelbuchung. Es gibt keine Hinweise darauf, dass weitere Kundendaten entwendet oder kompromittiert wurden. Zahlungsdaten oder E-Mail-Adressen waren zu keinem Zeitpunkt für unbefugte Personen sichtbar.

Wie haben die Lufthansa Group Airlines reagiert?

Unmittelbar nach Entdeckung des Zugriffs wurde das betroffene IT-System des externen Dienstleisters unverzüglich deaktiviert und alle notwendigen technischen und organisatorischen Maßnahmen zur Behebung und zum Schutz der Kundendaten sowie der IT-Systeme implementiert.  Ein weiterer unberechtigter Zugriff war damit nicht mehr möglich.

Konkret wurden folgende Maßnahmen ergriffen:

  • Erneuerung aller Zugangsdaten
  • Intensive Analyse von weiteren Zugriffsversuchen inkl. Sicherheitstests der Software
  • Überprüfung auf Publikation von entwendeten Daten ohne auffällige Ergebnisse
  • Verbesserung der Sicherheit des Installationsverfahrens von zukünftigen Softwareversionen
  • Erhöhung der IT-Sicherheit durch automatisches Erkennen, Aufspüren und Entschärfen von Bedrohungen im System
  • Sensibilisierung der Entwickler durch Schulungsmaßnahmen

Erst nach umfangreichen Sicherheitstests wurde das IT-System wieder in Betrieb genommen.

Was sind mögliche Folgen des Vorfalls?

Durch den unberechtigten Zugriff könnten Angreifer Kenntnis über den Tag der Hotelübernachtung aufgrund einer Flugabweichung erlangt haben. Zudem besteht ein Restrisiko, dass betroffene Fluggäste gegebenenfalls Phishing-Versuche Versuche via Textnachricht oder Telefonanruf erhalten.

Warum informieren wir Sie heute?

Nach Entdecken des unbefugten Zugriffs und sofortiger Deaktivierung des Systems, haben IT-Spezialisten der Lufthansa Group, des beauftragten Dienstleisters sowie zusätzlicher spezialisierter IT Security Dienstleister die Untersuchung des unbefugten Zugriffs und die Umsetzung der Maßnahmen zum Schutz Ihrer Daten unverzüglich vorgenommen.

Ebenso hat die Lufthansa Group gemäß unserer internen als auch gesetzlichen Datenschutzvorschriften die zuständige Datenschutzbehörde informiert und gemeinsam eine Aufarbeitung und Beurteilung des Vorfalls vorgenommen.

Nachdem beide Prozesse nun abgeschlossen sind, können wir Ihnen jetzt die datenschutzrechtliche Information zukommen lassen.

Wie schützen die Lufthansa Group Airlines allgemein Kundendaten?

Der Schutz von persönlichen Daten hat für die Lufthansa Group höchste Priorität. Die Lufthansa Group setzt deshalb, abgesehen von konkreten Maßnahmen wie im vorliegenden Fall, kontinuierlich technische und organisatorische Maßnahmen ein, um Kundendaten zu sichern. Lufthansa Group Mitarbeitenden, Partner und Dienstleister werden regelmäßig für das Thema Datenschutz und Datensicherheit sensibilisiert.

Die Lufthansa Group Airlines möchten hierfür um Entschuldigung bitten und hoffen, dass Ihren Kund:innen durch diesen Vorfall keine Unannehmlichkeiten entstanden sind. 

Dieses Schreiben dient ausschließlich der Information und erhöhten Aufmerksamkeit. Falls Sie oder Ihre Kund:innen weitere Informationen benötigen, wenden Sie sich bitte an: hoteltool.information@lufthansa-group.com


04.11.2024 13:55  CET