Warum sollten Cyberkriminelle Hotels angreifen? Es wird häufig angenommen, dass Internetverbrecher nur grosse Finanzinstitute und multinationale Unternehmen ins Visier nehmen. Die Zeiten haben sich jedoch geändert. Um zu verstehen, was passiert, sei hervorgehoben, dass KMU zunehmend Opfer von Cyberattacken werden. Einer PwC-Studie* zufolge haben sich die durch IT-Sicherheitsvorfälle verursachten Kosten, die KMU betreffen, um 100 % erhöht, während sich die finanziellen Schäden, die grossen Unternehmen durch derartige Angriffe entstehen, um 20 % reduziert haben. Für grosse Hotelketten gilt dasselbe: Unternehmen, die nicht ausreichend auf Cyberangriffe vorbereitet sind, lassen sich leichter attackieren als solche, die an Cyberkriminalität gewöhnt und gut geschützt sind.

Sensible Daten

In der Hotelbranche steht die Verarbeitung von sehr vertraulichen Kundendaten (Kreditkarten, persönliche Daten, Kundenpräferenzen usw.) auf der Tagesordnung. Hier liegt den Cyberkriminellen eine wahrhaftige Goldmine zu Füssen, da sich derartige Daten hervorragend für andere Angriffe verwenden lassen, an kriminelle Gruppen verkauft oder im «Versteckten Web» veröffentlicht werden können.

Die wohl bekannteste Methode - Spear-Phishing - besteht in der Beschaffung von Informationen einer bestimmten Person, um diese zu manipulieren und Geld zu erpressen. Zu den bewährten Betrugsmethoden gehört das Social Engineering: Ein Hacker usurpiert die Identität eines reichen Kunden anhand zuvor (beispielsweise aus der Datenbank eines Hotels) erbeuteter persönlicher Daten, um einen Angestellten der Bank des Kunden zur Überweisung von Geld zu veranlassen.

Beispiele

Betrachten wir einige aktuelle Beispiele. Die Hotelkette White Lodging Services Corporation aus Indiana, zu der auch Marriott Hotels gehören, meldete Anfang 2015 einen Cyberangriff, der über sieben Monate andauerte. Bei diesem Vorfall war es den Kriminellen gelungen, sich Zugriff auf das Netzwerk und die darin enthaltenen Daten zu verschaffen. Anfang 2016 war dann die Hyatt-Kette an der Reihe, die massive Abschöpfung von Kreditkarten- und Kundendaten bekannt zu geben. Weltweit 250 Hotels der Kette waren davon betroffen.

Diese Art von Vorfällen zählt heutzutage zum grössten Albtraum des Hotelgewerbes, aber auch andere Branchen bleiben nicht verschont. Laut der 2016 von PwC weltweit durchgeführten CEO-Umfrage, welche die Antworten von 1409 CEOs aus 83 Ländern erfasst, zählen für 59 % der CEOs Sicherheitsbedrohungen aus dem Internet zu den drei grössten Gefahren für einen effizienten und sicheren Geschäftsbetrieb.

Und sie haben recht! Das Aufkommen des «Internets der Dinge» eröffnet den Hackern von heute fast unbegrenzte Möglichkeiten. Da die Anzahl von mit dem Internet verknüpften Objekten ständig weiterwächst - 2020 sollen es über 30 Milliarden sein -, werden an die Netzwerksicherheit ständig grössere Anforderungen gestellt. Die zum wirkungsvollen Angehen dieser Herausforderungen zu tätigenden Investitionen haben sich 2015 bereits verdoppelt. Bisher verfügen nur 36 % der Teilnehmer der Befragung über eine geeignete Strategie für den Umgang mit dem Internet der Dinge.

Neben der Notwendigkeit umfangreicherer Schutzkonzepte stellen wir auch fest, dass die Anzahl der gemeldeten Cyberangriffe 2015 weltweit um 38 % gestiegen ist. Auf der anderen Seite jedoch wurden die Budgets für Informationssicherheit nur um 24 %* erhöht.

Zwei Beobachtungen

Diesbezüglich sind zwei Beobachtungen festzuhalten: Investitionen in die Unternehmenssicherheit stehen häufiger mit der Erfüllung gesetzlicher Anforderungen in Verbindung als mit dem Wunsch, Unternehmensdaten effektiv zu schützen. Hoteldirektoren tendieren dazu zu glauben, dass «Outsourcing» die Lösung für derartige Probleme ist. Die Zeit zum Umdenken ist gekommen: Hotels haben nicht nur die finanziellen und persönlichen Daten ihrer Kunden zu verwalten, sondern müssen auch Cyberrisiken in ihre Arbeitsmethoden einbinden.

Zu diesem Zweck sollten sich Hoteldirektoren einige Fragen stellen:

  • Haben wir eine umfassende Sicherheitspolitik auf Grundlage eines Sicherheitsstandards (z. B. ISO 27´000) definiert, validiert und überprüft?
  • Ist bei uns im Unternehmen jemand für Tätigkeiten auf dem Gebiet der Informationssicherheit (z. B. CISO/CSO) verantwortlich? Verfügen wir über die erforderlichen Ressourcen im Hinblick auf fachliche Kompetenz und Befähigung?
  • Führen wir einmal jährlich eine Bewertung der internen und externen Risiken für Datenvertraulichkeit, -integrität und -verfügbarkeit durch?
  • Was sind unsere «Kronjuwelen»? Gibt es ein genaues Verzeichnis darüber (z. B. Kundendaten, Angestellte, geistiges Eigentum)?
  • Welche technologischen Massnahmen haben wir definiert, um Sicherheitsvorfälle, z. B. eine Datenleckstelle, effektiv zu vermeiden und aufzudecken?
  • Welche Kontrollstrukturen existieren, um menschliche Fehler, insbesondere in Bezug auf Schlüsselkräfte, zu minimieren?
  • Welche unserer externen Dienstleistungspartner speichern unsere Schlüsseldaten? Liegt ein genaues Verzeichnis vor?
  • Führen wir interne und externe Penetrationstests bei Schlüsselanwendungen und -infrastrukturen zur Bewertung unserer Schwachstellen durch?
  • Haben wir einen Managementprozess bei Eintritt eines Cybervorfalls definiert, und prüfen wir ihn gegebenenfalls regelmässig?
  • Wie arbeiten wir mit unseren Kollegen zusammen?

Die gute Nachricht ist, dass Organisationen heutzutage immer mehr Möglichkeiten zur Verfügung stehen, um Bedrohungen mithilfe sogenannter «Bedrohungsanalysen» antizipieren zu können. Dazu gehören Informationssysteme über Bedrohungen, die grosse Datenmengen aus dem Internet, aus Cloud-Umgebungen, versteckten Bereichen des Netzes, sozialen Netzwerken und anderen Quellen analysieren. Dank solcher Systeme können Organisationen im Voraus wissen, welche Bedrohungen sich für sie abzeichnen und wie sie diesen proaktiv und nicht reaktiv begegnen können.

Schlussfolgerung

Zum Abschluss noch eine weitere Nachricht, die uns hoffnungsvoll in die Zukunft blicken lässt: Trotz der alarmierenden Situation, in der sich die Hotelbranche befindet, ist zu erwarten, dass die jüngsten Geschehnisse die Dimension der Bedrohung weltweit ins Bewusstsein der Öffentlichkeit gerückt haben und sich daraus in den kommenden Monaten neue Möglichkeiten zur Verbesserung der Internetsicherheit ergeben werden.

Jetzt ist die Zeit zum Handeln gekommen! Die Frage, ob Ihr Unternehmen Opfer eines Cyberangriffs werden könnte, hat jegliche Relevanz verloren. Stattdessen rückt die Frage in den Mittelpunkt, wie Sie sich auf einen Angriff vorbereiten und wie sie sich bei Eintritt eines Sicherheitsangriff verhalten sollten.