Auswirkungen des Klimawandels auf den Tourismus
Der Klimawandel verändert den Alpentourismus. Während die Wintersaisonen kürzer werden und die Kosten für Schneesicherheit steigen, profitiert der Sommertourismus.
Warum ist Cybersicherheit in der Hotellerie so ein wichtiges Thema?
Katharina Schöche: Die Hotellerie ist eine stark digitalisierte Branche. Es werden täglich sensible Daten verarbeitet und finanzielle Transaktionen über Online-Buchungssysteme, Kreditkarten und mobile Zahlungslösungen durchgeführt. Als Bank sind wir nicht nur Finanzdienstleister, sondern auch strategischer Partner, der die Risiken im digitalen Raum kennt und aktiv zur Prävention beitragen kann. Es ist für uns von hoher Bedeutung, gemeinsam mit Hoteliers Sicherheitsstandards zu etablieren und die Betriebe resilienter gegenüber digitalen Bedrohungen zu machen.
Was sind die häufigsten Einfallstore für Cyberangriffe?
Marc Nimmerrichter: Der häufigste Angriffsvektor ist nach wie vor Phishing. Die Szenarien werden immer raffinierter und mit KI (Künstlicher Intelligenz) sind gut gemachte Phishing-E-Mails sehr einfach in verschiedenen Sprachen zu erzeugen. Insbesondere in Hotels, wo Mitarbeitende ständig mit neuen Gästen und Lieferant*innen in Kontakt kommen, ist eine Anfrage von einer unbekannten Person erst einmal nichts Ungewöhnliches. Menschen vertrauen anderen grundsätzlich – besonders im direkten Kontakt, wenn Verhalten und Erscheinung „normal“ wirken. Dieses Vertrauen führt oft zu kleinen Handlungen mit großen Folgen: Das Offenhalten einer Tür gilt als höflich, kann aber Angreifern Zugang verschaffen. Auch digital nutzen Kriminelle unsere Gewohnheiten und unser Grundvertrauen aus. Der Mensch ist damit oft das entscheidende Einfallstor für Cyberkriminelle.
Gibt es noch weitere Angriffsflächen?
Marc Nimmerrichter: Ja, beispielsweise unzureichend geschützte Systeme. Meist sind diese durch eine Firewall geschützt. Doch genau die Firewall selbst wurde in den letzten Jahren zunehmend erfolgreich angegriffen, weil die Sicherheitsupdates nicht regelmäßig durchgeführt wurden. Eine weitere häufige Betrugsmasche ist CEO-Fraud. Dabei geben sich die Angreifer*innen als Vorgesetzte oder Kolleg*innen aus und weisen direkt eine Überweisung an. Die Anweisung kann beispielsweise per Telefonanruf, E-Mail oder Messenger-Dienst erfolgen.
Viele Hotels in der DACH-Region sind kleine oder mittelständische Betriebe. Spielen diese Unternehmen für Cyberangriffe eine Rolle?
Katharina Schöche: Ein weit verbreiteter Irrtum ist die Vorstellung, dass kleinere Betriebe für Cyberkriminelle uninteressant sind. Doch Hotels speichern eine Vielzahl sensibler Daten – von persönlichen Gästeinformationen über Zahlungsdetails bis hin zu internen Betriebsabläufen. Diese Informationen sind für Angreifer äußerst wertvoll, unabhängig von der Betriebsgröße. Ein erfolgreicher Angriff kann nicht nur den Betrieb lahmlegen, sondern auch das Vertrauen der Gäste dauerhaft beschädigen.
Wie bewerten Sie die Aussage: „Wer das Hotelbetriebssystem (Property Management System, PMS) kontrolliert, kontrolliert das Hotel“?
Katharina Schöche: Das PMS ist das digitale Rückgrat eines Hotels, es verwaltet Reservierungen, Gästedaten, Zahlungen, Zimmerstatus und oft auch Schnittstellen zu Türschlössern, Buchungsplattformen und Customer-Relationship-Management(CRM)-Systemen. Damit ist es ein besonders attraktives Ziel für Cyberangriffe. Gleichzeitig ist es auch eine potenzielle Achillesferse, wenn Sicherheitsmaßnahmen fehlen oder unzureichend sind. Viele Hotels verlassen sich auf die Funktionalität des Systems, ohne dessen Verwundbarkeit ausreichend zu berücksichtigen. Dies beinhaltet nicht nur technische Absicherungen, sondern auch organisatorische Prozesse, klare Zugriffsrechte und die Sensibilisierung der Mitarbeitenden.
Wie verändert KI die Bedrohungslage?
Marc Nimmerrichter: Sie vereinfacht Angriffe. Und wenn diese einfacher sind, sind sie auch günstiger und können von mehr Kriminellen in größerer Zahl durchgeführt werden. Deepfakes bringen zudem eine neue Gefahrendimension. Bislang konnten wir andere uns bekannte Personen über ihre Stimme oder ihre Gesichtsmerkmale identifizieren. Doch nun müssen wir uns kurzfristig „umtrainieren“ und die Identität des Gegenübers über andere Mechanismen authentifizieren. Das ist nicht nur eine drastische Veränderung unserer Gewohnheiten, sondern auch unserer Kultur. Denn das Hinterfragen einer telefonischen Anweisung durch den/die Vorgesetzte*n könnte als Unhöflichkeit oder Autoritätsverweigerung verstanden werden. Diese Veränderungen müssen von allen berücksichtigt werden.
Wie können sich Hotels konkret schützen?
Marc Nimmerrichter: Es ist leider nicht mit einer Einzelmaßnahme getan. Sicherheit ist kontinuierlich in alle Abläufe und Technologien zu integrieren. Erstens durch die Sensibilisierung der Mitarbeitenden. Dazu zählen beispielsweise regelmäßige Trainings, auch für das Management. Zweitens sollte die IT gut gewartet sein. Sofern es einen externen IT-Dienstleister gibt, ist es wichtig, auch vertraglich ein hohes Maß an IT-Sicherheit zu vereinbaren. Darüber hinaus würde ich regelmäßige Prüfungen und Audits durch einen unabhängigen IT-Sicherheitsdienstleister empfehlen. Basierend auf den Ergebnissen kann dieser nötige Maßnahmen vorschlagen.
Welche Sofortmaßnahmen sind zu ergreifen, wenn ein Angriff passiert? Was ist rechtlich zu beachten?
Marc Nimmerrichter: Die konkrete Sofortmaßnahme ist abhängig von der Art des Angriffs. Mir sind Fälle bekannt, bei denen ein Unternehmen nach einem Ransomware-Vorfall kurze Zeit später erneut Opfer wurde. Hier wurde die eigentliche Schwachstelle nicht umfassend identifiziert oder die Systeme wurden nicht ordentlich bereinigt. Ich empfehle daher, einen IT-Sicherheitsexperten hinzuzuziehen. Unternehmen wie das unsere sind darauf spezialisiert und können für unterschiedliche Vorfallarten die geeigneten Maßnahmen identifizieren und zur Umsetzung bringen. Rechtlich sind in der Hotellerie insbesondere die Meldepflichten zu beachten, die durch die Datenschutz-Grundverordnung (DSGVO) vorgeschrieben werden.
Welche Rolle spielen externe Partner wie Banken, IT-Unternehmen und Versicherungen?
Marc Nimmerrichter: Sie alle haben eine wesentliche Bedeutung. Banken versuchen Betrugsfälle schon beim Login oder der Überweisung zu erkennen, soweit dies überhaupt technisch möglich ist. Manche Versicherungen bieten eine Cyber-Schadenversicherung an, die Kosten für Folgen von Hackerangriffen deckt. Hier ist jedoch besonders auf die umfassten Leistungen und Deckungssummen sowie auf die Obliegenheiten zu achten.
Welche Trends sehen Sie in der Cybersicherheit für die Hotellerie?
Marc Nimmerrichter: Das Bewusstsein steigt langsam. Das Thema Informationssicherheit wird von vielen Entscheidungsträgern leider immer noch als reines Thema des IT-Dienstleisters bzw. der IT-Abteilung behandelt. Dass es aber mittlerweile ein kritisches Geschäftsrisiko geworden ist, dringt erst langsam zu den Hoteliers durch. Schließlich stehen selbst bei kleineren Hotels ohne funktionierende IT die Kernprozesse wie Buchung oder Verrechnung still.
Wird Sicherheit künftig ein Wettbewerbsvorteil für Hotels?
Marc Nimmerrichter: Für Hotels, die sich nicht ordentlich um ihre Sicherheit kümmern, ist es nicht eine Frage, „ob“, sondern nur „wann“ sie Opfer des nächsten Angriffs oder Betrugs werden. Die Schäden hierbei sind meist deutlich höher als die Investition in präventive Maßnahmen. Insofern haben Hotels, deren IT verlässlich und sicher funktioniert, einen Wettbewerbsvorteil.
Marc Nimmerrichter ist Geschäftsführer des Cyber-Security-Spezialisten Certitude Consulting. Seit über 10 Jahren unterstützt er Unternehmen bei der Verbesserung ihrer Sicherheitsmaßnahmen und der Aufarbeitung von Hacker-Angriffen. Zu seinen Kunden zählen u. a. zahlreiche Unternehmen der kritischen Infrastruktur wie Banken, Rechenzentren, Behörden oder Energieversorger.
Katharina Schöche ist Expertin für Tourismus bei der BTV. Sie verfügt über einen Bachelorabschluss in Tourismusmanagement sowie ein weiterführendes Masterstudium in Betriebs- und Volkswirtschaftslehre. Mit über 15 Jahren Erfahrung in verschiedenen Positionen und Hotels kennt sie die operativen und strategischen Herausforderungen der Branche aus erster Hand. In ihrer aktuellen Rolle bringt sie ihre Expertise gezielt in die Verbindung von Tourismus und Finanzwirtschaft ein und verfolgt dabei das Ziel, strategische Impulse zu geben und Prozesse neu zu denken.
Marketingmitteilung: Die Beiträge in dieser Publikation dienen lediglich der Information. Die BTV prüft ihr Informationsangebot sorgfältig. Dennoch bitten wir um Verständnis, dass wir diese Informationen ohne Gewähr für die Richtigkeit und Vollständigkeit zur Verfügung stellen. Bitte beachten Sie, dass Einschätzungen und Bewertungen die Meinung des jeweiligen Verfassers zum Zeitpunkt der Erstellung bzw. der Ausarbeitung reflektieren.