Digitale Systeme sind mittlerweile für viele Prozesse im Hotelgewerbe essenziell, schaffen aber auch neue Einfallstore, die Cyber-Kriminelle ausnutzen können. Die Verarbeitung großer Mengen personenbezogener Daten, darunter auch Kreditkartendaten, macht Hotels und ähnliche Betriebe zu bevorzugten Zielen von Hackern.
2023 war das Hotelgewerbe eine der am stärksten von Cyber-Angriffen betroffenen Branchen. Welchen digitalen Risiken sieht sich die Hotellerie gegenüber und welche Schäden können dabei entstehen? Dieser Artikel bietet einen Überblick über die häufigsten Cyber-Bedrohungen für die Hotelbranche und zeigt auf, wie eine Cyberversicherung Betriebe umfangreich gegen diese Risiken absichern kann.
In immer mehr Branchen steigt der Einsatz digitaler Systeme. Auch die Hotelbranche hat in den letzten Jahren eine umfassende Digitalisierungswelle erlebt. Hier sind einige Beispiele, die zeigen, in welchen Bereichen moderne Technologie aus dem Hotelgewerbe mittlerweile fast nicht mehr wegzudenken ist.
Diese Beispiele illustrieren, dass moderne Hotels immer mehr von digitalen Technologien abhängig sind. Während diese Technologien für mehr Effizienz und ein verbessertes Gästeerlebnis sorgen, schaffen sie aber auch neue Risiken - speziell digitale Risiken. Hier sind die wichtigsten Cyber-Bedrohungen für die Hotellerie im Überblick.
Die Nutzung von Online-Buchungssystemen für Reservierungen birgt die Gefahr, dass sensible Kundendaten (z. B. Kreditkarteninformationen oder persönliche Daten wie Name oder Geburtsdatum) gestohlen werden und es zu einer Datenschutzverletzung kommt.
Cyber-Kriminelle können Sicherheitslücken und Schwachstellen in Reservierungssystemen ausnutzen und so Buchungen manipulieren oder stornieren, um Chaos zu stiften und dem Hotelbetrieb damit zu schaden. Verzögerungen und Störungen im Tagesgeschäft können zu Betriebsunterbrechungen und damit zu erheblichen finanziellen Schäden führen.
Ransomware-Angriffe gelten aktuell als größte Bedrohung und nehmen auch im Hotelgewerbe zu. Aktuellen Zahlen zufolge ist die Anzahl der Ransomware-Attacken auf Hotels um 150 % gestiegen. Gelingt es Cyber-Kriminellen, sich Zugriff auf sensible Daten zu verschaffen und diese zu verschlüsseln, können sie von Hotels ein hohes Lösegeld erpressen, damit sie die Daten nicht im Darknet veröffentlichen.
Mehr als 80% der Datenschutzverletzungen im Hotelgewerbe beginnen mit einem Phishing-Angriff. Über Phishing-E-Mails oder gefälschte Webseiten versuchen Cyber-Kriminelle, an Zugangsdaten für Buchungssysteme oder an sensible Daten von Gästen zu kommen. In der Hotelbranche sind Phishing-Angriffe und andere Arten von Social Engineering besonders gefährlich, da Mitarbeitende an der Rezeption sehr viele E-Mails mit Anliegen von Gästen oder Buchungsanfragen bearbeiten müssen.
Mithilfe von Malware können Cyber-Kriminelle das Schließsystem eines Hotels manipulieren und dafür sorgen, dass die elektronischen Schlüsselkarten der Gäste nicht mehr funktionieren. Ein solcher Vorfall ereignete sich beispielsweise 2022 in einem bayerischen Landgasthof und führte in dem betroffenen Betrieb zu einem Schaden von insgesamt 38.000€.
Da Mitarbeitende in Hotels oft Zugang zu sensiblen Gästedaten haben, sind Insider-Bedrohungen für die Hotelbranche von besonderer Relevanz. Unbeabsichtigte oder vorsätzliche Handlungen von Mitarbeitenden können zu Datenschutzverletzungen und in der Folge zu Reputationsverlusten und finanziellen Schäden führen.
Die öffentlichen WLAN-Angebote, die Hotels ihren Gästen zur Nutzung bereitstellen, sind ein mögliches Einfallstor für Cyber-Kriminelle. Werden diese Netzwerke nicht ausreichend gesichert, bieten sie Hackern die Möglichkeit, Man-in-the-Middle-Attacken durchzuführen, bei denen sie sich in die digitale Kommunikation zwischenschalten, um Nachrichten abzufangen, zu manipulieren oder zu löschen.
Moderne Point-of-Sale-Kassensysteme, wie sie häufig in Hotels genutzt werden, können mit Malware infiziert werden, um die Kreditkartendaten der Gäste abzugreifen. Ein erfolgreicher Angriff auf ein solches System kann nicht nur dazu führen, dass sich das Hotel mit einer Vielzahl an Schadensersatzforderungen von Gästen konfrontiert sieht, sondern auch, dass die Medien aufmerksam werden und es zu einem gravierenden Reputationsschaden kommt.
Hotelbetriebe sollten die aktuelle Cyber-Bedrohungslage ernst nehmen, um sich vor finanziellen Verlusten, Reputationsschäden, Datenschutzklagen und sonstigen Konsequenzen einer Cyber-Attacke zu schützen. Wie real die Bedrohung tatsächlich ist, zeigen die folgenden Berichte aus den Medien.
Ransomware-Angriff auf mittelständisches Hotel:
Anfang des Jahres wurde ein Hotel in Großarl Opfer eines Ransomware-Angriffs. Bei dem Angriff wurden die auf dem Hotelserver gespeicherten Daten verschlüsselt. Die Täter forderten für die Freigabe der Daten ein Lösegeld in Höhe von 0,15 Bitcoins (entspricht etwa 14.000 Euro).
Attacke auf die weltgrößte Hotelkette:
Zwischen 2014 und 2018 stahlen Hacker die Daten von bis zu einer halben Milliarde Gäste der Marriott-Tochtergesellschaft Starwood, darunter Kreditkarten- und Ausweisdaten. Die Marriott-Gruppe, der größte Hotelkonzern der Welt, geriet infolge des Cyber-Angriffs stark in Kritik, da das Unternehmen lange versuchte, die Attacke geheimzuhalten und es versäumte, betroffene Gäste zu informieren.
Datenklau bei Motel One:
Nach einem erfolgreichen Hackerangriff Ende 2023 auf die Hotelgruppe Motel One wurden Millionen Namen und Reisedaten von Gästen im Darknet veröffentlicht. Unter den insgesamt sechs Terabyte an gestohlenen Daten befanden sich vereinzelt auch Kreditkarteninformationen.
Um nicht selbst Opfer einer Cyber-Attacke und damit zu einem Thema in den Medien zu werden, sollten Hotelbetriebe verschiedene Cyber-Sicherheitsmaßnahmen implementieren. Hier sind einige praktische Tipps für mehr IT-Sicherheit in der Hotelbranche.
Mitarbeiterschulungen durchführen:
Vor allem Rezeptionsmitarbeitende, die häufig mit sensiblen Kundendaten und E-Mail-Anfragen zu tun haben und Login-Daten für Systeme verwalten, sollten regelmäßig für digitale Gefahren wie Phishing und Social Engineering sensibilisiert werden.
Netzwerksicherheit verbessern:
Hotels sollten ihre Gäste-WLAN-Netzwerke gut sichern und darauf achten, dass diese Netzwerke von den internen Netzwerken, die für Buchungssysteme und allgemein für die Verarbeitung personenbezogener Daten genutzt werden, getrennt sind. Hierzu gehört auch die Einrichtung von Firewalls und VPNs.
Starke Passwörter einrichten:
Die Vergabe sicherer Passwörter und das Einrichten einer Multi-Faktor-Authentifizierung (MFA) sind essenziell, um Systeme und Daten zu schützen.
Software regelmäßig aktualisieren:
Regelmäßige Software- und System-Updates gehören zu den grundlegenden Sicherheitsmaßnahmen, da sie Sicherheitslücken schließen und das Risiko von Angriffen verringern. Hotels sollten darauf achten, immer alle Systeme und Anwendungen zu aktualisieren.
Daten verschlüsseln:
Gerade im Hotelgewerbe, wo große Mengen an personenbezogenen Daten verarbeitet werden, ist Datenverschlüsselung ein essenzieller Baustein für mehr Cyber-Sicherheit.
Backups erstellen:
Die Vergabe sicherer Passwörter und das Einrichten einer Multi-Faktor-Authentifizierung (MFA) sind essenziell, um Systeme und Daten zu schützen.
Cyber-Angriffe können für Hotels zu weitreichenden Schäden führen, die von finanziellen Verlusten (z. B. Umsatzeinbußen infolge einer Betriebsunterbrechung) über Reputationsschäden (z. B. nach einem Datenleck) bis hin zu rechtlichen Konsequenzen (z. B. Klagen nach einer Datenschutzverletzung) und gar dem finanziellen Ruin reichen.
Eine Cyberversicherung kann Hotelbetriebe gegen diese Schäden absichern. Hier ist ein Überblick, wie eine Cyber-Police Hotels und andere Betriebe im Gastgewerbe im Falle eines Cyber-Schadens unterstützt:
Je nach Art des Cyber-Vorfalls können Teile des entstandenen Schadens bereits durch andere betriebliche Versicherungen abgedeckt sein. Hier ist ein Überblick möglicher Überschneidungen zwischen einer Cyberversicherung und anderen gewerblichen Versicherungen.
Betriebsunterbrechungsversicherung:
Je nach Police können Betriebsunterbrechungen, die aus einem Cyber-Vorfall resultieren, bereits durch die reguläre Betriebsunterbrechungsversicherung abgedeckt sein.
Rechtsschutzversicherung:
Die Rechtsschutzversicherung übernimmt Rechtskosten bei Streitigkeiten (z. B. mit Gästen). Das bedeutet, dass die Rechtskosten, die beispielsweise durch eine Datenschutzverletzung entstehen, bereits versichert sein könnten.
Elektronikversicherung:
Eine solche Versicherung bietet Schutz für elektronische Geräte und IT-Systeme bei Schäden durch technische Defekte oder äußere Einwirkungen und kann sich daher mit einer Cyberversicherung überschneiden.
Vertrauensschadenversicherung:
Schäden durch Insider-Bedrohungen (z. B. wissentliche Weitergabe von Passwörtern) könnten auch von der Vertrauensschadenversicherung abgedeckt sein.
D&O-Versicherung:
Werden Führungskräfte aufgrund von unzureichenden Cyber-Sicherheitsmaßnahmen belangt, kann das unter Umständen teilweise in den Schutz einer D&O-Versicherung fallen.
Bestehen mehrere Versicherungen, die das gleiche Risiko abdecken, kann es passieren, dass die Versicherungen im Schadensfall aufeinander verweisen und sich weigern, für den Schaden aufzukommen. Bei vielen Cyberversicherungen gilt hingegen das Prinzip der vorrangigen Deckung. Das bedeutet, dass die Cyberversicherung als vorrangige Versicherung im Schadensfall direkt greift, unabhängig davon, ob der Versicherungsfall auch unter einem anderen Versicherungsvertrag mitversichert wäre.
Das Digitalisierungsniveau in der Hotelbranche steigt und damit auch das Risiko für Betriebe, Opfer einer Cyber-Attacke zu werden. Die Hotelbranche verarbeitet viele personenbezogene Daten sowie Finanzdaten von Gästen, was die Branche zu einem attraktiven Ziel für Cyber-Kriminelle macht. Hotels und andere Betriebe im Gastgewerbe sollten ihre IT-Sicherheit verbessern und sich zusätzlich durch den Abschluss einer Cyberversicherung absichern.
Ein Spezialmakler kann Hotelbetrieben helfen, eine passende Cyberversicherung zu finden, die ein gutes Preis-Leistungs-Verhältnis bietet. Über den Online-Marktvergleich von CyberDirekt können Unternehmen schnell eine auf ihre Bedürfnisse zugeschnittene Cyberversicherung finden. Unsere Experten helfen gerne bei der Auswahl der besten Police und stellen bei Bedarf gerne den Kontakt zu einem Spezialmakler aus unserem Netzwerk her.
Dieser Artikel dient ausschließlich Informationszwecken und ist nicht als Beratung zu verstehen. Die CyberDirekt GmbH lehnt jegliche Haftung für Handlungen ab, die Sie aufgrund der in diesem Artikel enthaltenen Inhalte vornehmen oder unterlassen.