Datenklau, Hackerangriffe und Online-Erpressung: Cyber-Kriminalität ist ein Risiko, mit dem sich die Hotellerie und Gastronomie künftig noch intensiver auseinandersetzen müssen.
Die Meldungen über digitale Attacken auf Hotels häufen sich. Hier eine kleine Auswahl an Schlagzeilen: «Hacker erpressen Hoteliers», «Cyber-Angriff legt Luxushotel lahm», «Kreditkartendaten von Gästen aus 41 Hyatt-Hotels gestohlen», «Hacker attackieren 1200 Hotels der Intercontinental Group».
Wer nun meint, bloss internationale Kettenbetriebe oder Luxushotels seien für Hacker interessant, irrt sich. Ein Cyber-Angriff kann jeden Betrieb treffen. Und er kann aus ganz verschiedenen, teilweise völlig unerwarteten Richtungen kommen.
«Experten schätzen, dass zwei bis vier Prozent der Mitarbeitenden eine erhöhte Bedrohung für die Cyber-Sicherheit eines Betriebes darstellen», sagt Raphael Schmid, Broker Financial Lines & Cyber bei der Aon Schweiz AG. Aon ist ein Dienstleistungsunternehmen in den Bereichen Versicherungs- und Rückversicherungsvermittlung, beruflicher Vorsorge und Anlagelösungen. Mit diesen Pro- zentzahlen sind nicht Mitarbeitenden gemeint, die aus Unwissenheit oder Unachtsamkeit Viren und Trojaner herunterladen. Gemeint sind Angestellte, die einen dehnbaren Ethikbegriff haben oder sogar böswillig gegen die Interessen des Arbeitgebers handeln. Ein Beispiel dafür ist der Fall eines Restaurants, bei dem ein paar Angestellte zusammen das Kassenprogramm austricksten. Und zwar so, dass sie über Monate hinweg täglich kleine Beträge für sich abzweigen konnten. Mit der Zeit läpperte sich einiges zusammen. Diese «Kleinvieh macht auch Mist»-Taktik ist bei Cyber-Kriminellen weit verbreitet und wird erfolgreich angewandt.
Dadurch, dass sie jeweils pro Tag nur kleine Geld- oder Datenmengen bewegen, fällt ihre Anwesenheit im IT-System einer Firma oft kaum auf. Die Cyber-Kriminellen fliegen quasi unter dem Radar und können ungehindert Daten klauen oder die IT eines Unternehmens anderweitig missbrauchen. Zum Beispiel, um gefälschte Identitäten zu erstellen. Sowohl für Personen wie auch für Firmen.
So bezog in einem Fall in Basel ein Angestellter, den es gar nicht gibt, monatelang Lohn. Ein Betrüger hatte sich Zutritt in die Datenbank der Personalabteilung einer grossen Firma verschafft. Er erstellte dort für sich ein Fake-Profil, gab sich selbst eine entsprechende Zugangsbewilligung für die IT und überwies sich ein grosszügiges Salär. Erst nach Monaten flog er auf.
In den letzten Jahren waren Hacker im Schnitt 229 Tage, also fast acht Monate, im IT-System eines Unternehmens aktiv, bevor sie entdeckt wurden. «Die Sicherheitsmassnahmen werden laufend besser, so dass Attacken schneller erkannt werden», sagt Raphael Schmid.
Sofort zu erkennen geben sich hingegen Cyber-Erpresser. Sie blockieren Daten, Passwörter, Schlüssel-, Kassen- oder Haustechniksysteme und geben sie nur gegen Bezahlung eines Lösegeldes wieder frei. Eine Massnahme, um es Cyber-Kriminellen möglichst schwer zu machen, ist die Sensibilisierung der Mitarbeitenden in Bezug auf Phishing, Social Engineering, trojanisierte Software und Watering Holes.
Raphael Schmid rät, interne Cyber-Sicherheitsrichtlinien und -Prozessabläufe festzulegen. Was ist bei einem Cyber-Angriff zu tun? Wie überbrückt man die Zeit, bis wieder wie gewohnt gearbeitet werden kann? Das sollte wie das Verhalten bei einem Brand immer wieder geübt werden.
«Der Umgang mit Cyber-Risiken bedingt ein Konzept», sagt Schmid weiter. Ins Konzept gehören Risikoanalysen, Quantifizierungsprojekte, realistische Hacker-Attacken-Tests und eine Cyber-Versicherung. Die kann den Betrieb nicht vor Angriffen schützen, aber vor den Kosten für Schadensbegrenzung und -behebung sowie vor finanziellen Folgeschäden und ermöglicht den Zugang zu professioneller Unterstützung im Krisenfall. Zum Beispiel bei Datenklau.
Seit Mai gilt die neue europäische Datenschutzgrundverordnung (DSGVO). Sie sieht Bussen bis zu 20 Millionen Euro vor, wenn der Datenschutz nicht eingehalten wird. Obschon es sich um eine europäische Verordnung handelt, gilt sie auch für Schweizer Hotels, die Gäste aus dem EU-Raum beherbergen. Auf Gästedaten, vor allem Kreditkarteninfos, haben es Cyber Kriminelle besonders abgesehen. Deshalb sollte man am besten nur jene Gästedaten sammeln und den Mitarbeitenden zugänglich machen, die sie für ihre Arbeit wirklich brauchen.
WLAN für Hotelgäste, Mitarbeitende, die geschäftliche Mails auf ihren privaten Tablets beantworten, Kopierer und Kaffeemaschinen, die selbständig mit dem Servicetechniker kommunizieren – jedes Gerät, das einen Onlinezugang hat, ist ein mögliches Einfallstor für Cyber-Kriminelle und somit ein ernst zu nehmendes Sicherheitsrisiko.
«Es wird oft ausgeblendet, dass ein Hotel mit anderen Unternehmen und Zulieferern verbunden ist, über deren Sicherheitsmassnahmen man in der Regel nichts oder nur wenig weiss», warnt Raphael Schmid. So wie eine Billardkugel über ein mehrfaches Bandenspiel ins Loch versenkt werden kann, gelangen auch Cyber-Kriminelle über verschlungene Umwege ins IT-System eines Hotels. Das lässt sich beim heutigen Stand der Digitalisierung und Vernetzung kaum vermeiden. Aber eindämmen. Zum Beispiel durch getrennte Internetzugänge für den Gästebereich und den eigentlichen Hotelbetrieb.
(Riccarda Frei)
Jedes dritte KMU in der Schweiz ist ein Opfer von Cyber-Attacken.
In zwei Dritteln der Firmen dürfen Angestellte ihre privaten Geräte nutzen, um berufliche E-Mails zu lesen oder zu verschicken.
Bis 229Tage konnten Angreifer in den letzten Jahren im Schnitt in den IT-Systemen der KMU aktiv sein, bevor sie entdeckt wurden.
4 Prozent der Firmen in der Schweiz sind von Cyber-Erpressung betroffen. Und 36 Prozent der KMU sind mit Malware wie Viren oder Trojanern infiziert worden.
Nur 15 Prozent der Firmen schulen ihre Mitarbeitenden im sicheren Gebrauch der IT.
Phishing: E-Mails, die legitim aussehen, jedoch schädliche Anhänge oder Links enthalten, um den Rechner zu infizieren. Meist wird in diesen Mails mit Verführung oder Drohung gearbeitet, um ein Anklicken auszulösen.
Social Engineering: Angreifer manipuliert Mitarbeitende mit Tricks so, dass sie Informationen preisgeben oder Aktionen durchführen, die einen Angriff erleichtern.
Trojanisierte Software: Schadsoftware (Malware) wird in legitime Programme eingefügt, um die Rechner der Benutzer zu infizieren. Sei es, um diese zu blockieren, Daten auszuspionieren oder zu manipulieren. Beispiele dafür sind das Sperren der Schlüsselkarten und das Klauen von Kreditkarteninfos der Gäste.
Watering Hole: Legitime Websites, von denen der Angreifer weiss, dass die Zielgruppen diese immer wieder aufsuchen, werden ohne deren Kenntnis so manipuliert, dass sie Besucher mit einer Malware infizieren.
