Im Dezember 2019 veröffentlichten die Datenexperten von Statista eine informative Übersicht über die Maßnahmen, mit denen Hoteliers und Hotelketten die Daten ihrer Kunden besser absichern wollen. Ganz vorn mit dabei: Das regelmäßige Ändern von Passwörtern. Doch mittlerweile hält selbst das BSI (Bundesamt für Sicherheit in der Informationstechnik) diese Maßnahme für nicht mehr zeitgemäß. Allerdings verfügen gerade Hotels über eine große Menge an persönlichen Daten über ihre Kunden. Kaum überraschend daher, dass sie immer Ziele und Opfer von Cyberangriffen waren. Doch Datenschutz und IT-Sicherheit zählt keineswegs zum Kerngeschäft der Branche, es ist ein notwendiger Kostenfaktor. Doch wie können Hotels den Schutz ihrer gesammelten Daten steigern, ohne gleich in eigene Rechenzentren und Hochsicherheitssysteme investieren zu müssen?
Eine Option ist hier sicherlich die Zusammenarbeit mit Hackern. Dabei stellen Unternehmen wie HackerOne Plattformen zur Verfügung, auf denen sich die Organisationen und die sogenannten White-Hat-Hacker treffen können. Diese Hacker arbeiten vollkommen legal und erhalten für das erfolgreiche Auffinden von Schwachstellen entsprechende Prämien – die sogenannten Bug Bounties.
IT-Schutz im Gastgewerbe hinkt hinterher
Es gibt mehrere große Hotelketten, die in der Vergangenheit Opfer eines Hackerangriffs wurden und dies zeigt warum der Ausbau der Sicherheit in der Hotellerie dringend notwendig ist. In einem Fall wurde gezielt die Reservierungsdatenbank angegriffen und mehr als eine halbe Milliarde Datensätze kopiert und verschlüsselt, darunter auch Zahlungsinformationen.
Aber was macht diese Unternehmensgruppen so attraktiv für Cyberkriminelle? Die Summe der persönlichen Daten, die sich mit einem erfolgreichen Angriff auf einen Schlag erbeuten lässt! Denn die Kriminellen halten Ausschau nach sämtlichen Daten aus der Datenbank. In den meisten Fällen werden Namen und Anschrift, Telefonnummern, E-Mail-Adressen, Passnummern, Ankunfts- und Abreisedaten sowie Kommunikationspräferenzen abgegriffen. Ferner wurden auch Kartennummern von Kredit- und Bankdaten sowie deren Ablaufdaten entwendet und trotz der zweifachen Absicherung konnte nicht ausgeschlossen werden, dass diese Daten in Umlauf gelangt sind. Die Hotelgäste mussten sich nun der Gefahr bewusst sein, dass auch ihre Identität missbräuchlich verwendet werden könnte.
Anhand der Vorfälle wird deutlich, wie dringend der Ausbau der digitalen Sicherheit in der Hotellerie wirklich ist.
Dass den Unternehmen dies bewusst ist, ist ein wichtiger erster Schritt. So befasst sich eine Studie des Hotelverbands Deutschland, für die 400 Hotelverantwortliche befragt wurden, damit, welche Maßnahmen die Befragten bereits ergreifen, um ihre IT-Infrastruktur zu verbessern bzw. um auf Basis fortschreitender Digitalisierung ihre Sicherheit zu erhöhen. Dabei gaben sieben von zehn Befragten an, dass sie in regelmäßigem Kontakt mit ihren Gästen und Mitarbeitern stehen und empfehlen, ihr Passwort regelmäßig zu ändern, knapp ein Viertel hatte dies für das kommende Jahr geplant. Etwas weniger als die Hälfte sensibilisieren ihre Mitarbeiter gegen Social Engineering und die sogenannte CEO-Masche. Dabei handelt es sich um Mails, die betrügerischerweise im Namen des CEOs oder eines anderen hohen Managers des Unternehmens versendet werden und oft mit Schadsoftware infizierte Dokumente oder Links zu präparierten Webseiten beinhalten, die mit Malware infiziert sind. Der ahnungslose Anwender klickt darauf und die Systeme werden lahmgelegt und bzw. oder die Hacker haben Zugriff auf die Daten und Systeme des Unternehmens.
Zwar versuchen manche der Firmen sich mit Hilfe einer Cyberversicherung gegen das beschriebene Szenario abzusichern. Doch neben direkten finanziellen Konsequenzen ist auch die Reputation gefährdet. Dennoch muss es gar nicht erst so weit kommen, wenn der Schutz präventiv verbessert wird.
White-Hat Hacker zur Vorbeugung eines Cyberangriff
Viele Organisationen investieren große Summen in Firewalls, Virenscanner und andere Technologien, um die IT-Sicherheit zu verbessern. Das ist mehr oder weniger Standard und die Untergrenze dessen, was getan werden muss. Natürlich bleiben aber auch trotz dem Einsatz von Sicherheits-Software Schwachstellen im System bestehen – und diese gilt es zu entdecken und auszumerzen. Beispiel Reservierungssystem: Als Plattform, die im Internet verfügbar ist, bietet sie versierten Hackern direkten Zugriff auf die internen Datenbanken mit Millionen Datensätzen sensibler Kundeninformationen.
Besser wäre es, wenn „gute“ Hacker versuchen, das Reservierungssystem zu hacken, dem Anbieter diese Einfallstore gut dokumentiert melden und diese Tore geschlossen werden. Die Hacker erhalten dafür einen entsprechenden Lohn, die Bug Bounty. HackerOne bietet hier beispielsweise eine derartige Plattform, um Firmen und White-Hat-Hacker zu vernetzen.
Speziell bei international vernetzten Global Playern, wie Marriott, Hyatt oder Hilton und unterschiedlichsten Sicherheitsbestimmungen in den jeweiligen Ländern, in denen diese Unternehmen tätig sind, kann eine interne IT oftmals nicht mehr Schritt halten. Hinzu kommt die Menge an (sensiblen) Daten, heterogene Netzwerke und IT-Landschaften der jeweiligen Untermarken. Aber auch bei einem privat geführten Gewerbe mit mehreren Standorten ist der Aufwand schlichtweg zu groß und zu teuer, den der Ausbau der IT-Teams für ein angemessenes Maß an Sicherheit erfordert. Die White-Hat-Hacker können hierbei helfen.
Dabei müssen sich die Hoteliers klar machen, dass sich nicht nur der kriminelle Hacker, sondern auch der White-Hat-Hacker erst einmal Zugang zu einer Hoteldatenbank bzw. Applikation verschaffen muss. Doch rein juristisch gesehen ist das verboten und wird per se rechtlich geahndet. Daher benötigen beide Parteien, die guten Hacker wie auch die Hotels eine entsprechende Vereinbarung, die es den Hackern erlaubt, diesen eigentlich illegalen Zugriff dennoch durchzuführen. Ohne diese Agreements beider Parteien kann die Arbeit des Hackers nicht stattfinden, die Sicherheitslücken in einem System bleiben unentdeckt, das Risiko für einen Einbruch durch Kriminelle bleibt weiterhin entsprechend hoch.
Im oben beschriebenen Fall, der typischerweise über Bug-Bounty-Plattformen abgewickelt wird, ist vorgesehen, dass sich die White-Hat-Hacker dem Unternehmen gegenüber verpflichten, deren Schwachstellen in der IT-Infrastruktur aufzudecken. Die Kriterien werden in VDPs (Vulnerability Disclosure Program) unterzeichnet und sind Bestandteil des Vertrags. So wird das Vertrauensverhältnis definiert – die Hacker sind offiziell abgesichert und liefern im Anschluss einen validen Bericht der Schwachstellen. Die Behebung selbiger liegt dann in der Verantwortung der IT-Teams des Unternehmens.
Hyatt weitet als erste Hotelmarke öffentliche Kollaboration weiter aus
Am Fallbeispiel Hyatt zeigt sich, wie effektiv und sicher ein Bug-Bounty-Programm ablaufen kann.
Mit mehr als 875 Hotels in über 60 Ländern und rund 120.000 Mitarbeitern sowie zahlreichen Gästen wird das IT-Sicherheitsteam immer wieder vor neue Herausforderungen gestellt.
Seit Beginn des Public Programms Anfang letzten Jahres haben die internationalen White-Hats mittlerweile zusammen 175.000 US-Dollar an Wert für Schwachstellen reporten können. Das Public Programm umfasst nicht nur die Webseiten Hyatt.com und world.hyatt.com sondern auch die mobilen Applikationen für iOS und Android. Für das Entdecken der bisher kritischsten Sicherheitslücke wurde eine Prämie in Höhe von 6000 US-Dollar gezahlt (Quelle: hackerone.com/hyatt?type=team).
„Wir glauben, dass ein Bug-Bounty-Programm als Teil unserer Cyber-Sicherheitsstrategie von immensem Wert ist. Daher ermutigen wir alle Unternehmen, nicht nur die im Gastgewerbe, einen ähnlichen Ansatz zu verfolgen und Bug-Bounty als proaktive Sicherheitsinitiative zu betrachten“, stellt Hyatts Chief Information Security Officer Benjamin Vaughn fest.
Das Engagement von Hyatt für die eigene IT-Sicherheit wird durch die flexiblen Reaktions- und Lösungszeiten bei gemeldeten Fehlern bestätigt. Im Durchschnitt benötigen die Digital- und Technologie-Teams von Hyatt weniger als 20 Tage, um die Fehlerberichte von Hackern richtig zu validieren und das damit verbundene Sicherheitsproblem zu lösen.
Des Weiteren hat das Unternehmen den Umfang seines Bug-Bounty-Programms ausgeweitet und die Prämien erhöht. Folglich werden alle mit dem Internet verbundenen Anwendungen im internen Rechenzentrum den White-Hat-Hacker bekannt gegeben und auf Sicherheitslücken hin (auch Bugs genannt) geprüft. Konkret nahm die Anzahl der erkannten und damit behobenen kritischen Bugs um 33 Prozent und die der äußerst kritischen um 50 Prozent zu.
Man sieht also, dass jedes IT-System immer wieder Schwachstellen aufweisen kann und sich die Sicherheit der Systeme erhöht, wenn sie zusätzlich auch von Externen geprüft werden. Speziell dann, wenn man eine Cyberversicherung abgeschlossen hat, muss diese im besten Fall gar nicht mehr greifen, da man das Datenleck vorher schließen konnte und dem wirtschaftlichen Totalschaden entgeht.
