Wir möchten transparent über den aktuellen Stand informieren:

1. Der Cyberangriff auf arcona konnte sich aufgrund einer fehlerhaften Netztrennung im System ausbreiten konnten.

2. Leider wurde ein Datenabfluss am Standort Rostock festgestellt. Die Prüfung betroffener Daten läuft – Betroffene werden aktiv informiert.

3. Hinter dem Angriff steht die international bekannte Ransomware-Gruppe Akira.

4. Unsere Systeme werden derzeit auf moderne, cloudbasierte Infrastruktur umgestellt, um die IT-Sicherheit deutlich zu erhöhen.

5. Erste zentrale Systeme konnten bereits erfolgreich wieder in Betrieb genommen werden.

Bei Fragen oder Auffälligkeiten wenden Sie sich bitte an cyberangriff@arcona.de.
Wir danken allen Gästen, Partnern und Mitarbeitenden für das Vertrauen und die Unterstützung in dieser Zeit. Für detaillierte Informationen lesen Sie gern unsere Pressemitteilung.

Wie bereits letzte Woche berichtet, wurde arcona Opfer eines Cyberangriffes auf die IT-Systeme. Dieser führte sowohl zu Beeinträchtigungen in drei Hotels als am zentralen Standort in Rostock. Seitdem wurden wichtige Fortschritte in der IT-Forensik und im Notbetrieb gemacht.

Aktuell wird in den betroffenen Hotels, insbesondere daran gearbeitet, die verschlüsselten Systeme wie z.B. das Kassensystem schrittweise in einen stabilen und abgesicherten Notbetrieb zu überführen.

In den forensischen Untersuchungen konnte nachvollzogen werden, wie sich die Angreifer standortübergreifend innerhalb der arcona-Struktur ausbreiten konnten. Dabei hat sich herausgestellt, dass ehemalige arcona Standorte ebenfalls betroffen sind.

Die IT-Forensik arbeitet aktiv mit den IT-Verantwortlichen der anderen ehemaligen Standorte zusammen, um eine gemeinsame und umfassende Aufklärung des Vorfalls zu ermöglichen. Die Zusammenarbeit soll helfen, die Komplexität und die Ursache des Angriffs noch besser zu verstehen. Unser IT-Forensik-Partner analysiert weiterhin umfangreich alle relevanten Systeme und Verbindungen.

Die Komplexität des Vorfalls und die eingeschränkte Datenlage aufgrund der Verschlüsselung, stellt jedoch hohe Anforderungen an alle beteiligten Experten. Auch wenn die Fragestellung zur Ausbreitung schon geklärt werden konnte, dauern die Untersuchungen zum Einfallstor und dem genauen Angriffshergang noch an. Weiterhin kann ein Datenabfluss weder bestätigt noch ausgeschlossen werden. Neben der Sicherstellung des Notbetriebs wird der Wiederanlauf der Systemlandschaft vorgenommen. Hierbei fließen alle gewonnenen Erkenntnisse aus der forensischen Untersuchung sowie aktuelle Bedrohungsszenarien mit ein.

Am Freitag, den 23. Mai 2025, wurden bei den arcona Hotels & Resorts technische Unregelmäßigkeiten festgestellt. Nach anfänglicher Prüfung durch den IT-Dienstleister wurden vorsorglich die Standorte von den zentralen IT-Diensten getrennt, um mögliche Schäden zu begrenzen.

Der allgemeine Hotelbetrieb läuft weiter, Reservierungen können ohne Einschränkungen auf unserer Website sowie über Ihren Login im myarcona Kundenclub getätigt werden, auch der E-Mail-Verkehr ist uneingeschränkt möglich.

Wir haben umgehend die zuständigen Behörden informiert. Zur technischen Analyse und Bewältigung der Lage wurde das auf IT-Forensik spezialisierte Unternehmen ResponseOne GmbH eingebunden.