Da mittlerweile viele Internet of Things-Geräte mit dem Internet und den Hotel-Servern verbunden sind, werden Hacker Schwachstellen ausnutzen, wenn Hotels nicht besonders vorsichtig sind.
Die Verbreitung von Daten in intelligenten Hotels hat die Sicherheit zu einem noch größeren Problem für Hoteliers gemacht. Geschickte Hacker haben schon immer Schwachstellen in Datensystemen ausgenutzt, und selbst große Konzerne wie IHG, Hilton und Marriott wurden schon kompromittiert. Mit der zunehmenden Integration des Internets der Dinge (Internet of Things, IoT) in Hotels ist die Menge der gesammelten gefährdeten persönlichen Daten exponentiell gestiegen.
Vernetzte Zimmer
In intelligenten Hotelzimmern kann alles, von intelligenten Fernsehern bis hin zu Lichtschaltern, Thermostaten und Weckern, mit dem Internet, den Servern des Hotels und den Geräten der Gäste verbunden werden. Die Marriott-Hotelgruppe beispielsweise gibt an, in den USA über fast 2.000 vernetzte Zimmer zu verfügen, und es kommen ständig weitere hinzu. Die Gäste genießen den Hightech-Komfort, und die Hotels erzielen dadurch höhere Einnahmen. Aber es gibt auch eine Kehrseite. Vernetzte Geräte sind generell anfällig für Sicherheitsverletzungen. Die schiere Anzahl der Internet of Things-Geräte (IoT) in Hotelzimmern, die noch weiter zunehmen wird, bietet Hackern erhebliche Möglichkeiten, in die Privatsphäre der Gäste einzudringen und auf deren persönliche Geräte zuzugreifen.
Ethische Hacker decken Risiken auf
Ethische Hacker haben gute Arbeit geleistet und Schwachstellen aufgedeckt. Als sich ein Forscher des Sicherheitsexperten LEXFO über einen lauten Hotelnachbarn ärgerte, hackte er sich nachts in dessen Zimmer. Er erteilte ihm eine Lektion, indem er sein Licht an- und ausschaltete und sein Bett zum Einsturz brachte. Der Forscher erzählte auf der Konferenz Black Hat USA 2021, wie er die iPads zur Steuerung des Zimmers hackte und sechs Schwachstellen fand. Er informierte das Hotel, und die Schwachstellen wurden behoben.
Es entsteht Chaos
Aber die Bedrohungen sind jetzt noch größer. Auf der Black Hat USA in Las Vegas 2019 gab es eine beredte Illustration der neuen Datenschwachstellen durch sogenannte weiße Hacker. Das deutsche Team, das sich Chaos Computer Group nennt, hackte sich über ein IoT-verbundenes mobiles Schlüsselsystem, das Gäste in Aufzügen, Zimmern und Fitnesscentern nutzten, in ein High-End-Hotel ein. Die Warnung sollte für alle Hotelbesitzer klar sein.
Selbstgefälligkeit
Selbst wenn ethische Hacker Risiken aufdecken, können Hotels sich durch Selbstgefälligkeit Risiken aussetzen. Vor einigen Jahren hackte sich beispielsweise der Sicherheitsforscher Lance R. Vick in die Kundendienstroboter des Henn-na-Hotels in Nagasaki ein und brachte sie dazu, Gäste auszuspionieren, indem er ihre Kameras und Mikrofone steuerte. Vick informierte das Hotel, das jedoch 90 Tage lang nichts unternahm, bis der Sicherheitsforscher damit an die Öffentlichkeit ging. Hoteliers neigen dazu, Details über Hacks von IoT-Geräten zu vertuschen, aber das Ausmaß der Angriffe lässt vermuten, dass sie häufig vorkommen. Nach Angaben des Sicherheitsexperten Kaspersky gab es allein in den ersten sechs Monaten des Jahres 2021 1,5 Milliarden Angriffe auf IoT-Geräte. Kaspersky zufolge sind 43 Prozent der Unternehmen nicht in der Lage, ihre IoT-Geräte vollständig zu schützen.
Berühmte Hacks
Im September 2022 wurde Holiday Inns by IHG von einer Cyber-Attacke getroffen, als das Unternehmen einen „unbefugten Zugriff“ auf eine Reihe seiner Technologiesysteme untersuchte, was zu Störungen bei „Buchungskanälen und anderen Anwendungen“ führte. Einer der berühmtesten außergewöhnlichen Fälle betraf Hacker, die 2017 ein angeschlossenes Aquarium in einem nordamerikanischen Casino-Hotel nutzten, um auf die Daten von Spielern mit hohem Geldeinsatz zuzugreifen. Die Hacker verschafften sich über den Thermostat des Aquariums Zugang zu den Hotelservern. Sie übertrugen zehn Gigabyte an persönlichen Daten auf ein Gerät in Finnland. Ein noch schockierenderes Beispiel war, als Hacker 2015 in einem Fünf-Sterne-Hotel in Genf private Gespräche über das Iran-Atomabkommen ausspionierten. Eine der Methoden der Hacker bestand darin, über Smart-TVs in den Sitzungsräumen auf die Gespräche zuzugreifen.
Hochkarätige Marken sind immer noch anfällig
Gäste mögen sich vor Hackern geschützt fühlen, wenn sie in Hotels renommierter Marken übernachten. Es gibt jedoch Hinweise darauf, dass jedes Hotel gehackt werden kann. Starwood Hotels wurde 2014 kompromittiert, aber der Hack blieb bis 2018 unbemerkt. Zu diesem Zeitpunkt gehörte die Gruppe bereits zu Marriott. Die Hacker hatten sich jahrelang in das System eingeklinkt und Hunderte von Millionen von Daten geplündert, darunter Passnummern, VIP-Status, E-Mail-Adressen und Telefonnummern. Ein weiterer großer Name, Hyatt, wurde 2017 Opfer einer Datendiebstahl, als es Hackern gelang, weltweit auf Zahlungskarteninformationen zuzugreifen. Die Daten wurden von Karten gestohlen, die an der Rezeption manuell eingegeben oder durchgestrichen wurden. Auch bei Radisson kam es 2018 zu einer Datenpanne, wobei persönliche Daten wie Namen, Privatadressen und E-Mail-Konten offengelegt wurden. Im März 2022 drang die Hackergruppe „Conti“ in die internen IT-Systeme der deutschen Hotelgruppe Welcome Hotels ein und musste daraufhin ein völlig neues IT-System installieren.
Die wichtigsten Schwachstellen
Schwachstellen in Hotelsystemen können Schlupflöcher in der Software oder schlecht konzipierte Netzwerksysteme sein, die Hacker ausnutzen können. Aber auch unvorsichtige Mitarbeitende, die ihre Computersysteme angemeldet lassen oder ihre privaten Geräte für dienstliche Zwecke nutzen, stellen eine große Bedrohung dar. Weitere wichtige Bedrohungen gehen von Schadsoftware aus, die an unzureichend geschützte Hotelcomputer gesendet wird, von der unvorsichtigen Entsorgung persönlicher Daten ohne strenge Sicherheitsmaßnahmen und von Insider-Bedrohungen durch nicht vertrauenswürdige Mitarbeitende.
Sechs Möglichkeiten zum Schutz Ihrer Daten: Was Hotels tun können, um die Risiken zu mindern
Vertrauenswürdige technische Partner
- Eine Priorität ist die Zusammenarbeit mit Technologieunternehmen, die auf die Einhaltung aller Datensicherheitsstandards achten, zum Beispiel der PMS-Anbieter SIHOT. SIHOT hat außerdem den Vorteil, dass es über lokale Datenzentren verfügt, was dazu beiträgt, den Diebstahl von Informationen zu verhindern.
Schulungen zur Cybersicherheit
- Die Mitarbeiter stellen eine der größten Schwachstellen des Systems dar. Sie müssen von einem Experten in Sachen Cybersicherheit und Informationssicherheit geschult werden. Sie sollten zum Beispiel lernen, wie man Phishing-E-Mails erkennt. Viele Hotels versäumen es, Routineschulungen durchzuführen.
Auswahl der richtigen Sicherheitstools
- Nutzen Sie Cybersicherheits-Tools. Es ist wichtig, leistungsstarke Sicherheitstools wie Firewalls, Netzwerkmonitore, Verkehrsfilter und Anti-Malware einzusetzen. Hotels sollten die besten Tools für ihr Budget und ihre Bedürfnisse auswählen. Am besten wählen Sie einen Anbieter von Cybersicherheitslösungen, der sich sowohl auf IoT-Schutz als auch auf Netzwerksicherheit spezialisiert hat. Lassen Sie sich von Sicherheitsexperten beraten, wenn Sie sich nicht sicher sind.
Die richtigen Grundlagen schaffen
- Es ist beunruhigend, wie viele Hotels es versäumen, die Standardbenutzernamen und -passwörter auf allen Geräten zu ändern. Dies ist eine grundlegende Sicherheitsmaßnahme, die Sie unbedingt einführen sollten, damit Sie kein Opfer von Botnet-Angriffen werden.
Überprüfen Sie Ihr Personal
- Ihre Mitarbeitenden sollten sorgfältig überprüft werden, um sicherzustellen, dass von ihnen keine Insider-Bedrohung ausgeht. Seien Sie auch nicht zu vertrauensselig gegenüber Technik- oder Wartungsteams, die in Ihrem Hotel arbeiten. Es sollte keinen unbefugten Zugriff auf angeschlossene Hotelcomputer geben.
Isolieren Sie Ihre IoT-Geräte
- Alle Geräte, die für den Geschäftsbetrieb genutzt werden, sollten in einem Netzwerk untergebracht werden, das getrennt vom Hotelserver betrieben wird. Alle IoT-Geräte, die keinen Internetzugang benötigen, sollten vom weltweiten Internet isoliert werden. Wenn in einem Zimmer private Gespräche stattfinden, ist es am sichersten, alle Fernsehgeräte und Voice User Interfaces (VUIs) auszustecken.
SIHOT arbeitet mit Hotels als langfristiger Partner zusammen, um sicherzustellen, dass die Technologie die Effizienz steigert und das Unternehmen vor Bedrohungen von außen schützt.