In der Welt der Kreuzfahrten, wo die Wellen sanft gegen den Bug schlagen und die Sonne am Horizont aufgeht, gibt es manchmal dunkle Wolken, die am Himmel auftauchen. So geschehen bei der Carnival Corporation, dem größten Anbieter von Kreuzfahrten, der kürzlich von einem massiven Datenleck betroffen war. Mitte April wurde das Sicherheitsteam auf unbefugte Aktivitäten in einem internen Konto aufmerksam. Einem Mitarbeiter war durch geschicktes Social Engineering der Zugang zu einem Teil der IT-Systeme entlockt worden. Der Angriff wurde zwar am selben Tag gestoppt, doch die Schadensbilanz war bereits alarmierend: Fast sechs Millionen Personen sind betroffen, wie in einer Pflichtmeldung beim Justizministerium des US-Bundesstaates Maine bekanntgegeben wurde. Darunter sind Namen, Adressen, E-Mail-Adressen, Telefonnummern, Geburtsdaten und sogar staatliche Ausweisdokumente wie Führerschein- und Reisepassnummern. Das ist schon ein ganz schöner Brocken!
Das Kollektiv ShinyHunters, das sich zu diesem Angriff bekannt hat, ist seit 2020 aktiv und hat sich einen Namen gemacht, indem es in über 400 Organisationen eingebrochen ist. Ihr Vorgehen ist perfide: Zugang über Social Engineering, gefolgt von großflächigem Datendiebstahl und Erpressung. Carnival selbst hat bislang keine offizielle Bestätigung bezüglich der Beteiligung der Gruppe abgegeben. Interessanterweise zahlte Carnival kein Lösegeld, was die Täter dazu veranlasste, die gestohlenen Daten im Netz zu veröffentlichen. Ein echtes Dilemma für diejenigen, die betroffen sind! Betroffene wurden erst ab Ende Mai benachrichtigt – rund sechs Wochen nach dem Vorfall. Das ist schon eine lange Zeit, in der viele Menschen im Ungewissen gelassen wurden.
Die Details des Vorfalls
Am 10. April 2026, einem Tag wie viele andere, gelang es den Angreifern, über das Konto eines Mitarbeiters in die Systeme von Carnival einzudringen. Am 14. April wurde die unautorisierte Aktivität entdeckt. Die Carnival Corporation hat in ihren Mitteilungen betont, dass es „keine Hinweise“ darauf gibt, dass persönliche Informationen bis zum Zeitpunkt der Benachrichtigung missbraucht wurden. Dennoch ist die Sorge groß – vor allem, weil die Gruppe ShinyHunters ihre Beute auf einer sogenannten „pay or leak“-Erpresserseite anpries. Während Carnival von 5,995,277 betroffenen Individuen spricht, behauptet ShinyHunters, dass sie sogar 8,7 Millionen Datensätze gestohlen haben. Was genau stimmt, bleibt unklar.
Die Sensibilität mancher Daten ist nicht zu unterschätzen – besonders die Reisepassnummern, die Identitätsbetrug erleichtern können. Carnival bietet seinen US-Kunden zwei Jahre kostenloses Kreditmonitoring über TransUnion an, was für die Betroffenen außerhalb der USA jedoch nicht zur Verfügung steht. Das ist, gelinde gesagt, enttäuschend. Wer jetzt besorgt ist, kann seine E-Mail-Adresse auf haveibeenpwned.com überprüfen und sich über die empfohlenen Schritte informieren. Dazu gehören regelmäßige Kontoprüfungen, das Ändern von Passwörtern und die Aktivierung von Zwei-Faktor-Authentifizierung, wo immer das möglich ist.
Die Gefahren von Social Engineering
Eine weitere Facette dieses Vorfalls ist das Thema Social Engineering, das in der Cyberwelt immer mehr an Bedeutung gewinnt. Cyber-Angriffe, die auf diese Weise durchgeführt werden, zielen darauf ab, Menschen zur Preisgabe sensibler Daten oder zur Umgehung von Sicherheitsvorkehrungen zu verleiten. Täter nutzen menschliche Eigenschaften wie Hilfsbereitschaft, Vertrauen, Angst oder Respekt vor Autorität aus. Das BSI, das Bundesamt für Sicherheit in der Informationstechnik, hat dazu wichtige Tipps bereitgestellt, um Mitarbeiter und auch Bürger für die Risiken zu sensibilisieren. Schließlich ist der „Faktor Mensch“ oft das schwächste Glied in der Sicherheitskette.
Die goldene Regel? Der gesunde Menschenverstand! Wer auf der Hut ist, kann sich vor den Tricks der Cyberkriminellen schützen. Insbesondere im digitalen Zeitalter ist es unerlässlich, sich der Gefahren bewusst zu sein und sich entsprechend zu wappnen. Ob auf Kreuzfahrt oder im Alltag – die Sicherheit unserer Daten sollte immer an erster Stelle stehen.