Der weltgrößte Kreuzfahrtkonzern Carnival Corporation hat bestätigt, dass Angreifer Daten von rund 5.995.277 Kunden erbeutet haben. Zur Unternehmensgruppe gehören neben der US-amerikanischen Carnival Cruise Line auch AIDA Cruises mit Sitz in Rostock, Holland America, Princess Cruises, Cunard und Costa Crociere. Wer bei einer dieser Marken gebucht hat, könnte betroffen sein.

Was ist passiert?

Am 14. April 2026 stellte das IT-Sicherheitsteam von Carnival ungewöhnliche Aktivitäten in den eigenen Systemen fest. Angreifer hatten zu diesem Zeitpunkt bereits Zugriff auf Teile der internen IT-Infrastruktur. Der Einstieg gelang nicht durch eine technische Schwachstelle in Software oder Netzwerken, sondern durch Social Engineering: Ein Mitarbeiterkonto wurde durch gezielte Täuschung kompromittiert, der Angreifer übernahm die Zugangsdaten und bewegte sich damit unbemerkt durch die Systeme.
Erst acht Tage nach der Entdeckung, am 22. April, konnte Carnival forensisch bestätigen, dass Kundendaten tatsächlich kopiert worden waren. Die formellen Benachrichtigungsschreiben an die rund sechs Millionen betroffenen Personen versandte das Unternehmen erst am 27. Mai 2026, also rund fünf Wochen nach der Bestätigung des Vorfalls.

Welche Daten wurden gestohlen?

Betroffen sind je nach Person unterschiedliche Datenkategorien. Laut Carnival wurden kopiert:

• Namen und Geburtsdaten
• Wohnadressen und E-Mail-Adressen
  Telefonnummern
• Staatlich ausgestellte Ausweisdaten (z.B. Pass- oder Führerscheinnummern)
• In Einzelfällen: Sozialversicherungsnummern (für US-Kunden relevant)

Besonders brisant: Die Plattform Have I Been Pwned verzeichnet im Zusammenhang mit diesem Vorfall 8,7 Millionen Datensätze mit 7,5 Millionen einzigartigen E-Mail-Adressen. Diese stammen offenbar aus dem Holland America Mariner Society Treueprogramm und enthalten neben den oben genannten Feldern auch Loyalitätsstatus-Daten. Die Diskrepanz zur offiziellen Zahl von knapp sechs Millionen lässt sich dadurch erklären, dass Carnival eigenen Angaben zufolge nur Personen zählt, denen nachweislich spezifische Datenpunkte abgeflossen sind.

ShinyHunters bekennt sich

Medienberichten zufolge hat die Hackergruppe ShinyHunters den Angriff für sich beansprucht. Die Gruppe ist seit Jahren für aufsehenerregende Datenlecks bei bekannten Marken verantwortlich. ShinyHunters behauptet, deutlich mehr Daten erbeutet zu haben als Carnival offiziell einräumt, und versuchte den Konzern zunächst zu erpressen. Nachdem Carnival nicht zahlte, wurden die Daten öffentlich veröffentlicht. Carnival hat die Täterschaft von ShinyHunters bislang nicht offiziell bestätigt.
Die Gruppe ist für Sicherheitsteams keine Unbekannte: ShinyHunters war unter anderem für Vorfälle bei Ticketmaster, Santander und AT&T verantwortlich.

Dieser Vorfall ist nicht der erste seiner Art. Bereits 2020 waren AIDA Cruises und Costa Crociere Ziel eines Cyberangriffs, bei dem Bordsysteme kompromittiert wurden und mehrere Kreuzfahrten kurzfristig abgesagt werden mussten. Dass ein Konzern dieser Größe nach mehreren Vorfällen weiterhin durch Social Engineering erfolgreich angegriffen werden kann, wirft grundsätzliche Fragen zur internen Sicherheitskultur auf.

Carnival stellt allen betroffenen Personen eine kostenlose 24-monatige Kreditüberwachung über die Plattform TransUnion MyTrueIdentity zur Verfügung. Das Angebot umfasst Kredit-Monitoring, Kreditberichte, Scores und proaktive Betrugsabwehr. Betroffene müssen sich bis zum 31. August 2026 mit dem individuellen Aktivierungscode aus dem Benachrichtigungsschreiben registrieren.
Für europäische Kunden (z.B. AIDA, Costa) ist dieses US-amerikanische Monitoring-Angebot allerdings nur bedingt nutzbar. Hier greift die DSGVO: Carnival ist verpflichtet, den Vorfall auch den zuständigen europäischen Datenschutzbehörden zu melden.