Obwohl sie sensible Kundendaten halten, sind manche Hotels nicht ausreichend gegen Cyberkriminalität geschützt – Kriminelle verschlüsseln ihre Dateien und fordern Lösegeld
Die Reservierungsanfrage kam auf Englisch, ein Mitarbeiter an der Rezeption klickte unbedacht auf einen Link am Ende der E-Mail. Kurz darauf klingelte bei Hotelmanager Thomas Müller*, der auf der Rückreise aus den Ferien war, das Telefon Sturm. Fast alle Programme der Hotelrechner seien lahmgelegt, Mailverkehr nicht möglich, wichtige Dateien verschlüsselt, berichteten die Mitarbeiter des Viersternehauses im Raum Zürich. Mehr noch: Auf dem Bildschirm sei eine Lösegeldforderung erschienen. 1500 Dollar müsse er zahlen, um wieder an seine Dateien zu kommen.
Die Ursache: eine Schadsoftware, die Daten verschlüsselt und Lösegeld fordert, im Fachjargon Ransomware genannt. Müller hatte Glück im Unglück. Das Reservationsprogramm war nicht betroffen, er konnte noch Rechnungen ausstellen und Gäste einchecken.
Anders lief es vor einigen Jahren bei Thierry Geiger: In seinem Bündner Viersternehotel legte Ransomware mehrere Tage lang das System komplett lahm. «Wir mussten alle Rechnungen von Hand schreiben, auf Papierlisten eintragen, wo welche Gäste untergebracht sind. Wären wir ausgebucht gewesen, wären wir abgesoffen.»
Ein Angriff kostete 50 000 Franken
Beide Hoteliers zahlten kein Lösegeld und konsultierten Experten für Informationstechnik. Die Sicherheitslücke kam teuer zu stehen: 10 000 Franken musste Müller berappen. Geiger zahlte gar 50 000 Franken, unter anderem für neue Server. Ein österreichisches Hotel traf es jüngst noch härter. Nach einem Ransomware-Angriff funktionierte nicht einmal mehr das System für die elektronischen Zimmerschlüssel. Die Beispiele sind keine Einzelfälle.
«Es gibt vermehrt Ransomware-Angriffe, und vielen Hoteliers ist die Gefahr nicht ausreichend bewusst», sagt Hotelleriesuisse-Präsident Andreas Züllig. Einzelne handelten gar fahrlässig, indem sie ihre Systeme nicht ausreichend schützten.
Zahlen zur Cyberkriminalität in der Hotellerie gibt es nicht. Das Bundesamt für Polizei erhielt 2015 insgesamt über 300 Meldungen zu Ransomware, die Attacken nähmen weiter zu, sagt eine Sprecherin. Wie stark, lassen Daten des auf Sicherheitssoftware spezialisierten Unternehmens Kaspersky erahnen. Waren 2014 nur 128 Firmenkunden in der Schweiz betroffen, so waren es im letzten Jahr schon 2324. Zunächst seien die Angriffe vorwiegend gegen Privatpersonen gerichtet gewesen, mittlerweile häuften sich die Fälle bei Unternehmen, sagt ein Sprecher. Es kann jeden treffen, ob Handwerksbetrieb oder Arztpraxis, Spital oder Treuhänder.
Überforderte Behörden
Die Hoteliers sprechen nicht gern über das Thema, sie fürchten um ihren Ruf. Von Anzeigen verspricht man sich wenig Erfolg. Geiger meldete sich bei der Polizei: Sie konnte ermitteln, dass der Angriff von der Ukraine aus erfolgte. Die Strafverfolgung war unmöglich.
Vielfach sind die Behörden überfordert, einzig der Kanton Zürich unterhält ein Kompetenzzentrum für Cyberkriminalität. Und das, obwohl dem Bundesamt für Polizei 2015 über 11 000 Cybercrime-Fälle gemeldet wurden. Es rät von Lösegeldzahlungen ab, weil nicht gewährleistet sei, dass die Daten tatsächlich entschlüsselt werden. Kommt hinzu, dass die Schadsoftware immer raffinierter wird.
«Es gibt neuerdings Trojaner, die nach einer Lösegeldzahlung erneut zuschlagen», sagt Pascal Mittner von der IT-Sicherheitsanalysefirma First Security Technology. «Oder solche, die so programmiert sind, dass sie erst mit der Verschlüsselung beginnen, wenn sie herausgefunden haben, wo eine Sicherheitskopie der Daten abgespeichert ist.»
Eine wirksame Firewall als Schutz
Ein Back-up gilt als einziger Ausweg nach einer Verschlüsselung. Mit seiner Hilfe können Server und Endgeräte neu aufgesetzt, die Daten gerettet werden. Wenn dieses Back-up aber auch verschlüsselt sei, zahle der eine oder andere dann doch lieber Lösegeld, sagt Mittner.
Wie können Hoteliers derartige Angriffe vermeiden? IT-Experte Herbert Stieger von der Firma Informatica hält eine wirksame Firewall und einen gut eingestellten Spamfilter, der verdächtige E-Mails gar nicht erst ins Postfach lässt, für am wichtigsten. Seine Firma betreut IT-Systeme von über 120 Kunden aus verschiedensten Branchen. Stieger sieht im Schnitt einen Ransomware-Fall im Monat.
Immer wieder erlaubten Hotels ihren Mitarbeitern aber auch, private Mails im Browser zu öffnen, sagt Hans Hänny von der IT-Firma Client Systems, der rund 120 Hotels betreut. Dann helfe selbst der beste Spamfilter für die Geschäftsadresse nichts. Der Virenscanner ist umstritten, meist wird er empfohlen, aber er muss laufend aktualisiert werden. Entscheidend ist die Schulung der Mitarbeiter. Die Hotellerie birgt spezielle Risiken. Die Belegschaft ist gross und wechselt häufig. Zudem geht es um umfangreiche Kundendateien. Auch Datenklau gilt als gängiges Motiv von Cyberattacken. «Seien wir ehrlich, ich weiss alles über Sie, ich habe Ihre Adresse, Telefonnummer, Ihre Passnummer», sagt ein Hotelier.
Das Gratis-WLAN wird zur Sicherheitslücke
Ernst Wyrsch, Präsident von Hotelleriesuisse Graubünden, schätzt, dass gerade Vier- und Fünfsternehäuser in prominenten Orten wie St. Moritz, Gstaad, Zermatt oder Davos für Hacker interessant sind. Informationen darüber, wer während des Weltwirtschaftsforums wo logiert, dürften einen hohen Wert besitzen.
Manche Hotels richten mit dem Gratis-WLAN für die Gäste auch gleich die Sicherheitslücke ein. Das Gäste-WLAN muss von jenem für die Mitarbeiter abgekoppelt sein, um unerwünschte Zugriffe zu verhindern. Das sei nicht immer der Fall, sagt Hotelleriesuisse-Präsident Züllig. Denn IT-Sicherheit erfordert hohe Investitionen. Rund 30 000 Franken investierte Züllig jüngst im eigenen Haus, dem Schweizerhof auf der Lenzerheide, in eine neue, sichere Infrastruktur. Jeden Monat werden Dutzende Seiten gesperrt, auf denen Gäste oder Mitarbeiter unterwegs waren und die vom Sicherheitssystem als riskant eingestuft wurden.
Auch Kreditkarteninformationen sind ein beliebtes Ziel von Hackern. Während Buchungsplattformen wie Booking.com Kreditkartennummern selbst verwalten, verzichten Hoteliers vermehrt darauf – aus Angst, bei einem Datenklau zur Verantwortung gezogen zu werden. Derartige Informationen würden nicht abgespeichert, sagen mehrere Hoteliers. Im digitalen Zeitalter erfassen viele die Kreditkartendaten wenn überhaupt handschriftlich. «Und dann ab damit in den Safe», sagt der Direktor eines Kongresshotels.
*Name der Redaktion bekannt (SonntagsZeitung)