Reisepass in Italien gescannt – nun im Dark Web verkauft
Mehrere italienische Medien nennen inzwischen konkrete Hotels: Ca’ dei Conti in Venedig. Das Regina Isabella auf Ischia. Ein kleines Haus in Milano Marittima, ein weiteres in Triest. Und ein Fünf-Sterne-Resort auf Mallorca. Gemeinsam ist diesen Häusern, dass sie – ohne es vielleicht sofort zu bemerken – Teil eines Datendiebstahls geworden sind, der in seiner Dimension in Europa Seltenheitswert hat. Der Täter nennt sich „mydocs“ und verkauft hochauflösende Scans von Ausweisdokumenten im Dark Web. Die betroffenen Gäste wussten nicht, dass ein Foto ihres Passes zu einem handelbaren Gut werden könnte.
Die Rede ist von mehr als 70.000 gestohlenen Dateien: Kopien von Personalausweisen, Pässen, teils Vorder- und Rückseite, manchmal in Serie. Entstanden beim Check-in. Angefertigt, wie es in vielen Hotels üblich ist, um die Daten elektronisch an die Polizei zu übermitteln. Was als reine Formsache galt, ist nun ein Risiko für jeden einzelnen Betroffenen.
Digitale Nachlässigkeit
Die italienische Agentur für digitale Sicherheit, AGID, warnte am 6. August vor einem „massiven Datenleck“. Es handele sich um „Scans von Ausweisdokumenten in hoher Auflösung, die von Hotelgästen beim Check-in verwendet wurden“, so AGID in einer offiziellen Mitteilung. Die Attacken sollen zwischen Juni und Juli 2025 erfolgt sein. In einem Update vom 11. August bestätigt AGID, dass die Dokumente im Dark Web zum Verkauf angeboten werden – teils für Summen zwischen 800 und 10.000 Euro.
Der Angriff kam nicht aus dem Nichts. Doch die Schwachstellen lagen offenbar nicht in den Hotels selbst, sondern bei externen Dienstleistern, die für die digitale Verarbeitung der Check-in-Daten zuständig waren. Das sagt zumindest Giancarlo Carriero, Eigentümer des Luxushotels Regina Isabella, gegenüber der Nachrichtenagentur AGI:
„Der Angriff hat nicht unsere Server betroffen, sondern jenen unseres IT-Dienstleisters.“ Man habe ein System zur automatisierten Digitalisierung von Ausweisdokumenten eingeführt, um die Prozesse zu beschleunigen. Als man erste Unregelmäßigkeiten bemerkte, habe man die Behörden informiert.
Weiter erklärte Carriero laut „Corriere del Veneto“, dass die Zahl von 30.000 entwendeten Dokumenten „nicht realistisch“ sei – auch in Anbetracht des begrenzten Zeitraums, in dem die Hacker Zugriff hatten. Zudem sei unklar, warum der Dienstleister die Ausweiskopien überhaupt noch gespeichert hatte.
Mittelgroße Hotels betroffen
Die Dimension des Vorfalls ist schwer zu fassen. Die betroffenen Hotels sind mittelgroß bis exklusiv, die Gäste international. Und dennoch: Die Check-in-Daten, die einmal für wenige Sekunden über den Scanner liefen, befinden sich nun in einem globalen Schwarzmarkt. Identitätsdiebstahl, Kontoeröffnungen, Kreditanträge – all das ist mit den gestohlenen Scans möglich. Die hohe Auflösung macht sie besonders gefährlich.
Die italienische Polizia Postale ermittelt. Die Hotelverbände zeigen sich betroffen, betonen jedoch auch, dass sie seit Jahren Fortbildungen und IT-Schulungen anbieten.
Daniele Minotto, Vizedirektor der Associazione Veneziana Albergatori (Ava), wird von „La Repubblica“ zitiert:
„Hotels dürfen gesetzlich keine Ausweiskopien speichern. Es genügt aber, dass Hacker Zugriff auf den Scanner haben, mit dem die Daten an die Polizei übermittelt werden.“
Salvatore Pisani von Confindustria Turismo Venezia sagte gegenüber „Il Gazzettino“, man sei nicht über massenhafte Angriffe auf Mitgliedsbetriebe informiert, aber vermutlich seien kleinere, unzureichend geschützte Häuser betroffen. Die eigene Organisation habe deshalb Schulungsangebote und Sicherheitsprogramme gestartet.
"Wir sind alle Opfer"
Maurizio Giudici, Präsident von Federalberghi Trieste, sagte laut „Il Piccolo“:
„Wir sind alle Opfer. Der betroffene Betrieb ist professionell geführt und hat bestimmt alle nötigen Sicherheitsprüfungen vorgenommen.“
Giudici beklagt, dass die Branche mit einem ständigen Wettlauf gegen immer neue Hacker-Methoden konfrontiert sei. Die Nutzung externer Server sei branchenüblich – nicht immer transparent, aber oft notwendig.
„Wir als Verband stehen dem betroffenen Haus solidarisch zur Seite.“
- Zeitraum: Juni–Juli 2025
- Hackergruppe: „mydocs“
- Art der Daten: Hochauflösende Scans von Pässen, Ausweisen und anderen Identitätsnachweisen
- Missbrauchsrisiko: Hoch – u. a. Identitätsdiebstahl, gefälschte Dokumente, KYC-Betrug
- Hotel Ca’ dei Conti, Venedig – ca. 38.000 Dokumente
- Hotel Regina Isabella, Ischia – ca. 30.000 Dokumente
- Casa Dorita, Milano Marittima – ca. 2.300 Dokumente
- Hotel Continentale, Triest – ca. 17.000 Dokumente
- Hills Boutique Mallorca (Spanien) – ca. 6.000 Dokumente
Die genannten Hotels wurden nicht von der italienischen Behörde für digitale Sicherheit (AGID) veröffentlicht. Sie stammen aus übereinstimmenden Recherchen seriöser italienischer Medien, darunter Corriere del Veneto, La Repubblica und Key4biz.it. Die Redaktion verweist auf diese Quellen und erhebt keinen Vorwurf gegenüber den genannten Betrieben.