News

Um die Relevanz für Cyber-Security in Hotels zu verdeutlichen, erfolgt zunächst eine grundsätzliche Betrachtung. Hotels gibt es in unterschiedlichen Größen und Ausstattungen. Oft bieten sie Beherbergung für über tausend Gäste und ein umfangreiches Serviceangebot. Eine große Anzahl von Mitarbeitern ist verantwortlich für die entsprechende Dienstleistungserbringung. Die jährlichen Umsätze liegen schnell im zwei- bzw. dreistelligen Millionenbereich, wodurch viele Hotels zu den Großbetrieben gehören.

Die Digitalisierung hat auch in Hotels Einzug gehalten. Dabei werden Prozesse effizienter gestaltet und Personal eingespart. Grundsätzlich ist ein Hotel aufgebaut wie jedes andere Unternehmen. Es besteht aus operativen Systemen, welche die Wertschöpfungskette abbilden. Diese werden durch Planungs- und Kontrollsysteme gesteuert. Für den reibungslosen Betrieb tauschen alle Systeme ihre Informationen in digitaler Form vertikal sowie horizontal über die Hoteldateninfrastruktur, deren Schnittstellen und gemeinsam genutzten Datenbanken aus.

Cyber-physische Systeme und Cyber-Attacken​

Designer und Architekten haben seit jeher versucht der Hotelkundschaft besonderen Komfort unter Zuhilfenahme von neuen Technologien zu bereiten. Dazu zählt heutzutage, neben anderen, die zunehmende automatisierte Ausstattung der Hotelgebäudetechnik mit smarten Cyber-Physischen Systemen, auch, um z.B. Zugänge zu Stockwerken, Garagen, Zimmern und Aufzügen, Tagungsräumen, Restaurants sowie Wellness-Bereichen zu kontrollieren bzw. berührungslos freizugeben oder zu sperren.

Das hoteleigene Netzwerk muss neben internen zusätzlich unterschiedliche Arten externer Schnittstellen vorhalten, z.B. für die Kommunikation und den Datenaustausch mit Lieferanten, Logistikpartnern, Reisebüros und Privatkunden. Der Grad der Digitalisierung und Vernetzung schreitet also auch in Hotels unaufhaltsam voran. Allerdings wächst damit ebenfalls die Bedrohungslandschaft, welche vermehrte Angriffsfläche für Cyber-Attacken bietet, und somit neue Herausforderungen für die Gewährleistung der Sicherheit des Hotels und seiner Gäste entstehen.

Sensible Daten und Info-Displays

Jedes Hotel hält nicht nur eigene, sondern auch vertrauliche sowie sensible Daten seiner Gäste, Mitarbeiter und Geschäftspartner vor. Dazu gehören z.B. persönliche Informationen (Name, Anschrift, Nationalität, Geburtsdatum, KFZ-Kennzeichen), Kreditkarteninformationen, Firmennamen und Zahlungskonditionen. Die Gäste können umfangreiche Dienstleistungen über das WLAN, die hoteleigene App, oder interaktive Terminals bzw. Info-Displays buchen sowie bezahlen. Hotels waren für gewisse Kriminelle schon immer ein Tummelplatz, um sich durch verschiedenste Art und Weise am Hotel und seinen Gästen zu bereichern.

Die Schwerpunkte und der Umfang von Sicherheitsmaßnahmen verschieben sich im Zeitalter der Digitalisierung enorm, denn durch sie ergeben sich auch neue Möglichkeiten für kriminelle Handlungen. Ransomware-Angriffe auf Hoteldatenbanken und IT-Anwendungen, DDOS und Bot-Net-Angriffe auf die IT-Infrastruktur, Einschleusen von Schadsoftware über Wechseldatenträger und externe Hardware z.B. durch Gäste und interne oder externe Mitarbeiter, Infektionen mit Schadsoftware über das Internet oder Intranet, Einbruch über Fernwartungszugänge der Gebäudeautomatisierung, menschliches Fehlverhalten oder Sabotage, Identitäts- und Kreditkartendatendiebstahl sind nur einige der neuen immateriellen Szenarien.

Die Schadensfolgen von Cyber-Attacken können für jedes Hotel schnell existenzgefährdend werden und sind deshalb unbedingt unter Kontrolle zu halten.

• Der Verlust von Performance und Verfügbarkeit der Dienstleistungsprozesse,
• der Verlust von Vertraulichkeit durch Abfluss sensibler Gästedaten,
• mangelhafte Integrität durch Datenverlust oder Manipulation,
• das Fehlen von Authentizität durch gefälschte Quellnachweise, physischen Schäden bzw. Zerstörung der Hotelanlagen,
• das Auslösen von Safety-Prozeduren,
• die Bereinigung und Systemwiederherstellung nach Attacken und
• der Verlust der Hotelreputation

sind nur wenige Beispiele möglicher Auswirkungen von Primär- und Folgeangriffen. Zum Schutz vor Sicherheitsvorfällen empfiehlt sich eine strukturierte und organisierte Herangehensweise z.B. durch den Aufbau eines Informationssicherheitsmanagementsystems. Mit entsprechenden technischen und organisatorischen, als auch rechtlichen Konzepten wird die Hotelsicherheit analysiert, proaktiv gefestigt und damit Resilienz erzeugt.

Digitalisierung und Herausforderungen

Wie andere Unternehmen, haben auch Hotels im Zuge der Digitalisierung mit den Herausforderungen zu kämpfen ihre sicherheitsstrategischen Ziele sowie Sicherheitsprozesse praktisch anwendbar zu definieren bzw. zu gestalten, um Cyber-Angriffe von innen und außen zu vermeiden. Es besteht bei den verantwortlichen Mitarbeitern ein unzureichendes Bewusstsein über die möglichen Angreifer, ihre Angriffsarten, Ziele und damit verbundene Risiken. Meistens mangelt es an Klarheit für die gewünschte Baseline durch insuffizientes Verständnis über den Reifegrad der Ist- und Soll-Zustände. Die Strukturanalyse inklusive der Aufnahme und Beschreibung der IT-Assets ist oft bereits unzureichend.

Unternehmens- und Bedrohungsdaten werden dürftig prozess- und risikobezogen erfasst sowie bewertet, mit der Folge, das organisatorische sowie technische Sicherheitsmaßnahmen nicht an die tatsächlichen Bedürfnisse des Hotels angepasst werden können und damit niemals ein angemessenes Schutzniveau besteht. Budget sowie fähiges bzw. erfahrenes Personal wird in allen Ebenen benötigt, auch um die Auswahl, Integration und Anwendung passender Sicherheitswerkzeuge effizient zu realisieren und somit unnötige Kosten zu vermeiden.

iAP – Independent Consulting + Audit Professionals GmbH bietet externe IT-Prüfungen und Zertifizierungen sowie Beratung mit umfassender Expertise an. Das Portfolio der iAP deckt die Bereiche des Governance Risk & Compliance Management, der IT-Security & Resilienz, IT-Beratung & Data  , Nachhaltigkeit & ESG sowie Datenschutz nach der DSGVO vollumfänglich ab.

Cyber-Risiken stellen KMU (Kleine Mittelständische Unternehmen) vor eine große Herausforderung. Die Auswirkungen nehmen zu. Für die Geschäftsführung muss diese Tatsache als ein Risiko mit höchster Priorität angesehen werden.

Ransomware-Angriffe, bei denen Unternehmen von ihren Computersystemen „lahmgelegt“ werden, haben dramatisch zugenommen und sich im ersten Halbjahr 2021 fast verdoppelt, während das durchschnittliche Lösegeld, um aus dem Dilemma zu entkommen, um 82 % gestiegen ist.  Weltweit werden Unternehmen jeder Größe und Art von kriminellen Ransomware angegriffen. Diese Angriffe führen oft zum Stillstand des Geschäftsbetriebs. Die Wiederherstellung braucht Zeit, wird teuer, führt zu Imageverlust und kann den Geschäftsbetrieb stören oder gar aufhalten.

Für manche Unternehmen sind höhere Investitionen in die Cybersicherheit möglicherweise nur ein Tropfen auf den heißen Stein. Das liegt oft daran, dass die Strukturen der Organisation zu komplex sind, um sie adäquat absichern zu können. Diese Komplexität der Strukturen entsteht oftmals erst im Laufe der Zeit. Gründe dafür sind z.B. Wachstum, Fusionen, Übernahmen und vor allem aber die Einführung neuer Technologien. Damit einhergehend kommt die Verzahnung von Compliance und Governance oft zu kurz.

Vor dem Hintergrund der stetig zunehmenden Gefahren durch Cyberangriffe stehen Unternehmen und Organisationen vor folgenden Fragen:

• Ist mein Unternehmen ausreichend gegen Cyberangriffe abgesichert?
• Welche nicht bekannten Lücken und Schwachstellen schlummern in der Unternehmens-IT und gefährden meine Geschäftsprozesse oder stellen ein signifikantes Risiko für mein Unternehmen dar?
• Wie kann ich die Informationssicherheit in meinem Unternehmen möglichst ohne zusätzliche Kosten erhöhen und auf den Stand der Technik bringen?