Digitalisierung -

Sicherheit So schützen sich Hoteliers vor Cyberangriffen

Cyberkriminalität, Cyber-Hacker mit Hoodie
Achtung, Hacker: Cyberkriminalität stellt eine ernsthafte Bedrohung dar und kann erhebliche Schäden verursachen. Auch die Hospitality-Branche bleibt nicht verschont. © Oz - stock.adobe.com

Mit fortschreitender Digitalisierung steigt das Risiko, Opfer von Cyberkriminalität zu werden. Aktuelle Bedrohungen und Tipps, wie sich Hoteliers digital am besten schützen können.

Von Stefanie Hütz

Mit fortschreitender Digitalisierung steigt das Risiko, Opfer von Cyberkriminalität zu werden. Hotels sind ein attraktives Ziel für Angreifer – bei ihnen ist eine große Menge personenbezogener Daten wie Kreditkarteninformationen oder Passnummern von Gästen gespeichert.

Ein Blick in die Medien zeigt die Risiken für Hoteliers: Zwischen 2014 und 2018 stahlen Kriminelle bei der Hotelkette Marriott Kreditkarten- und Ausweisdaten von rund 500 Millionen Kunden. Auch die Budget-Hotelkette Motel One traf es schwer: Angreifer klauten vor zwei Jahren sechs Terabyte an Adress- sowie Rechnungsdaten und veröffentlichten diese im Darknet. Und der US-amerikanische Hotel- und Casinobetreiber MGM sah sich 2023 gezwungen, nach einem Sicherheitsvorfall seine IT-Systeme herunterzufahren, was zu erheblichen Beeinträchtigungen aller internen Prozesse führte – und gleichzeitig zu erheblichen Buchungsrückgängen, weil die Webseiten nicht erreichbar waren.

Das Unternehmen verzeichnete ein um 100 Millionen US-Dollar niedrigeres operatives Ergebnis. Davon fielen etwa zehn Millionen Dollar allein für IT-Berater und Anwälte an. Auch die Extranet-Konten von Buchungsportalen wie Booking.com geraten immer häufiger in den Fokus von Hackern, wie kürzlich in einem Webinar des Fachverbands HSMA deutlich wurde.

„Die Hotellerie ist die einzige Branche, die potenzielle Angreifer übernachten lässt.“

Steven Schäbel, Security Consultant

Schlanke Systeme reduzieren die Risiken

Fakt ist: Cyberangriffe nehmen stetig zu und richten immense Schäden an – sei es durch Lösegeldzahlungen, die Stilllegung ganzer Betriebe oder den Verlust an Reputation. Die drängende Frage lautet daher: Was muss getan werden? „Enorm viel“, sagt Markus Schäffter, Professor für Datenschutz und Informationssicherheit an der Technischen Hochschule Ulm. Zusammen mit dem Security-Consultant Steven Schäbel gründet er vor Kurzem das „CyberSecurity-Council“ (CSC), das Unternehmen dabei unterstützen soll, ihre Widerstandsfähigkeit gegenüber IT-Vorfällen und Cyberangriffen zu erhöhen. Die Webpräsenz ist für das 1. Quartal geplant.

Als erste Maßnahme empfehlen die Experten eine Analyse der eine Analyse der Risikolage auf Grundlage der eingesetzten Informationstechnik sowie die Bewertung der potenziellen Auswirkungen von Cyberangriffen. Grundsätzlich raten Schäffter und Schäbel zu Lean Management, also Minimalismus als Prinzip: „Mit zunehmender Digitalisierung steigen Komplexität und Heterogenität der IT-Systeme. Damit vergrößert sich die Angriffsfläche. Gleichzeitig steigen die Anforderungen an die Cybersicherheit, wie der Lagebericht zur IT-Sicherheit in Deutschland 2024 des Bundesamts für Sicherheit in der Informationstechnik bestätigt. Unter dem Aspekt der Cybersicherheit sollten Unternehmer den Betrieb auf wirklich notwendige Tools begrenzen und sich lieber für ein Multitool anstelle vieler Einzellösungen entscheiden – selbst wenn dieses nicht komplett alle Wünsche erfüllt.“

Cyberkriminalität: Risiko-Check

Unter Leitung des Bundesamts für Sicherheit in der Informationstechnik (BSI) hat ein Konsortium den „CyberRisikoCheck“ entwickelt: eine standardisierte IT-Sicherheitsberatung für kleine und mittlere Unternehmen. Markus Schäffter und Steven Schäbel vom „CyberSecurity-Council“ (CSC) sagen dazu: „Es handelt sich um die erste einfache Stufe von Cybersicherheit. Mit Blick auf unser Schulsystem vergleichen wir das mit der Grundschule. Es ist der richtige Ansatz, doch Unternehmen sollten sich im Anschluss kontinuierlich weiterentwickeln.“

Das CSC arbeite laut Schäbel derzeit an einem Tool zur Cybersicherheitsanalyse, „das alle relevanten Sicherheitsstandards vereint und effektive Handlungsempfehlungen gibt“.

Nach Plan vorgehen

Schritt zwei: die Definition von Sicherheitszielen, basierend auf der zuvor festgestellten Risikolage und den betrieblichen Erfordernissen. Auch das sollte keine einmalige Aktion sein, vielmehr gilt es, regelmäßig Anpassungen vorzunehmen. Im dritten Schritt geht es dann um das „richtige“ Handeln. Heißt konkret: Technische und organisatorische Sicherheitsmaßnahmen zu implementieren. Dazu gehören nach Information der beiden Sicherheitsexperten Schäffter und Schäbel folgende Aspekte:

  • Netzwerksegmentierung: In kleinen Betrieben existiert häufig nur ein Netzwerk, über das alle Systeme miteinander kommunizieren und auf diese Weise Schaden potenzieren können. Die Abschottung von Netzen ist daher eine der wichtigsten Sicherheitsmaßnahmen. Das gilt insbesondere für die Trennung des Gäste-WLANs von internen Netzwerken oder auch die Trennung von Webserver und Buchhaltung.
  • Schutz der Systeme durch Firewalls, aktuelle Antiviren-Software und Verschlüsselungen. Vor allem Zahlungssysteme und die Reservierungsdatenbank sollten vollständig verschlüsselt sein, um sie vor Datenklau zu schützen.
  • Patch-Management: Die von den Herstellern bereitgestellten Sicherheitsupdates sollten von zuständigen Mitarbeitern kontinuierlich und schnellstmöglich eingespielt werden.
  • Individuelle Zugriffsrechte: Teammitglieder sollten nur an die Daten gelangen, die für ihre jeweilige Aufgabe relevant sind.
  • Starke Passwörter, die komplex sind und über verschiedene Arten von Zeichen verfügen.
  • Multi-Faktor-Authentifizierung sollte in jedem Unternehmen zum Standard werden.
  • Existenz von Backup-Systemen: Also Sicherungskopien und die regelmäßige und strikte Überprüfung, ob sich die Daten im Notfall auch wiederherstellen lassen.
  • Teams schulen: Die regelmäßige Schulung der Mitarbeitenden durch interne Awareness-Kampagnen ist ein entscheidender Baustein der Cybersicherheit. Sie sensibilisiert das Team für aktuelle IT-Sicherheitsthemen und potenzielle Angriffsmethoden.
  • Entwicklung eines Leitfadens, wie im Fall der Fälle vorzugehen ist.
  • Datenminimierung: Sensible Daten sollten nur solange gespeichert werden wie unbedingt erforderlich.
  • Vertragsmanagement: Bei Drittanbietern wie Buchungsportalen, Zahlungsanbietern oder Cloud-Diensten sollten Sicherheitsstandards vertraglich vereinbart werden.
  • Auditierung der Sicherheitsmaßnahmen (siehe Kasten „Risiko-Check“).
  • Abschluss einer Cyberversicherung: Voraussetzung ist allerdings ein gewisser Sicherheitsstandard.

Proaktiv handeln

IT-Sicherheitsvorkehrungen werden gefördert, in Nordrhein-Westfalen beispielsweise über das Programm „Mittelstand Innovativ & Digital“ (MID). Ein Blick in Förderdatenbanken lohnt sich, ebenso ein Blick auf die aktuelle Gesetzeslage. Viele der Maßnahmen sind Bestandteil der zweiten EU-Richtlinie zur Netzwerk- und Informationssicherheit NIS-2. Diese sollte eigentlich bis 17. Oktober 2024 in nationales Recht umgesetzt sein. Bei Redaktionsschluss lag jedoch in Deutschland erst ein Regierungsentwurf vor.

Fest steht: Die meisten Hotels werden zwar nicht direkt von NIS-2 betroffen sein, sehr wohl aber indirekt durch die Zusammenarbeit mit Buchungsportalen, Zahlungsanbietern und Rechenzentren. Proaktives Handeln ist also in jedem Fall sinnvoll. „Cybersicherheit ist ein langer Weg“, sind sich Schäffter und Schäbel einig.

Cyberangriffe: Vorsicht bei eindeutigen Warnsignalen

  • Phishing-Angriffe: Diese beginnen häufig mit einer betrügerischen E-Mail, die täuschend echt wirkt und scheinbar von einem bekannten Absender wie Telekommunikationsdienstleistern, Banken oder drahtlos kommt. In der Regel wird man aufgefordert, einen Anhang zu öffnen oder auf einen Link zu klicken. Durch das versehentliche Öffnen werden entweder Daten gestohlen oder das System so verschlüsselt, dass es unbrauchbar wird.

    Booking.com stellt Hoteliers detaillierte Leitfäden zur Verfügung, in denen auf typische Phishing-Merkmale hingewiesen wird. Dazu gehören insbesondere E-Mails, die ein Gefühl der Dringlichkeit vermitteln, wie etwa die Drohung, ein Extranet-Konto zu sperren. Auffällig sind zudem Rechtschreib- oder Grammatikfehler und die Tatsache, dass Booking.com niemals ohne vorherige Anmeldung eine dringende Anfrage stellt. Zusätzlich wird geraten, immer über die offizielle Plattform zu kommunizieren, um Risiken zu vermeiden.
  • Malware: Bösartige Software wie Viren oder Trojaner stört die Funktionen von Computern, um vertrauliche Daten zu stehlen oder Lösegeld, oft in Kryptowährung, zu erpressen. Warnsignale sind unter anderem eine verlangsamte Systemleistung oder eine hohe Auslastung von Prozessor und Speicher.

    Wichtig: Schadsoftware kann nicht nur auf Computern, sondern auch auf Geräten lauern, die oft nicht als IT-Komponenten wahrgenommen werden. Dazu gehören Kopierer, Kassensysteme, Smart-TVs, Audio- und Haustechnik wie Heizungs-, Klimaanlagen- oder Türsysteme. Diese Geräte können heutzutage ebenfalls manipuliert werden. Das Bundesamt für Sicherheit in der Informationstechnik BSI hat im Jahr 2023 mehr als 250.000 neue Varianten von Schadprogrammen festgestellt – nicht innerhalb eines Jahres, sondern pro Tag.
  • Bedrohungen durch Insider aus dem eigenen Team: Häufig stellt ein von Mitarbeitern oder Gästen mitgebrachter Datenträger, etwa ein USB-Stick, eine Gefahr für das Firmennetzwerk dar.
  • Betrügerische Buchungen, die die Verfügbarkeit blockieren: Warnhinweise sind eine ungewöhnlich hohe gebuchte Zimmerzahl, lange Aufenthaltsdauer, viele Buchungen in schneller Folge und außergewöhnliche oder prominente Namen.

Der Beitrag zu Cyberkriminaltität ist in der Tophotel-Ausgabe 1-2/2025 erschienen.

keyboard_arrow_left Zurück zur Startseite