Jedes Hotel besitzt sensible Daten und Informationen von Kunden, doch die meisten Hotels sind nicht ausreichend gegen Cyberkriminalität geschützt – Kriminelle verschlüsseln ihre Dateien und fordern Lösegeld. Ein brisantes Thema, welches die Branche in Zukunft stark beschäftigen wird.

 

Die Anfrage für eine Reservierung kam auf Englisch, ein Mitarbeiter an der Rezeption klickte unbedacht auf einen Link am Ende der E-Mail. Kurz darauf klingelte bei Hotelmanager Thomas Müller*, der auf der Rückreise aus den Ferien war, das Telefon Sturm. Fast alle Programme der Hotelrechner seien lahmgelegt, Mail-Verkehr nicht möglich, wichtige Dateien verschlüsselt, berichteten die Mitarbeiter des Viersternehauses im Raum Zürich. Mehr noch: Auf dem Bildschirm sei eine Lösegeldforderung erschienen. 1500 Dollar müsse er zahlen, um wieder an seine Dateien zu kommen.

Die Ursache: eine Schadsoftware, die Daten verschlüsselt und Lösegeld fordert, im Fachjargon „Ransomware“ genannt. Müller hatte Glück im Unglück. Das Reservationsprogramm war nicht betroffen, er konnte noch Rechnungen ausstellen und Gäste einchecken.

Anders lief es vor einigen Jahren bei Thierry Geiger: In seinem Bündner Viersternehotel Saratz legte Ransomware mehrere Tage lang das System komplett lahm. «Wir mussten alle Rechnungen von Hand schreiben, auf Papierlisten eintragen, wo ­welche Gäste untergebracht sind. Wären wir ausgebucht gewesen, wären wir abgesoffen.»

Beide Hoteliers zahlten kein Lösegeld und konsultierten Experten für Informationstechnik. Die Sicherheitslücke kam teuer zu stehen: 10 000 Franken musste Müller berappen. Geiger zahlte gar 50 000 Franken, unter anderem für neue Server. Ein österreichisches Hotel traf es noch härter. Nach einem Ransomware-Angriff funktionierte nicht einmal mehr das System für die elektronischen Zimmerschlüssel. Die Beispiele sind keine Einzelfälle.

«Es gibt vermehrt Ransomware-Angriffe, und vielen Hoteliers ist die Gefahr nicht ausreichend bewusst», sagt Hotelleriesuisse-Präsident Andreas Züllig. Einzelne handelten gar fahrlässig, indem sie ihre Systeme nicht ausreichend schützten.

Zahlen zur Cyberkriminalität in der Hotellerie gibt es nicht. Das Bundesamt für Polizei erhielt 2015 insgesamt über 300 Meldungen zu Ransomware, die Attacken nähmen weiter zu, sagt eine Sprecherin. Wie stark, lassen Daten des auf Sicherheitssoftware spezialisierten Unternehmens Kaspersky erahnen. Waren 2014 nur 128 Firmenkunden in der Schweiz betroffen, so waren es im letzten Jahr schon 2324. Zunächst seien die Angriffe vorwiegend gegen Privatpersonen gerichtet gewesen, mittlerweile häuften sich die Fälle bei Unternehmen, sagt ein Sprecher. Es kann jeden treffen, ob Handwerksbetrieb oder Arztpraxis, Spital oder Treuhänder.

Die Hoteliers sprechen nicht gern über das Thema, sie fürchten um ihren Ruf. Von Anzeigen verspricht man sich wenig Erfolg. Geiger meldete sich bei der Polizei: Sie konnte ermitteln, dass der Angriff von der Ukraine aus erfolgte. Die Strafverfolgung war unmöglich.

Vielfach sind die Behörden überfordert, einzig der Kanton Zürich unterhält ein Kompetenzzentrum für Cyberkriminalität. Und das, obwohl dem Bundesamt für Polizei 2015 über 11 000 Cybercrime-Fälle gemeldet wurden. Es rät von Lösegeldzahlungen ab, weil nicht gewährleistet sei, dass die Daten tatsächlich entschlüsselt werden. Kommt hinzu, dass die Schadsoftware immer raffinierter wird.

«Es gibt neuerdings Trojaner, die nach einer Lösegeldzahlung erneut zuschlagen», sagt Pascal Mittner von der IT-Sicherheitsanalysefirma First Security Technology. «Oder solche, die so programmiert sind, dass sie erst mit der Verschlüsselung beginnen, wenn sie herausgefunden haben, wo eine Sicherheitskopie der Daten ab­gespeichert ist.»

Ein Back-up gilt als einziger Ausweg nach einer Verschlüsselung. Mit seiner Hilfe können Server und Endgeräte neu aufgesetzt, die Daten gerettet werden. Wenn dieses Back-up aber auch verschlüsselt sei, zahle der eine oder andere dann doch lieber Lösegeld, sagt Mittner.

Wie können Hoteliers derartige Angriffe vermeiden? IT-Experte Herbert Stieger von der Firma Informatica hält eine wirksame Firewall und einen gut eingestellten Spamfilter, der verdächtige ­E-Mails gar nicht erst ins Postfach lässt, für am wichtigsten. Seine Firma betreut IT-Systeme von über 120 Kunden aus verschiedensten Branchen. Stieger sieht im Schnitt einen Ransomware-Fall im Monat.

Immer wieder erlaubten Hotels ihren Mitarbeitern aber auch, private Mails im Browser zu öffnen, sagt Hans Hänny von der IT-Firma Client Systems, der rund 120 Hotels betreut. Dann helfe selbst der beste Spamfilter für die Geschäftsadresse nichts. Der Virenscanner ist umstritten, meist wird er empfohlen, aber er muss laufend aktualisiert werden. Entscheidend ist die Schulung der Mitarbeiter. Die Hotellerie birgt spezielle Risiken. Die Belegschaft ist gross und wechselt häufig. Zudem geht es um umfangreiche Kundendateien. Auch Da­ten­klau gilt als gängiges Motiv von Cyberattacken. «Seien wir ehrlich, ich weiss alles über Sie, ich habe Ihre Adresse, Telefonnummer, Ihre Passnummer», sagt ein Hotelier.

Ernst Wyrsch, Präsident von Hotelleriesuisse Graubünden, schätzt, dass gerade Vier- und Fünfsternehäuser in prominenten Orten wie St. Moritz, Gstaad, Zermatt oder Davos für Hacker interessant sind. Informationen darüber, wer während des Weltwirtschaftsforums wo logiert, dürften einen hohen Wert besitzen.

Manche Hotels richten mit dem Gratis-WLAN für die Gäste auch gleich die Sicherheitslücke ein. Das Gäste-WLAN muss von jenem für die Mitarbeiter abgekoppelt sein, um unerwünschte Zugriffe zu verhindern. Das sei nicht immer der Fall, sagt Hotelleriesuisse-Präsident Züllig. Denn IT-Sicherheit erfordert hohe Investitionen. Rund 30 000 Franken investierte Züllig im eigenen Haus, dem Schweizerhof auf der Lenzerheide, in eine neue, sichere Infrastruktur. Jeden Monat werden Dutzende Seiten gesperrt, auf denen Gäste oder Mitarbeiter unterwegs waren und die vom Sicherheitssystem als riskant eingestuft wurden.

Auch Kreditkarteninforma­tionen sind ein beliebtes Ziel von Hackern. Während Buchungsplattformen wie Booking.com Kreditkartennummern selbst verwalten, verzichten Hoteliers vermehrt darauf – aus Angst, bei einem Datendiebstahl zur Verantwortung gezogen zu werden. Derartige Informationen würden nicht abgespeichert, sagen mehrere Hoteliers. Im digitalen Zeitalter erfassen viele die Kreditkartendaten wenn überhaupt handschriftlich. «Und dann ab damit in den Safe», sagt der ­Direktor eines Kongresshotels.

*Name der Redaktion bekannt


 

Hyatt als Opfer von
Cyber-Kriminellen

 

Mitte Oktober sorgte der Datendiebstahl von Kreditkarteninformationen bei Hyatt für Aufsehen. Die Hotelgruppe wurde bereits zum zweiten Mal in diesem Jahr gehackt – und zwar im großen Stil. Die Täter installierten eine sogenannte Malware auf den Hyatt-Systemen, diese übermittelte dann sämtliche Gästedaten an die Hacker.

IT-Experten sehen in der zunehmenden Digitalisierung und Vernetzung der Hotels ein großes Risiko für Angriffe. Offizielle Zahlen oder Beispiele von betroffenen Hotels liegen jedoch nicht vor. Doch obwohl Hotelverbände ihre Mitglieder laufend mithilfe von Vorträgen oder Seminaren sensibilisieren und zahlreiche Ketten sich den Datenschutz auf die Fahnen schreiben – nicht jedes Hotelmanagement ist aufgeklärt und schützt sich ausreichend. Da ist sich auch Ivan Bütler sicher. Er ist selber Hacker – allerdings kein krimineller. Der Schweizer nutzt sein Wissen, um Firmen vor Angriffen aus dem Internet zu schützen und gründete das Ethical-Hacking-Unternehmen Compass Security. „Die Aufklärung der Hotels über aktuelle Bedrohungen ist ein laufender Prozess – das Internet entwickelt sich ständig weiter.“ Zahlreiche neue Chancen wie etwa Bitcoin oder Internet of Things seien Trends, denen auch Hotels folgen möchten – der Spagat zwischen der Nutzung dieser neuen Geschäftschancen und der entsprechenden Absicherung der Bedrohung gelingt laut Bütler allerdings nicht immer. „Sicherheit ist ein mühsamer Aspekt, der mit Kosten und weniger Usability gekoppelt ist. Darum gewinnt meist der Kundennutzen und die Security erhält keine oder die zweite Priorität.“

Die Schwachstellen wurden auch kürzlich in einer Diskussionsrunde auf der Plattform der Zürcher Hoteliers deutlich. Nicht nur Bütler warnte davor, sondern unter anderem auch der Staatsanwalt des Kantons Zürich, Stephan Walder. Sehr oft ginge es bei der Cyberkriminalität nämlich um Erpressung. Hacker installieren Malware auf den Sytemen des Hotels – ähnlich wie bei Hyatt. Allerdings verschlüsseln diese Programme zahlreiche Daten und fordern zur Freischaltung Lösegeld. So geschehen Anfang des Jahres im Hotel von Elio Frapolli in Dietikon. Er ist den Forderungen nachgekommen – und musste dennoch im Nachhinein die gesamte Hard- und Software im Hotel austauschen, was den Hotelier insgesamt rund 100 000 Franken kostete.

In Ivan Bütlers Augen sind gerade Hotels so verwundbar, weil Fremde die Gäste leichter ausspionieren können als in deren Zuhause. Worauf es ein Hacker abgesehen hat, sei ganz unterschiedlich – Kreditkartendaten, persönliche Informationen, oder vertrauliche und geheime Infos von Laptops und Handys. Das Hotel sei auch ein idealer Ort, um Personen zu orten, deren Bewegungen und Kommunikationsverhalten zu analysieren oder auch Trojaner und andere Malware auf die persönlichen Geräte der Hotelgäste zu pflanzen. Wirklich schwierig sei es für einen Profi dabei nicht, ein Hotel oder dessen Gäste zu hacken. „Es kommt einfach darauf an, wie gut der Angreifer ausgerüstet ist“, so Bütler.

Neue Technologien wie Smart-TVs oder digitale Zimmerschlüssel spielen den Hackern dabei in die Karten – denn Hoteliers sehen zunächst den Mehrwert für den Gast und lassen, so Bütler, Sicherheitsaspekte außen vor. „Erst wenn etwas passieren sollte – wenn beispielsweise via eingebaute Kamera des Smart-TV irgendwelche unpässlichen Inhalte an die Öffentlichkeit gelangen – wird diese Technik auch als Gefahr und Bedrohung wahrgenommen“, warnt der IT-Experte.

Jedes Hotel sollte sich – und damit auch die Gäste – vor Angriffen aus dem Internet im Vorhinein schützen. So ist es zum Beispiel ratsam, ein effektives Risikomanagement einzuführen, so Alexander Fritz, Geschäftsführer der Fritz & Fritz Risikoberatung. Es gibt für Hotels und Unternehmen einen speziellen Versicherungsschutz. Zum einen ist das eine Eigenschadenversicherung (Cyber-Versicherung), die Ansprüche Dritter und deren Abwehr bei Verletzung des Datenschutzes, der Vertraulichkeit und des Persönlichkeitsrechts umfasst. Zum anderen deckt eine sogenannte Cyber-Haftpflicht Schäden durch eigenes Verschulden ab.

Ivan Bütlers Vorschlag: „Ein IT-Sicherheitsbeauftragter sollte sich über die neuen Cyber-Bedrohungen im Klaren sein und ein Abwehr-Sicherheitsdispositiv aufbauen.“ Zudem sollte es einen Notfallplan geben, falls ein Cyber-Ereignis eintritt. Dennoch betont er: „Niemand ist vor einer Hackerattacke 100-prozentig sicher.“ Sollte ein Hotel Opfer der Cyberkriminalität werden, müsse es seine Sicherheitsmaßnahmen überarbeiten und Anpassungen vornehmen. Die Experten raten außerdem dazu, so schnell wie möglich Kontakt mit der Polizei aufzunehmen.