ÖHV: Herr Mikiss, welche Auswirkungen haben smarte Technologien und die Vernetzung von Systemen für die Cyber-Sicherheit von Hotels?
Stephan Mikiss:Durch diese Entwicklung steigt das Angriffspotenzial enorm. Immer mehr Systeme werden miteinander vernetzt, wie z. B. PMS, Buchungstool, Lagersysteme o. Ä. Und es sind immer mehr smarte Geräte im Einsatz – von Verwaltung und Gebäudemanagement, wie E-Ladestationen, Heizung oder Bezahlterminals, bis hin zu Features für den Gast, wie die digitale Gästemappe.
ÖHV: Was sind die gängigsten Angriffsarten?
Stephan Mikiss: Ich würde schätzen, dass die Hälfte der Angriffe ihren Ursprung in einem Phishing-Mail mit Schadsoftware hat. Das ist schon sehr lange ein “klassisches” Einfallstor. Oder es geht in Richtung Business E-Mail Compromise, wobei die Bankdaten von Lieferanten ausgetauscht werden, damit die Überweisung nicht an die richtige Partei geht, sondern auf das Konto der Angreifer:innen umgeleitet wird. Eine Entwicklung, die wir die letzten 1-2 Jahre beobachten, sind Angriffe über Wartungszugänge oder Schnittstellen, bzw. stillgelegte Schnittstellen, auf die vergessen wurde und die sicherheitstechnisch gesehen nicht wieder geschlossen wurden. Wenn dann 2-3 Jahre später ein Angriff darüber stattfindet, dann staunt man nicht schlecht.
Ziel der Angriffe ist meist, das Hotel am Arbeiten zu hindern und so Druck für eine Lösegeldforderung aufzubauen. Dazu können einzelne Daten verschlüsselt oder auch ganze Systeme lahmgelegt werden. Wenn man keine Buchungen mehr einsehen oder einbuchen kann, keine Schlüsselkarten mehr ausgestellt werden können oder an Bezahlterminals nicht mehr gezahlt werden kann, dann hat das großen Einfluss.
ÖHV: Wie kann man solche Angriffe verhindern?
Stephan Mikiss: Eine richtige Netzwerkarchitektur ist sehr wichtig. Das bedeutet, dass nicht alle Geräte und Systeme in einem großen Netzwerk hängen, sondern unterschiedliche, möglichst unabhängige und geschützte Netzwerke existieren. Ein klassisches Beispiel ist das Gäste-WLAN, das vom hotelinternen WLAN getrennt ist.
Was ebenfalls entscheidend ist, ist das Thema Backup-Infrastruktur. Welche Arten von Backups habe ich? Kann auf die Backups Einfluss genommen werden? Sind sie gegen Angriffe geschützt und unveränderbar? Wie schnell kann ich die Backups wieder einspielen und Systeme wiederherstellen? Kann ich bestimmte Daten oder komplette Systeme wiederherstellen? Das sind essentielle Fragen, die man sich unbedingt stellen sollte.
ÖHV: Gibt es auch Sicherheitsmaßnahmen, die seitens des Teams gesetzt werden können?
Stephan Mikiss: Auf jeden Fall. Die Mitarbeiter:innen sollten regelmäßig geschult werden, damit sie z. B. Phishing-Mails erkennen und wissen, wie sie damit umgehen sollen.
Zudem können Vorgaben für den Umgang mit externen Geräten von Gästen oder Lieferanten sinnvoll sein. Diese sollten jedoch zum Haus passen und in der Umsetzung realistisch sein. Ein Beispiel: An Rezeptionen fragen Gäste häufig, ob etwas für sie ausgedruckt werden kann. Im Sinne des Servicegedankens möchte man diesen Wunsch ungern ablehnen. Eine mögliche Lösung wäre, einen Business-Corner mit einem eigenen, besonders gesicherten PC einzurichten, der nicht an die restliche IT-Basisinfrastruktur angebunden ist. Die klare Vorgabe für die Mitarbeiter:innen könnte dann lauten: Externe USB-Sticks werden ausschließlich am PC im Business-Corner verwendet.
Vielen Dank für das Gespräch!
