Carnival-Hack: Sechs Millionen Kundendaten gestohlen – Social Engineering eröffnet Angriffsfläche

LGR Reutlingen – 02 Juni 2026 | Der Carnival-Hack 6 Millionen Kundendaten gestohlen, Social Engineering als Einfallstor hat die Branche erschüttert: Fast sechs Millionen Reisende des weltweit größten Kreuzfahrtanbieters sehen sich plötzlich mit dem Verdacht konfrontiert, dass persönliche Angaben – von Namen über Adressen bis hin zu Reisepassnummern – in die Hände von Cyberkriminellen gefallen sind. Die Angreifer nutzten im April ein klassisches Social‑Engineering‑Manöver, um über manipulierte E‑Mails und telefonische Täuschungsversuche Zugang zu internen Systemen zu erhalten. Was als technisches Einfallstor hätte gelten können, erwies sich letztlich als rein menschlicher Fehler, ein Befund, der bei Unternehmen aller Größenordnungen wachsam macht.

Carnival-Hack 6 Millionen Kundendaten gestohlen, Social Engineering als Einfallstor – Was Unternehmen lernen müssen

Social Engineering lebt davon, das Vertrauen von Mitarbeitenden zu untergraben. In diesem Fall wurden mehrere Angestellte von Carnival durch scheinbar legitime Anfragen dazu gebracht, sensible Anmeldedaten preiszugeben. Die Angreifer verschleierten sich als interne IT‑Support‑Mitarbeiter, nutzten Dringlichkeit und autoritäre Sprache, um die Opfer zur Weitergabe von Zugangsinformationen zu bewegen. Sobald sie die Anmeldedaten hatten, gelangten sie in Datenbanken, in denen Namen, E‑Mail‑Adressen, Telefonnummern, Geburtsdaten und – bei einem Teil der Passagiere – Ausweis‑ sowie Reisepassnummern gespeichert waren.

Die Öffentlichkeit erfuhr von dem Vorfall durch eine Meldung an die US‑Finanzaufsicht, die bestätigte, dass genau 5.995.277 Personen von dem Datenleck betroffen sind. Seit dem 27. Mai informiert Carnival die Betroffenen einzeln. US‑Kunden erhalten als Entschädigung eine zweijährige, kostenfreie Kreditauskunft von TransUnion, während internationale Passagiere bislang nur allgemeine Hinweise erhalten haben.

Die verantwortliche Hackergruppe, die sich selbst ShinyHunters nennt, bekannte sich zu dem Angriff. Der Name ist in den letzten Monaten zu einem Synonym für groß angelegte Datendiebstähle geworden. Im April hatte die Gruppe bereits rund 4,9 Millionen Kundendaten von Charter Communications, einem US‑Kabelanbieter, erbeutet – ebenfalls über einen externen Dienstleister. Kurz darauf richtete sich ihr Fokus auf den US‑Krankenversicherer DentaQuest, bei dem sie mehr als 233 Gigabyte an personenbezogenen Daten, darunter Sozialversicherungsnummern und Behandlungsunterlagen, veröffentlichten.

Carnival war bereits vor diesem Vorfall nicht neu im Fokus von Aufsichtsbehörden. Sicherheitslücken aus den Jahren 2019 und 2021 führten zu hohen Geldstrafen, weil das Unternehmen weder eine Zwei‑Faktor‑Authentifizierung (2FA) konsequent einsetzte noch ausreichende Netzwerksegmentierung nachweisen konnte. Die aktuelle Attacke legt erneut offen, dass reine Technologie allein keine Sicherheit garantieren kann, solange menschliche Faktoren unzureichend adressiert werden.

Der Vorfall hat zudem regulatorische Diskussionen befeuert. Die US‑Federal Trade Commission prüft, ob die bislang angebotene Kreditüberwachung ausreicht, um den potenziellen Schaden zu begrenzen. Gleichzeitig drängt die EU‑Datenschutzbehörde auf strengere Meldepflichten und höhere Bußgelder für Unternehmen, die nicht nachweisen können, dass sie angemessene technische und organisatorische Maßnahmen ergriffen haben.

Im größeren Kontext lässt sich ein Trend erkennen: Unternehmen, die auf externe Dienstleister setzen, erhöhen ihr Angriffsspektrum. Die Angreifer nutzen oft die geringere Sicherheitskultur von Drittanbietern, um über Lieferketten in die Kernsysteme einzudringen. Der gleichzeitige Fall von Meta, bei dem ein KI‑Chatbot durch Prompt‑Injection ausgetrickst wurde, zeigt, dass neue Technologien eigene Schwachstellen mitbringen, die schnell von Kriminellen ausgenutzt werden können.

Für die Kreuzfahrtbranche, die stark von Kundendaten für Buchungen, Bordservices und Loyalitätsprogramme abhängt, bedeutet das ein dringendes Signal. Neben der Einführung von 2FA sollten Unternehmen verstärkt in Schulungsprogramme investieren, die Mitarbeitende befähigen, Phishing‑Versuche zu erkennen und zu melden. Simulierte Angriffe, regelmäßige Pen‑Tests und ein Zero‑Trust‑Ansatz für Netzwerkzugriffe gelten heute als Best‑Practice.

Abschließend lässt sich festhalten, dass der Carnival-Hack 6 Millionen Kundendaten gestohlen, Social Engineering als Einfallstor nicht nur ein Einzelfall, sondern ein Warnsignal für die gesamte digitale Wirtschaft ist. Unternehmen, die ihre Sicherheitsarchitektur ausschließlich auf technische Lösungen stützen, riskieren, bei einem gezielten menschlichen Angriff schnell überrannt zu werden. Der Schlüssel zum Schutz sensibler Daten liegt in einer ausgewogenen Kombination aus Technologie, Prozessen und einer Sicherheitskultur, die jeden Mitarbeitenden als potenzielle erste Verteidigungslinie versteht.