Wie sich durch KI die Cyber-Bedrohung für Hotels und deren Gäste zuspitzt und was zu tun ist, wenn was passiert
Stefan Urdl hat für international tätige Hotelketten die IT geleitet und dabei am eigenen Leib erfahren, welche Bedrohungen durch Cyber-Kriminalität Hotelbetriebe treffen. Seit 2022 unterstützt er u.a. Unternehmen aus dem Sektor unter dem Label Consultant4IT bei all ihren IT Belangen. Immer mehr Bedeutung bekommt dabei die IT Security, vor allem jetzt, wo durch KI die Schlagkraft von Hackergruppen immer größer und Chance die Täuschungen zu durchschauen immer geringer werden. Bewerberbungen, Buchungsanfragen, jede Menge persönlicher Daten und überfordertes Personal – es ergibt sich ein gefährlicher Cocktail.
Man muss sich also nicht mehr nur darauf konzentriere, dass nichts passiert, sondern auch darauf vorbereiten, was es zu tun gibt, wenn was passiert.
In Vorbereitung der HOTEL OPTIMAL Veranstaltungsreihe hat Alexander Ghezzo den IT Experten befragt, wie sich Hotels und KMUs auf die Bedrohungen einstellen und darauf reagieren können.
Alexander Ghezzo: Wo begegnen Dir gerade in Hotels die größten Sicherheitsmängel im IT-Umfeld?
Stefan Urdl: Individualhotels und kleine Ketten sehen sich aktuell nicht als eine „bedrohte Art“. Dies ist der Grund weshalb IT Sicherheit keinen hohen Stellenwert hat. Beginnen wir bei den physischen Zugängen zu Serverräumen – kaum ein Hotel führt hier Zutrittsprotokolle, weiterführend zu geteilten und auf Zetteln / Post-its aufgeschriebenen Passwörtern. Wenn es gut läuft, dann findet sich eine Excel / Word Datei am Desktop, die alle Passwörter im Klartext enthält. Aus der Praxis habe ich Fälle erlebt, bei denen das Excel File dann sauber ausgedruckt, in Plastik eingeschweißt an der Rezeption beim PC gelegen ist.
Multi-Faktor-Authentifizierungen sind selten im Umlauf und werden von den Mitarbeitern auch kaum akzeptiert. Daher liegt aus meiner Sicht der größte Sicherheitsmangel noch immer an der fehlenden Awareness der Mitarbeiter, Hoteldirektoren und Betreibern. Natürlich ist es aus IT Sicht notwendig sich mit den Themen Firewall, Intrusion-Prevention, EDR Lösungen etc zu beschäftigen – doch die Awareness der Mitarbeiter ist mindestens gleich bedeutend als eine gut aufgesetzte (und regelmäßig upgedatete Firewall). Im Normallfall schreibt man seinen PIN Code der Kreditkarte auch nicht mit Filzstift auf selbige, wieso also das Passwort für die Buchungsplattformen (mit allen Kundendaten) auf einem Post-It am Monitor kleben?
Alexander Ghezzo: Und was sind die häufigsten Bedrohungen?
Stefan Urdl: Obwohl man es manchmal nicht glauben mag, am häufigsten sind immer noch Attacken via E-Mail. Hat man hier keinen zusätzlichen Mechanismus der die eingehenden Mails entsprechend prüft, sind Mitarbeiter sehr schnell mit klassischem Phishing, CEO Frauds und ähnlichem konfrontiert. Und leider – fällt man immer wieder darauf rein und gibt sorglos sein Passwort bekannt. Voriges Jahr hatte ich den Fall, dass sogar der 2te Faktor mittels parallelen Anrufes unter dem Vorwand „man müsse die Einstellungen prüfen“ von einem Mitarbeiter bekannt gegeben wurde. In Wirklichkeit darf man der Person keinen Vorwurf machen, man kam aus der Nachtschicht, war kurz vor der Dienstübergabe und bekam gerade wahnsinnig viele (Teil des Angriffs) Reservierungsanfragen herein. In so einer Situation denkt man dann nicht über mögliche Risiken nach, man fällt auf derartige Tricks einfach rein. Genau aus diesem Grund müssen die Systeme schon abgesichert werden, die Mitarbeiter können die gut gemachten Attacken nicht erkennen.
Besonders schwierig wird es bei den Personalabteilungen – hier erhält man Bewerbungen (und ist froh darüber), ohne die Person vorher zu kennen. Hier steigt das Risiko beträchtlich, auch hier plädiere ich immer wieder mir HR Systemen zu arbeiten, die entsprechend vorfiltern.
Alexander Ghezzo: KI verändert die Bedrohungslage ja noch mal. Was bedeutet das für Unternehmen aus einer Branche, bei der die persönlichen Daten und die persönliche Sicherheit der Gäste zu beachten ist?
Stefan Urdl: KI wird Cyberangriffe (leider) auf ein komplett neues Niveau heben. Ja, in der Vergangenheit waren in der Hotellerie die „Großen“ interessant und Hackgruppen haben sich nicht mit einem kleinen Einzelhotel beschäftigt. Durch KI werden diese Angriffe großflächiger gestaltet – und die KI interessiert sich nicht für die Größe , den Umsatz oder die Anzahl der Mitarbeiter des Hotels.
Gerade Attacken via Mail können (wenn man sich kurz damit beschäftigt und ein paar Punkte der Mail ansieht, z.b. Adresse, Rechtschreibfehler, Grammatik, Impressum,…) prinzipiell erkannt werden. Durch AI wird sich dies schlagartig ändern, ich bin mir sicher viele Leser haben AI schon selbst ausprobiert und wissen, wie gut eine AI Texte verfassen kann, nach kurzer Zeit im gleichen Stil wie man es selbst machen würde (nur noch besser). Genau so wird es sich mit den Mailattacken verhalten, hier wird es keine „eigenartigen“ Phrasen mehr geben, keine Fehler die eine Mail unglaubwürdig erscheinen lassen – diese Mails werden einfach perfekt aussehen.
Alexander Ghezzo: Was sollte jedes Unternehmen zur Profilaxe im Mindesten machen?
Stefan Urdl: 3 Punkte
- Mitarbeiter schulen und ein Bewusstsein dafür schaffen
- Notfallplan erstellen und diesen regelmäßig prüfen
- Firewall, Advanced-Threat-Protection für Mail und eine gute AV Lösung (optimal mit EDR) implementieren lassen.
Auch hier wieder ein Fall aus der Praxis – IT Kosten werden oft versucht klein zu halten, IT Verantwortliche prallen mit Ihren Wünschen bei den „Geldgebern“ ab, dabei ist die Rechnung einfach. Im Fall des Falles kann ein Hotel nicht mehr arbeiten, keine Gäste mehr einchecken, keine Zimmerkarten mehr codieren, keine Rechnungen ausstellen – und das für ein paar Tage, im schlimmsten Fall sogar für Wochen. Wie viel kostet das dem Hotel, dem Eigentümer , dem Unternehmen – dagegen sind die Mindest-IT-Sicherheitsmaßnahmen lächerlich. Vor allem da hier noch nicht vom Imageschaden oder DSGVO Strafen etc gesprochen wird (oder von einer eventuellen Lösegeldzahlung)
Alexander Ghezzo: Bei Hotels ist es besonders wichtig, auch die Gästeperspektive einzunehmen. Da kann zu viel „Security“ auch etwas mühsam sein?
Stefan Urdl: IT Sicherheit ist immer eine Gradwanderung zwischen „was möchte man den eigenen Mitarbeitern und auch den Gästen“ erleichtern und auf der anderen Seite welche Mechanismen benötigt es um ein Grundmaß an Sicherheit zu gewährleisten. Ein banales Beispiel – eine Buchung via Telefon, Bekanntgabe der Kreditkartendaten. Sorglos schicken Gäste hier die Daten via E-Mail (im Klartext) und sofort verstößt man als Unternehmen gegen eine PCI Richtlinie. Dem Gast aber eine Mail zuzuschicken, mit einem Link für eine sichere Bezahlung wird aber von Mitarbeitern wie Gästen als mühsam empfunden – ist aber der sichere Weg. Ähnliches gilt für sensible Daten die in einem Gastprofil gespeichert werden – aus Sicht des Stamm-Gastes freut man sich im Normalfall, wenn das Hotel über diverse Dinge Bescheid weiß und man nicht immer erneut beim Check-In angeben muss, dass man ein Allergikerkissen benötigt – aus Sicht der DSGVO müssen dafür aber Mechanismen im PMS System getroffen werden, die Mitarbeiter als mühsam empfinden und derartige Infos dann einfach in ein freies Textfeld schreiben.
Alexander Ghezzo: Und wenn dann was passiert ist, was kann man und was muss man machen?
Stefan Urdl: Nun ja … wenn ich mich davor mit dem Thema IT Sicherheit , Notfallhandbüchern etc nie beschäftigt habe würde ich meinen wäre beten eine gute Option und danach bezahlen.
Hat man aber seine Hausaufgaben gemacht, nimmt man sich in Ruhe (so gut dies möglich ist) seine Notfallpläne zur Hand und arbeitet diese durch. Ich unterstreiche das nochmal – jedes Hotel , jedes Unternehmen sollte einen Notfallplan haben. Ich würde definitiv immer sofort einen externen Spezialisten zu Rate ziehen, Systeme (so noch möglich) kontrolliert runterfahren und mit Hilfe des Experten den gesamten Schaden begutachten. Ist der Überblick einmal vorhanden, macht man sich dann die Gedanken für die Wiederherstellung – UND (ganz wichtig) man wird vermutlich mit dem Hacker in Kontakt treten müssen. Dafür sollte man gewappnet sein, Zahlungen erfolgen immer über Bitcoins – hat man bereits in Bitcoin Konto oder muss man erst eines eröffnen (dies funktioniert nicht von jetzt auf gleich – wieder Zeit die verstreicht)? Wenn man selbst den Schaden überblickt, hilft dies natürlich für Verhandlungen mit den Hackern ungemein.
Aus meiner Erfahrung heraus reicht es für KMUs die Basics der IT Sicherheit gut zu erfüllen, um aus der Sache gut rauszukommen.
Alexander Ghezzo: Wie stehst Du dem Thema NIS2 gegenüber? Da müssten doch auch schon einige Unternehmen ins Tun kommen?
Stefan Urdl: NIS2 ist ein ähnliches Schlagwort wie seinerzeit die DSGVO. Ich wurde von meinem größten Kunden gefragt hier zu unterstützen, da zig Firmen auf diese zugekommen sind und mit der NIS2 Keule geschwungen haben. Firmen die viel Beratung verkaufen wollen. Auf meine Frage dann, ob denn die Hotelgruppe überhaupt in NIS2 fällt, wussten die meisten keine Antwort – weil man sich gar nicht damit beschäftigt, man beschäftigt sich nur damit Stunden über Stunden zu verkaufen. Daher rate ich jedem Unternehmen sich zuerst zu informieren, ob NIS2 zutreffend ist (bei Hotels nur dann, wenn über die eigene Website Dienste / Waren von anderen Partnern verkauft werden, z.b. die Kutschenfahrt im Schnee die gleich über die Hotelwebsite zu buchen ist), fällt man nicht unter NIS2 nimmt man sich das an Beraterkosten gesparte Budget und investiert in sinnvolle IT Sicherheitssysteme.
In Summe darf man sich nichts vormachen – es kann jeden treffen, oft ist es nicht eine Frage des OB, sondern des WANN. Je besser man darauf vorbereitet ist, desto weniger existenzgefährdend wird ein Hackangriff sein.