Ein Hotelier erzählt, wie er sich von Hackern erpressen liess und was er seinen Kollegen in Zukunft rät.
Sie kommt meist als E-Mail-Anhang oder auf dem USB-Stick in Form eines PDF-Dokuments, eines Excel-Sheets oder einer Word-Datei daher. In der IT-Sprache heisst sie Malware, für Laien handelt es sich um eine Schadsoftware, die Systeme befällt. Verschickt wird die Software von Hackern, die entweder Geld erpressen oder Passwörter oder Zugangsinformationen stehlen wollen. In jedem Fall entsteht ein Schaden – für Hotelier und Gast.
Wie allgegenwärtig sind solche Angriffe in der Schweiz? Und wie schützt man sich? Der Verein der Zürcher Hoteliers und Zürich Tourismus luden ins Hotel Belvoir in Rüschlikon zu einer Plattform ein, um Cyberkriminalität unter die Lupe zu nehmen. «Ein Drittel aller Unternehmen wurde schon mal gehackt. Alleine heute gingen bei uns 20 Angriffe ein», erzählt Stephan Walder, Mitarbeiter des Kompetenzzentrums für Cybercrime. «Virtuell angegriffen werden kann alles. Sogar eine Kaffeemaschine wurde mal gehackt», sagt der Experte. «Hotels seien wegen ihrer sensiblen Daten ebenfalls Zielscheibe.»
Sein Job ist das Hacken – Ivan Bütler testet in seiner Firma Compass Security täglich Unternehmen auf ihr Angriffspotenzial. «Es gibt vier Typen von Hackern: Diebe von Kreditkartendaten, Diebe von Passwörtern, Erpresser und solche, die einfach nur provozieren und ihre ‹Trophäen› ausstellen wollen», erzählt der Experte.
Erpresst wurde auch Elio Frapolli. Er ist Inhaber eines Cateringunternehmens sowie des Hotel-Restaurants Sommerau Ticino in Dietikon/ZH. Im März dieses Jahres öffnete ein Mitarbeitender eine infizierte Mail. Innerhalb weniger Sekunden blockierte die Schadsoftware alle Daten und Zugänge. Frapolli wurde aufgefordert zu zahlen. 1750 Franken in Bitcoins. «In meiner Not wusste ich mir nicht anders zu helfen und ging darauf ein. Jetzt weiss ich, dass man das keinesfalls tun sollte», erzählt der Hotelier. Erstaunlicherweise bekam er sogar die Hälfte der Daten wieder – da war ein «Hacker mit Herz» am Werk. Trotzdem investierte er nachträglich 160 000 Franken in eine neue Sicherheitsstruktur, liess die Systeme updaten, alles komplett neu aufsetzen und die Mitarbeiter schulen. Das Problem war nämlich, dass Frapolli seit 2014 kein Backup des Systems hatte durchführen lassen. Normalerweise sei das Standard, wenn man sich von einer IT-Firma betreuen lässt.
Nach einem Angriff kann somit die letzte Version des Updates ohne grossen Schaden einfach wieder draufgespielt werden.
Ein genereller Virenschutz und eine Firewall auf hotelinternen Geräten wehrt generell viele Angriffe ab. Zudem ist eine externe Datensicherung fast unumgänglich, am besten eine, die mehrmals am Tag ein Backup erstellt. Wird man dennoch Opfer, kontaktiert man am besten sofort die zuständige IT-Firma. Sie finden die Ursache, trennen infizierte Geräte vom Netz, prüfen andere Geräte, stoppen die Infektion und beginnen die Wiederherstellung. Eine vorläufige Sensibilisierung der Mitarbeitenden kann viele Zwischenfälle verhindern, insofern man keine häufigen Wechsel im Betrieb hat. Denn der Hacker ist oft gut getarnt und setzt auf die Schwachstelle «Mensch».
Viele Täter locken ihre Opfer geschickt auf die Malware. Sie betreiben «Social Engineering» und spähen Interessen sowie spezifische Themengebiete gezielt aus. Greift der Hacker also ein Hotel an, gibt er sich oft als Bewerber für einen Job aus. Im Anhang des Mails befindet sich jedoch nicht das Dossier, sondern gut versteckte Malware. Diese Masche wird auch oft beim Versenden von USB-Sticks integriert. Mit dem Klick auf den Anhang installiert sich automatisch die Software. Personalisierte Mails sind meist Bestandteil ausgereifter Hackingversuche. Man gibt sich als Firma aus, die im Hotel tagen möchte. Im Anhang öffnet man statt der Excel-Tabelle mit den Teilnehmenden einen Virus. Oder man kopiert offizielle Logos bekannter Unternehmen, um dadurch glaubwürdig zu wirken. Oft beinhalten solche Mails jedoch Schreibfehler oder sonstige optische Makel. Es gilt, als Mitarbeitender die Augen offen zu halten und kritischer zu sein.
(Anna Shemyakova)
