Die Carnival Corporation, Muttergesellschaft der Carnival Cruise Line, versendet derzeit neue Schreiben mit dem Titel „Mitteilung über einen Vorfall im Bereich Cybersicherheit“ vom 27. Mai 2026. Falls Ihnen dieser Satz bekannt vorkommt, täuscht Sie Ihr Gedächtnis nicht. In den letzten zehn Jahren hat der weltweit größte Kreuzfahrtbetreiber eine besorgniserregende Bilanz an Sicherheitsverletzungen, Ransomware-Vorfällen und behördlichen Strafen angehäuft, wobei dieser Vorfall aus dem Jahr 2026 der ohnehin schon langen Geschichte der Cybersicherheitsvorfälle einen weiteren Eintrag hinzufügt.
In unserer Datenbank sind mehrere Datenschutzverletzungen verzeichnet, an denen die Carnival Corporation oder eine ihrer Tochtergesellschaften beteiligt ist.
Allein zwischen 2019 und 2021 meldete Carnival dem New Yorker Finanzministerium vier separate Vorfälle im Bereich der Cybersicherheit. Dazu gehörten zwei Ransomware-Angriffe und ein Phishing-Vorfall, bei dem Angreifer Malware einsetzten, auf interne Systeme zugreifen und diese verschlüsselten sowie persönliche Daten von Kunden und Mitarbeitern stahlen.
In diesem jüngsten Fall gelang es einem Angreifer am 14. April 2026, einen Mitarbeiter von Carnival durch Social Engineering dazu zu verleiten, ihm Zugriff auf einen Teil der IT-Systeme des Unternehmens zu gewähren. Bis zum 22. April nutzte der Angreifer ein kompromittiertes Konto, um auf einen „begrenzten Teil“ der IT-Systeme von Carnival zuzugreifen, wo er personenbezogene Daten kopieren konnte, bevor er blockiert wurde.
Laut der in Maine eingereichten Meldung über eine Datenpanne waren insgesamt 5.995.277 Personen betroffen. Carnival stellte fest, dass der Eindringling illegal Dateien mit personenbezogenen Daten kopiert hatte, und informiert die betroffenen Personen nun schriftlich darüber, dass „Datenelemente“ zu ihrer Person abgegriffen wurden.
Von Gblock zitierte Forscher geben an, dass die gestohlenen Daten offenbar Folgendes umfassen:
- Vollständige Namen
- E-Mail-Adressen
- Geburtsdaten
- Geschlechter
- Mitgliedschaftsstatus und -stufe bei der Mariner Society
- Interne Kundenkennungen
In der Briefvorlage sind keine konkreten Datenfelder aufgeführt. Stattdessen wird ein Platzhalter verwendet:
“We have determined that your <<data elements>> were obtained.”
Dies deutet stark darauf hin, dass Carnival jeden Brief mit Datenkategorien füllt, die für die jeweilige Person relevant sind – ein häufiges Muster bei großen Datenschutzverletzungen, bei denen Personen zu unterschiedlichen Zeitpunkten möglicherweise unterschiedliche Angaben gemacht haben.
Darüber hinaus enthalten die Schreiben die üblichen Angaben dazu, wie schnell das Unternehmen gehandelt und externe Experten hinzugezogen hat, und stellen die betroffenen Systeme als einen begrenzten Teil der Gesamtumgebung dar. Für die Empfänger ist jedoch nicht entscheidend, wie begrenzt der Vorfall aus Sicht des Unternehmens war, sondern ob die offengelegten Informationen für Identitätsdiebstahl, Betrug oder äußerst überzeugende Phishing-Angriffe genutzt werden könnten.
Datenschutzverletzungen kommen täglich vor. Seien Sie nicht der Letzte, der davon erfährt.
Aus früheren Vorfällen bei Carnival wissen wir, dass zu den offengelegten Daten Namen, Adressen, Geburtsdaten, Passnummern, Gesundheitsdaten und Zahlungsinformationen gehörten. Bei früheren Datenschutzverletzungen, von denen Kreuzfahrtgesellschaften betroffen waren, reichten die kompromittierten Daten von einfachen Kontaktdaten bis hin zu Sozialversicherungsnummern und Kreditkarteninformationen. Carnival hat die vollständigen Datenkategorien, die vom Vorfall im Jahr 2026 betroffen sind, nicht öffentlich bekannt gegeben, doch da es sich bei diesem Vorfall im Jahr 2026 erneut um „personenbezogene Daten“ handelt, die aus internen Systemen kopiert wurden, ist es angemessen, ihn als schwerwiegenden Datenschutzvorfall zu behandeln, auch wenn die genaue Zusammensetzung der Daten von Person zu Person variiert.
Die Erpressergruppe ShinyHunters hat sich zu dem Angriff bekannt. Diese Gruppe ist dafür bekannt, Daten zu stehlen und anschließend Lösegeld zu fordern. Wenn das Opfer den Forderungen nicht nachkommt, werden die Daten veröffentlicht und/oder an den Meistbietenden verkauft.
Aus Sicht von Cyberkriminellen sind Daten der Kreuzfahrtbranche äußerst begehrt. Kreuzfahrtpassagiere sind oft relativ wohlhabend, und Passagierdaten können Identitätsdaten (Namen, Adressen, Geburtsdaten, Passnummern), Kontaktdaten (E-Mail-Adressen, Telefonnummern) sowie möglicherweise Zahlungsdaten (Kartennummern und manchmal Bankdaten) enthalten, was sie für Identitätsdiebstahl, gezieltes Phishing und Betrug wertvoll macht.
Was tun, wenn Sie betroffen sind?
Um die Folgen abzumildern, bietet Carnival ein kostenloses 24-monatiges TransUnion-Paket zur Kreditüberwachung an, das über die Plattform „MyTrueIdentity“ bereitgestellt und von Cyberscout im Hinblick auf Betrugsfälle unterstützt wird.
Seien Sie vorsichtig bei E-Mails, SMS oder Anrufen, die angeblich von Carnival oder Kreditauskunfteien stammen, da Cyberkriminelle Datenlecks häufig für Phishing-Betrug ausnutzen. Lesen Sie unsere Tipps dazu, was Sie tun sollten, wenn Sie feststellen, dass Sie von einem Datenleck betroffen sind.
Was wissen Cyberkriminelle über Sie?
Verwenden Sie den kostenlosen Digital Footprint Scan Malwarebytes, um zu überprüfen, ob Ihre persönlichen Daten online offengelegt wurden.
