Wie kommt es zu Cybersicherheitsangriffen? Möglicherweise haben Sie bereits ein oder zwei der häufigsten Cybersicherheitsbedrohungen in Ihrem Hotel gesehen (und verhindert). Hier sind einige der häufigsten Methoden, mit denen Kriminelle versuchen, an die sicheren Daten Ihres Hotels zu gelangen:

• Phishing-Angriffe: Diese Angriffe beginnen mit einer betrügerischen E-Mail, Textnachricht oder einem Telefonanruf, mit dem ein Mitarbeiter dazu verleitet wird, vertrauliche Informationen preiszugeben. Beispielsweise könnte Ihr Hotel eine E-Mail erhalten, die aussieht, als käme sie von einer OTA. In der E-Mail werden Sie aufgefordert, auf einen Link zu klicken, um zu verhindern, dass der Eintrag Ihres Hotels deaktiviert wird. Ein Mitarbeiter, der sich dieser Art von Angriff nicht bewusst ist, könnte auf den Link klicken und versehentlich Finanzinformationen oder persönliche Daten an den Angreifer weitergeben.

• Ransomware-Angriffe: Bei diesem Angriff sperrt eine bösartige Software Ihr Gerät, bis ein Lösegeld, normalerweise ein Geldbetrag in Kryptowährung, gezahlt wird. Diese Art von Angriff kann die Software in einem Hotel tagelang unbrauchbar machen. Im Jahr 2023 traf ein Ransomware-Angriff MGM Resorts und legte die Systeme 60 Stunden lang offline , was bedeutete, dass ihr PMS ausfiel und sie nicht in der Lage waren, Schlüsselkarten zu erstellen, Zahlungen entgegenzunehmen oder Parkplätze zu verwalten.

• Datenlecks: Jeder Diebstahl vertraulicher Informationen wie Kreditkartendaten und Passnummern gilt als Datenleck. Hotels sind aufgrund der großen Datenmenge, die sie verarbeiten, ein beliebtes Ziel für Datenlecks. Marriott war 2018 Opfer eines massiven Datenlecks, bei dem die persönlichen Daten von über 500 Millionen Gästen offengelegt wurden.

• Bedrohungen durch Insider: Viele Cyberangriffe haben ihren Ursprung außerhalb der angegriffenen Organisationen, aber es kommt auch nicht selten vor, dass sie von innen kommen. Wenn Mitarbeiter umfassenden Zugriff auf Gästeinformationen, Finanzdaten und Passwörter haben, kann es zu Datendiebstahl oder Sicherheitslecks kommen. Durch die Aufrechterhaltung einer angemessenen Zugriffskontrolle auf Systeme und regelmäßige Schulungen der Mitarbeiter zu Sicherheitsprotokollen können Sie das Risiko einer Bedrohung durch Insider minimieren.

Wie bereits erwähnt, kommt es in Hotels immer wieder zu Cybersicherheitsangriffen, und zwar bedauerlicherweise häufig. Sie haben vielleicht von zwei großen Cybersicherheitsvorfällen gehört, die in den letzten Jahren Schlagzeilen machten: dem Datendiebstahl bei Marriott und dem Ransomware-Angriff bei MGM.

Zwischen 2014 und 2018 wurde Marriott Opfer eines Cyberangriffs , bei dem die persönlichen Daten von bis zu 500 Millionen ehemaligen Gästen offengelegt wurden. Die Hacker bekamen Daten wie Adressen, E-Mail-Adressen, Telefonnummern und sogar Passnummern und Kreditkartennummern in die Hände. Wie konnte das passieren? Marriott sagt, die Daten seien geschützt, aber nicht verschlüsselt gewesen, sodass die Hacker die Daten problemlos stehlen konnten, sobald sie in das Reservierungssystem von Marriott eingebrochen waren. Marriott wurde mit einer Geldstrafe von fast 24 Millionen Dollar belegt, und der Vorfall ging als einer der größten Datenschutzverstöße aller Zeiten in die Geschichte ein.

Ein anderer Typ von Cybersicherheitsangriff traf MGM im September 2023: Ein Ransomware-Angriff führte dazu, dass die gästeorientierten und Backoffice-Systeme für einige Tage ausfielen, was zu einem geschätzten Umsatzverlust von 100 Millionen Dollar führte. Gäste berichteten von Problemen mit MGMs Schlüsselkarten, Spielautomaten, Geldautomaten, Parksystemen und mehr – und der Vorfall machte in allen Nachrichten Schlagzeilen. Es ist nicht klar, ob MGM den Angreifern ein Lösegeld zahlte, aber Caesars wurde kurz vor MGM von einem ähnlichen Angriff getroffen, und Caesars zahlte den Hackern etwa 15 Millionen Dollar Lösegeld in der Vereinbarung, dass sie die gestohlenen Daten nicht herausgeben würden.

Kein Hotel möchte Opfer eines Cyberangriffs werden. Wie können Sie also einen solchen Vorfall verhindern? Die gute Nachricht ist, dass es ein paar einfache Best Practices gibt – von denen Sie einige noch heute umsetzen können –, um Ihre Daten zu schützen und zu vermeiden, zum Angriffsziel zu werden:

• Implementieren Sie strenge Zugriffskontrollen: In jedem System, das vertrauliche Informationen enthält, sollten Sie rollenbasierten Zugriff konfigurieren, sodass nur Mitarbeiter, die wirklich Einblick in diese Daten benötigen, darauf zugreifen können. Es gibt keinen Grund, warum jeder Mitarbeiter in jedem System Administrator sein sollte. Machen Sie außerdem die Multi-Faktor-Authentifizierung zum Standard, um eine zusätzliche Sicherheitsebene hinzuzufügen.

• Halten Sie regelmäßig Schulungen für Ihre Mitarbeiter ab: In vielen Fällen klickt ein Mitarbeiter versehentlich auf eine betrügerische E-Mail, weil er nicht wusste, wie er einen Phishing-Versuch erkennen kann. Sorgen Sie dafür, dass Ihre Mitarbeiter Phishing-Versuche und andere Cyberbedrohungen erkennen können, und nutzen Sie diese Schulungen, um sie über die neuesten Cybersicherheitsprotokolle in Ihrem Hotel auf dem Laufenden zu halten.

• Sichere WLAN-Netzwerke für Gäste: Um die vertraulichen Daten Ihres Hotels zu schützen, sollten Sie vor Ort zwei separate WLAN-Netzwerke einrichten: eines für Gäste und eines für den internen Gebrauch. Das interne Netzwerk sollte passwortgeschützt und für alle Personen, die nicht zu Ihrer Organisation gehören, gesperrt sein.

• Verschlüsseln Sie Ihre Daten: Vermeiden Sie, dass Ihre Daten wie Marriott gestohlen werden, weil sie nicht verschlüsselt sind. Egal, ob Sie vertrauliche Daten senden, empfangen oder einfach nur speichern, Ihre Zahlungssysteme und Reservierungsdatenbank sollten vollständig verschlüsselt sein.

• Führen Sie regelmäßige Sicherheitsüberprüfungen durch: Arbeiten Sie mit einem Drittanbieter für Cybersicherheit zusammen, um Ihre Sicherheitsrisiken zu bewerten und in regelmäßigen Abständen Penetrationsprüfungen durchzuführen.

• Erstellen Sie einen Notfallplan: Obwohl es nie Spaß macht, über das Worst-Case-Szenario nachzudenken, ist es eine gute Idee, einen Plan zu erstellen, wie Sie und Ihr Team mit einer Verletzung der Cybersicherheit umgehen würden. Überlegen Sie, wie Sie schnell reagieren würden, um die Auswirkungen zu minimieren und den Betrieb Ihres Hotels während des Vorfalls aufrechtzuerhalten.

Welche Tools und Technologien helfen Ihnen, Ihre Daten zu schützen? Auf Ihren lokalen Geräten sollten mindestens Firewalls und Antivirensoftware installiert sein, um gefährliche Malware zu verhindern. Angriffserkennungssysteme können Sie auch warnen, wenn eine schädliche Datei heruntergeladen wird oder ein nicht autorisierter Benutzer Zugriff auf ein Gerät erhält. Wenn Sie Gastdaten senden oder sammeln, ist es auch eine gute Idee, ein Tokenisierungssystem zum Verschlüsseln der Daten zu verwenden, um die Möglichkeit eines Datenverstoßes während der Übertragung auszuschließen.

Neue Technologien wie KI-gestützte Cybersicherheitstools und Blockchain zielen jedoch darauf ab, vielen Arten von Transaktionen ein höheres Maß an Sicherheit zu verleihen. Diese könnten Passwörter und andere potenziell anfällige Zugangsschlüssel überflüssig machen.

Da Hotels viele sensible Gästedaten verarbeiten, von E-Mail-Adressen bis hin zu Passnummern, ist es wichtig, diese Daten nicht nur zu schützen, sondern auch die örtlichen Vorschriften einzuhalten. Einige Vorschriften sind für die Hotelbranche besonders relevant:

• DSGVO: Die Datenschutz-Grundverordnung ist eine Verordnung der Europäischen Union, die Standards dafür festlegt, was Unternehmen mit personenbezogenen Daten tun dürfen und was nicht. Möglicherweise haben Sie bemerkt, dass Websites Popups hinzufügen, in denen Sie um Ihre Zustimmung zur Speicherung von Cookies gebeten werden. Diese Zustimmung war ein Ergebnis der kürzlich umgesetzten DSGVO. Unternehmen, deren Websites europäische Benutzer bedienen, müssen die DSGVO einhalten oder riskieren rechtliche Schritte.

• CCPA: Der California Consumer Privacy Act ist ein der DSGVO nachempfundenes Landesgesetz, das den Benutzern garantiert, dass sie wissen, welche Daten über sie erfasst werden, wie diese verwendet werden, wo sie gespeichert werden und wie sie gelöscht werden können.

• PCI DSS: Die Payment Card Industry Data Security Standards beziehen sich speziell auf Kreditkartendaten und legen Standards fest, die Unternehmen beim Erfassen und Speichern von Zahlungsinformationen einhalten sollten. Darüber hinaus müssen sie jährlich überprüfen, ob sie die empfohlenen Sicherheitspraktiken einhalten.

Durch die Einhaltung dieser Vorschriften bleiben Ihre vertraulichen Daten geschützt und Sie vermeiden das Risiko rechtlicher Strafen.

Jetzt wissen Sie, wie Sie die Daten und die digitale Infrastruktur Ihres Hotels schützen können. Doch was erwartet Sie angesichts der neuen Technologien? Einige technologische Fortschritte erfordern sicherlich besondere Aufmerksamkeit hinsichtlich Sicherheitsrisiken und Datenschutz.

Da Hotels immer mehr IoT-Geräte (Internet of Things) wie intelligente Schlösser und intelligente Lautsprecher verwenden, müssen auch mehr Geräte gesichert werden. Daher wird es noch wichtiger, über sichere WLAN-Netzwerke und entsprechende Zugangskontrollen zu verfügen.

Und die zunehmende Verbreitung biometrischer Sicherheitsmaßnahmen wie Gesichtserkennung und Fingerabdruckscans führt dazu, dass noch mehr sensible personenbezogene Daten sicher übertragen und gespeichert werden müssen. Biometrie kann Ihnen jedoch dabei helfen, den Zugang zu Ihren Systemen oder physischen Räumen besser zu kontrollieren. Ein Passwort kann problemlos weitergegeben werden, ein Fingerabdruck jedoch nicht.

Der Trend hin zu digitalen Gästeerlebnissen führt auch zu mehr Komplexität bei der Vermeidung von Cybersicherheitsrisiken. Der schlüssellose Zugang zu Gästezimmern beispielsweise hat viele Vorteile, birgt aber auch das Risiko, dass sich Hacker unbefugt Zutritt zu einem Gästezimmer verschaffen. Ebenso ist der mobile Check-in schneller und bequemer als das Anstehen an der Rezeption, aber Hotels müssen mehr darauf achten, die Daten ihrer Gäste auf vielen Geräten und Systemen zu schützen.