• Text hier
  • Text hier
Entdecken Sie Riviera Villages
Zurück zum Blog
Leitfäden und Studien
20
Jun
2023
7
min

Grundlagen der Cybersicherheit

#cybersicherheit#gute-praxis#Praxisleitfaden

Wie schützt man sein Hotel richtig? 11 Empfehlungen, die Sie in Ihrer Einrichtung anwenden können

Datenlecks bei Hotelketten, OTAs oder Buchungsplattformen sind im Bereich der Cybersicherheit an der Tagesordnung und erschüttern die gesamte Hotel- und Tourismusbranche. Alle Hotels sind von dieser Bedrohung betroffen und können einem Angriff ausgesetzt sein, selbst ein kleines, unabhängiges Hotel. Der Grund dafür ist, dass es sich bei den von den Hotels verwalteten Daten um vertrauliche Daten handelt, die nicht immer gut geschützt sind (Bankdaten, Ausweise, persönliche Daten, Kontakte usw.). Die erste Schwachstelle ist das Hotelpersonal, das nicht immer gut geschult ist, um einfachste Angriffe abzuwehren. 

Aus dem Inhalt dieses Artikels:

➤ Was sind die größten Bedrohungen und welche Methoden werden eingesetzt?

➤ Welche Grundlagen gibt es, um seine Umgebung und seine Daten zu sichern? 

➤ Wie kann man seine Teams gut auf Cyberangriffe schulen?

➤ Welche Maßnahmen sollte man ergreifen, wenn man zum Opfer wird?

Zunächst einige Schlüsselzahlen :

  • Es dauert im Durchschnitt 277 Tage, um eine Verletzung der Cybersicherheit zu erkennen und einzudämmen - - . IBM
  • Das Gastgewerbe ist die drittgrößte Zielbranche von Cyberangriffen - - . HRIMag
  • 72% der von Lösegeldangriffen betroffenen Unternehmen haben weniger als 100 Mitarbeiter - - . HRIMag
  • 95% der Cybersicherheitsverletzungen werden durch menschliches Versagen verursacht- - . World Economic Forum

Die häufigsten Cyberangriffe

Kryptomining / Cryptojacking

Hacker bringen den Computer in Besitz, um heimlich Kryptowährung zu schürfen. Kryptomining kann sehr aggressiv sein und den Computer über lange Zeiträume unbrauchbar machen.

Botnet

Ein Botnet ist ein Netzwerk von Computergeräten, die mit Malware infiziert sind und von einem Betreiber ferngesteuert werden. Hacker bringen sie in Besitz, um sie bösartige Aufgaben ausführen zu lassen und in das System einzudringen.

Ransomware / Ransongware

Das ist die Geiselnahme von Daten im Austausch gegen ein Lösegeld. Der Cryptolocker / Cryptoverlocker "verriegelt" den Speicherort der Daten. Hacker können zwar Kryptolocker einsetzen, aber nicht unbedingt ihre Passage korrekt löschen.

Phishing

Phishing oder Phishing ist eine Technik, mit der man per E-Mail, SMS oder anderen Nachrichten in der Regel durch einen mit einer Falle versehenen Link oder Anhang in Versuchung geführt wird. Ein Beispiel für Phishing ist der CEO-Betrug, bei dem der Einfluss und die Dringlichkeit einer Anfrage ausgenutzt werden, um die Person dazu zu bringen, so schnell wie möglich auf den gesendeten Link zu klicken, indem sie sich als ihr Direktor ausgibt. Das Ziel muss dann persönliche Informationen hinterlassen(Bankkarte, Gesundheitskarte, Logins, E-Mails usw.).

Malware

Malware ist bösartige Software, die darauf ausgelegt ist, ein Computersystem ohne die Zustimmung des Nutzers zu infizieren, zu beschädigen oder zu kompromittieren. Zu Malware können Viren, Würmer, Trojaner, Ransomware usw. gehören.

Mythen, die man unbedingt vergessen sollte

❌ Man muss sein Passwort regelmäßig ändern.

Wenn man das tut, entsteht ein leicht zu merkendes Muster, um sich an sein Passwort zu erinnern. Man muss sein Passwort nicht regelmäßig ändern, sondern sollte ein sicheres Passwort verwenden.

❌ Das gleiche (auch komplizierte) Passwort für mehrere Konten verwenden.

Ein Hacker, der ein Passwort in die Hände bekommt, wird versuchen, es für alle Konten zu verwenden, und hat somit alle Zugänge in der Hand.

❌ Der Hacker versucht, die Passwörter zu erraten.

Hacker setzen zum Knacken von Passwörtern Bots ein, die persönliche Daten abrufen können (Geburtsdaten, Postleitzahl, Hotelname + Jahr usw.). Sie setzen sogar mehrere Dutzend Systeme ein, um die Zielsysteme regelmäßig zu testen.

❌ Eine Infektion ist sichtbar

Sie sind sich nicht immer bewusst, dass die Kontrolle über die Daten übernommen wurde, und es liegt auch im Interesse des Hackers, dass dies nicht sichtbar ist, um mehr Zeit zu haben. Eine IBM-Studie hat übrigens herausgefunden, dasseine Einrichtung einen Einbruch in ihr Netzwerk durchschnittlich in 277 Tagen erkenntHacker haben also genügend Zeit, um alles, was sie interessiert, abzugreifen. Und das ist nur der Durchschnitt! Der Fall des Ende 2018 bekannt gewordenen Marriott-Hacks brachte ans Licht, dass der Angriff bereits vier Jahre zuvor statt gefunden hatte, ohne entdeckt zu werden; er soll 5,2 Millionen Kunden betroffen haben.

❌ Kleine Einrichtungen werden nicht gezielt angesprochen

Eine Umfrage von HRIMag hat Folgendes hervorgehoben 72% der Unternehmen, die von Lösegeldangriffen betroffen sind, weniger als 100 Mitarbeiter haben.. Es sind also nicht die größten Unternehmen, die mehrheitlich betroffen sind. Und vor allem: Die Angriffe laufen ständig in der Erwartung, dass es irgendwo anbeißt.

❌ Die Einrichtung ist nicht verantwortlich

Die Verantwortung wird in der Regel geteilt, aber die Einrichtung ist verpflichtet, ihre Mitarbeiter in Sicherheitsfragen zu schulen. Er ist auch für die Sicherheit seiner Kunden und noch mehr für deren persönliche Daten verantwortlich.

❌ Eine doppelte Authentifizierung ist nicht erforderlich.

Die doppelte Authentifizierung ist der zusätzliche Schritt nach der Eingabe der Anmeldedaten, um die Identität des Nutzers zu gewährleisten. Sie wird zum Beispiel von allen Banken bei Online-Zahlungen verwendet. Dies geschieht entweder durch einen Code, der per E-Mail oder SMS verschickt wird. Man erhöht damit exponentiell die Schwierigkeit, das Konto in den Griff zu bekommen.

❌ Es reicht, ein Antivirenprogramm zu haben oder E-Mail-Anhänge nicht zu öffnen.

Es bedarf einer Vielzahl von Mitteln, um Systeme zu sichern, und genau wie ein Haus gibt es keine unangreifbare Sicherung. Zusätzlich zu den Werkzeugen, mit denen man sich absichern kann, braucht es auch gesunden Menschenverstand und Teambildung, um E-Mails und Nachrichten im Alltag zu misstrauen, da menschliches Versagen oft die Schwachstelle ist(verantwortlich für 95% der Cybersicherheitsverletzungen).

Grundlegende Empfehlungen für Ihr Hotel

1. Ein Passwort pro Software

Wenn die Daten einer Website oder einer Software kompromittiert werden, hat der Hacker Zugriff auf alle Konten, die das gleiche Passwort verwenden. Daher ist es sinnvoll, für jede Software ein anderes Passwort einzurichten und dafür einen Passwortmanager zu verwenden. 

2. Ein Tool zur Verwaltung von Passwörtern verwenden

Ein Passwortmanager ermöglicht es, komplizierte Passwörter zu verwalten und zu generieren, sie automatisch auf der Anmeldeseite einzugeben, ohne dass sie im Klartext vorliegen

Der Benutzer muss sich nur ein einziges Passwort merken, um seinen Manager freizuschalten, und kennt keine weiteren Passwörter, da die Anmeldung bei den registrierten Systemen automatisch erfolgt. Diese Software ermöglicht es auch, die Logins einfach an ein anderes Teammitglied weiter zugeben, ohne dass dieses den Login kennt. 

Einige Beispiele für Software, die die Verwaltung von Passwörtern im Team ermöglicht: Dashlane, 1Password, LastPass, Bitwarden, RoboForm, KeePass...

3. Eine Kennung pro Mitarbeiter

In einem Hotel gibt es Software oder Systeme, die es nicht immer erlauben, mehrere Logins für jedes Mitglied des Hotels zu erstellen. Und vor allem haben nicht immer alle Mitarbeiter eine persönliche Adresse (und teilen sich generische E-Mail-Adressen contact@, info@, reception@ usw.). 

Wann immer es möglich ist, sollten Sie jedoch so viele Zugänge wie Mitarbeiter einrichten. Sie haben nicht nur die Sicherheit besser im Griff, sondern die Zugänge können beim Ausscheiden eines Mitarbeiters auch leichter widerrufen werden, indem Sie einfach den Zugang löschen. 

4. Installieren Sie ein VPN auf den Laptops der Teams.

Ein VPN ist ein virtuelles privates Netzwerk, das eine Punkt-zu-Punkt-Beziehung zwischen einem Gerät und einem entfernten Standort herstellt, ähnlich wie ein sicherer Tunnel zwischen dem Netzwerkserver und dem Computer. Die ausgetauschten Informationen werden verschlüsselt. VPN ermöglicht somit den Schutz eines Laptops in öffentlichen oder ungesicherten Wi-Fis.

5. Bevorzugen Sie Software mit Multifaktor-Authentifizierung

Software, die persönliche Daten (von Kunden oder Mitarbeitern) verwaltet, muss unbedingt eine Mehrfaktorauthentifizierung anbieten, um ihre Zugriffe zu sichern. Die Zwei-/Zwei-Faktor-Authentifizierung (2FA) ist eine zweistufige Überprüfung und die am weitesten verbreitete Methode. Die bekanntesten Mittel sind: ein einmaliger Code, der per SMS verschickt wird, eine Authentifizierungs-App, Gesichts- oder Fingerabdruckerkennung, ein Sicherheitsschlüssel usw.

6. Verwalten Sie den Zugriff auf Werkzeuge gut und sortieren Sie regelmäßig aus.

Die Administratorrechte für Software sollten nicht allen Mitarbeitern gegeben werden, wenn sie sie nicht benötigen, da dies der höchste Status für das Bearbeiten von Elementen ist(Rechte zum Ändern der Konfiguration oder zum vollständigen Löschen).

Dadurch, dass Sie jedem Mitarbeiter unterschiedliche Zugänge gewähren, können Sie leicht aussortieren, sobald ein Mitarbeiter die Einrichtung verlässt, ohne das Passwort zurücksetzen zu müssen. Es genügt, die Zugänge aus dem Konto zu löschen. 

Es kann auch klug sein, für dieselbe Person (mit Administratorrechten) ein weiteres Konto mit weniger Rechten für alltägliche Aufgaben einzurichten, für die kein Vollzugriff erforderlich ist.

7. Sichern Sie Ihr Wi-Fi-Netzwerk

Verwenden Sie niemals eine persönliche Internetbox für Ihre Einrichtung, da diese kein ausreichendes Sicherheitsniveau bietet (sie ist übrigens nicht vorhanden), sowohl für Ihre eigene Sicherheit als auch für die Ihrer Kunden. Die Gesamtheit der Nutzer ist für jeden, der sich damit verbindet, leicht zugänglich, darunter auch Ihre internen Arbeitsplätze. Wenden Sie sich immer an WLAN-Anbieter, um ein sicheres Netzwerk einzurichten, das es Ihnen ermöglicht, die angeschlossenen Geräte voneinander zu trennen. Denken Sie auch daran, Drucker nicht an das Kundennetzwerk anzuschließen.

8. Ihr Wi-Fi-Netzwerk eindeutig identifizieren

Teilen Sie Ihren Gästen mit, wie Ihr Wi-Fi-Netzwerk heißt und wie sie sich damit verbinden können. Bösartige Netzwerke können mit dem Namen des Hotels benannt werden, damit sich unaufmerksame Gäste einloggen.

Denken Sie daran, die Wi-Fi-Netzwerke in der Umgebung des Hotels regelmäßig auf solche zu überprüfen, die sich den Namen des Hotels angeeignet haben(Nomdelhotel_GUEST, WIFI_NOMDELHOTEL usw.).

9. Sich regelmäßig zum Thema Cybersicherheit weiterbilden

Die Cybersicherheit in die Teambildung einzubeziehen, ist von entscheidender Bedeutung. Die größte Schwachstelle ist menschliches Versagen, daher ist die Sensibilisierung von entscheidender Bedeutung, um Risiken zu minimieren und die Mitarbeiter dazu zu erziehen, im Alltag aufmerksam zu sein. Gerade bei den alltäglichsten Aufgaben, bei denen die Aufmerksamkeit nachlässt, kommt es zu Angriffen.

Regelmäßige Erinnerungen (z. B. an Angriffsmethoden oder die Erkennung von Versuchen) helfen dabei, die Aufmerksamkeit aktiv zu halten. Es kann auch interessant sein, die Erkennung von Warnungen und das Vorgehen bei Verdachtsfällen zu schulen. Der erste Schritt kann übrigens darin bestehen, eine Dokumentation zu verfassen, um die grundlegenden Handgriffe der Cybersicherheit zu schulen.

10. Gute Gewohnheiten entwickeln

Gute Gewohnheiten zu entwickeln, indem man Cybersicherheit in den Alltag einbezieht, ist wichtig: den Arbeitsplatz immer sperren, sobald man ihn verlässt, sich von Tools abmelden, eine Software zur Verwaltung von Passwörtern im Team einsetzen, unaufmerksame Mitarbeiter zur Ordnung rufen, sich regelmäßig über Bedrohungen und Eindringversuche informieren, sich über Branchennews auf dem Laufenden halten etc.

Eine Möglichkeit, die Wachsamkeit der Mitarbeiter aufrechtzuerhalten, sind Dienste, die Mitarbeiter mit gefälschten (harmlosen) Phishing-E-Mails testen, die Angriffsversuche simulieren, die genauso ausgeklügelt sind wie die von Hackern. Korrupte Mitarbeiter werden freundlich gewarnt und daran erinnert, ihr Misstrauen jederzeit aufrechtzuerhalten.

11. Schließen Sie niemals etwas an einen Computer in der Schule an.

Verweigern Sie, wenn ein Gast darum bittet, sein Telefon am Computer an der Rezeption aufladen zu können, oder einen USB-Stick zum Ausdrucken eines Dokuments reicht. Die Computerstationen im Hotel müssen geschützt werden. Achten Sie auch auf Drucker, die mit dem Wi-Fi-Netzwerk des Hotels verbunden sind. Wenn Sie etwas vom Gast ausdrucken müssen, bitten Sie ihn, es per E-Mail zu schicken, und öffnen Sie nur die pdfs.

Wie wählen Sie aus und welche Fragen stellen Sie Ihren Technologieanbietern?

Der Einsatz professioneller und DSGVO-konformer Lösungen ist notwendig, um die personenbezogenen Daten, die durch Ihre Tools fließen, zu sichern. Sie sind dafür verantwortlich, sich mit Lösungen auszustatten, die die geltenden Vorschriften einhalten. 

Hier sind einige grundlegende Fragen, die Sie Ihren Technologieanbietern stellen sollten, bevor Sie eine Partnerschaft mit ihnen eingehen: 

  • Wo werden die Daten gehostet? Welche Art von Daten sind lokalisiert? Die DSGVO schreibt vor, dass Sie wissen müssen, welche Daten sich wo befinden, um darauf Einfluss nehmen zu können
  • Bin ich Eigentümer der Daten? Status von Data Processor (der Anbieter) versus Data Controler (das Hotel)
  • Gibt es eine doppelte Sicherheit beim Einloggen? 
  • Wie verwalte ich gemeinsame Anmeldungen? 
  • Gibt es ein System von Administratorrechten? Nicht alle Mitarbeiter müssen alles können: Benutzerkonto versus Administratorkonto
  • Haben Sie ein Dokument, das Ihre Sicherheitsrichtlinien beschreibt? Was passiert im Notfall, habe ich eine spezielle Nummer oder einen Chat? Kann man das Konto sperren?

Wenn Sie sich per Video zum Thema Cybersicherheit im Gastgewerbe weiterbilden möchten, sehen Sie sich unser letztes Webinar zu diesem Thema an : 

Die Redner:

  • Guilain Denisselle, Chefredakteur von Tendance Hôtellerie
  • Lionel Tressens, Mitbegründer und technischer Leiter von LoungeUp
  • Jean-Christophe Behar, Generaldirektor von IPEFIX
  • Bruno Lanvin, Head of Customer Training & Education bei LoungeUp

Memoblatt herunterladen

Blog

Diese Artikel könnten Sie interessieren

Leitfäden und Studien

12

Dez.

2022

LoungeUp: Die Mitarbeitererfahrung in der Hotellerie: Wie kann man Teams anziehen und binden? [Teil 1]
Die Mitarbeitererfahrung im Gastgewerbe [1/3]

Die Mitarbeitererfahrung im Gastgewerbe [1/3]

Teil 1. Personalbeschaffung / Wie organisiert man sich angesichts der aktuellen Zwänge im Personalwesen des Gastgewerbes? Wie rekrutiert und bindet man Mitarbeiter?

#Erfahrung-Mitarbeiter
Lesen Sie
Leitfäden und Studien

28

Jan

2021

LoungeUp
STUDIE: Instant Messaging in der Hotellerie: der genutzte Kanal nach Kundentyp

STUDIE: Instant Messaging in der Hotellerie: der genutzte Kanal nach Kundentyp

Instant-Messaging-Anwendungen spielen eine entscheidende Rolle in unserem Leben. Sie werden täglich genutzt, um mit unseren Lieben zu kommunizieren und den Kontakt zu halten, auch wenn wir räumlich getrennt sind. Die COVID-19-Krise hat zu einem Anstieg der Nutzung dieser Anwendungen geführt (45 % der Weltbevölkerung nutzen sie).

#Praxisleitfadenkundenorientiert#sms#Technologie
Lesen Sie
Leitfäden und Studien

22

Apr.

2024

Checkliste für die Auswahl von Hotelsoftware

Checkliste für die Auswahl von Hotelsoftware

Die fünf wichtigsten Themen, die Sie mit Ihren zukünftigen Technologieanbietern besprechen sollten, um die Lösung zu wählen, die zu Ihnen passt

#Praxisleitfaden#Technologie
Lesen Sie