Der Sicherheitsexperte Fred Maro sagt, wie man sich und seine Gäste vor Cyber- und Social-Engineering*- Angriffen schützt.
Jedes vierte Unternehmen in Europa soll Industriespionage ausgesetzt sein. Wie schätzen Sie die Situation in der Hotellerie ein?
FredMaro: Die Rahmenbedingungen für Wirtschaftsunternehmen werden immer härter, die Entwicklungszyklen kürzer, der finanzielle Druck höher. Deshalb versuchen Konkurrenten, frühzeitig an Infos heranzukommen. Während Unternehmen zu Hause relativ gut auf ihre Kronjuwelen aufpassen, sind sie bei Tagungen oft nachlässig. Aus diesem Grund wird gerne in Hotels angegriffen, wo Spione ahnungslose Hotelmitarbeitende austricksen, um an Daten zu kommen. Ist ein Angriff erfolgreich, steht das Hotel dumm da. Einige Häuser haben wegen Social-Engineering-Angriffen (SE) wichtige Kunden verloren.
Was gibt es denn in Hotels, was für Spione interessant ist?
Alles, was einem Angreifer den Zugang zu den Kronjuwelen des Gastes erleichtern könnte. Dazu zählen Lage und Art der Seminarräume, die Serviceprozesse rund um die Tagung, die Lagerung von Gepäck und Tagungsmaterial, das Entsorgen und Vernichten von Tagungsunterlagen, die Sorgfalt der Hotelmitarbeitenden an Réception und im Seminarbereich.
Was sind die drei grössten Fehler, die ein Hotelier machen kann?
Erstens: zu glauben, man sei sicher und deshalb auf professionelle Unterstützung durch einen Sicherheitsexperten verzichten kann. Zweitens: die Mitarbeitenden nicht aktiv in die Überlegungen zu IT-Sicherheit und SE einzubinden. Sichere Server sind ein Aspekt, die Unachtsamkeit der Mitarbeitenden im Stress, aus Unwissenheit oder Gleichgültigkeit ist ein anderer. Drittens: bestehende gute IT-Security zu vernachlässigen, weil das Praktizieren als lästig empfunden wird oder Arbeitsprozesse sich dadurch angeblich verlangsamen.
Worauf gilt es noch zu achten?
Die Mitarbeitenden sollten für Sicherheitsthemen sensibilisiert und die Themen regelmässig behandelt werden, um Nachlässigkeiten zu reduzieren. Der grosse Teil an Spionage läuft jedoch nicht über Cyberattacken ab, sondern im direkten Kontakt per Telefon, durchs Belauschen von Gesprächen, das heimliche Kopieren von Computerdaten und Ähnlichem.
Wie macht man Mitarbeitende fit gegen Social Engineering?
Um SE zu erkennen, müssen die Mitarbeitenden lernen, wie Kommunikationsmechanismen im Social Engineering funktionieren. Als Ergänzung sollte eine Schulung folgen, in der gezielt die Arbeitsprozesse, das Verhalten am Telefon und das Erkennen von körpersprachlichen Ungereimtheiten behandelt werden.
Was ist zu tun, wenn man den Verdacht hat, Opfer eines Spions geworden zu sein?
Sofort einen Profi anrufen und dessen Ratschläge befolgen. Den eventuell betroffenen Kunden ebenfalls über den Verdacht informieren und zusammen mit dem Profi weitere Schritte beschliessen und umsetzen.
Sind nur grössere Hotels und Luxushotels gefährdet?
Nicht die Grösse eines Hauses ist massgebend, sondern die Art seiner Kunden, deren Veranstaltungen und die Brisanz der dort behandelten Themen und Daten.
Können Sie ein Fallbeispiel aus der Praxis nennen?
In einem mittelgrossen Hotel in Deutschland erleichterten ahnungslose Hotelmitarbeitende den Diebstahl von Landkarten mit extrem sensiblen Daten aus dem Tagungsraum. Das führte zu einem Millionenschaden für den Kunden und einen dramatischen Reputationsverlust für das Hotel. In einem anderen Fall liessen sich Réception und Housekeeping austricksen. Sie gewährten einem Angreifer Zutritt ins Zimmer eines Wissenschaftlers. Das Hacken seines Laptops führte dazu, dass Millionen für eine Patententwicklung umsonst ausgegeben worden waren. Auch hier endete die Geschichte mit einem grossen Imageschaden für die Hotelkette.
Im Gastgewerbe gehört Hilfsbereitschaft einfach dazu. Wie schafft man den Spagat zwischen Vorsicht und gelebter Gastfreundschaft?
Beides zu verbinden ist kein Kunststück. Sicherheitsverhalten und gesicherte Arbeitsprozesse, die man dem Kunden freundlich erklärt, werden von ihm immer akzeptiert und oft hoch bewertet.
Was sollten Gastgeber sonst noch über SE wissen?
Eine 100-prozentige Sicherheit gibt es nicht, aber bei Tagungen lässt sich Sicherheit sehr gut als zusätzliches Produkt verkaufen. Angreifer sind meist Profis, die sehr genau wissen, was sie tun. Zu glauben, dass man als Laie der Ausspähung beikommt, ist gefährlicher Irrglaube. Sind ein Haus und seine Mitarbeitenden aber einmal gut gegen Ausspähen eingestellt, ist der Aufwand klein.
(Interview Riccarda Frei)
*Social Engineering (SE) = zwischenmenschliche Beeinflussung mit dem Ziel, Verhaltensweisen wie beispielsweise das Preisgeben von vertraulichen Informationen, das Öffnen von Türen oder das Überweisen von Geld hervorzurufen.
Das Thema des diesjährigen Symposiums des Berufsverbands Hotel Administration Management lautet «Cybercrime & Spionage». Das Symposium findet am 1. Oktober im Hotel Continental-Park in Luzern statt. Anmeldeschluss ist am 24. September.
Mehr Informationen unter: www.hotelgastrounion.ch/bvham
