Die Digitalisierung macht eine neue Kernkompetenz nötig: die Fähigkeit, Cybergefahren und -angriffe zu erkennen und abzuwehren.
Die Schulung der Mitarbeitenden und ihre Sensibilisierung für Social Engineering ist eine der wichtigsten Schutzmassnahmen gegen Cyberangriffe. (Adobe-Stock)
Besonders relevant sind Ransomware-Angriffe. Dabei werden Daten geklaut oder verschlüsselt und für ihre Rückgabe ein Lösegeld verlangt. Diese Angriffe treffen entweder direkt den Betrieb oder erfolgen über Dritte wie Buchungs- und Verwaltungssoftware, IT-Dienstleister oder Lieferantenanbindungen. Eine weitere Gefahr ist «Business Email Compromise». Es werden E-Mail-Konten täuschend echt imitiert, um Mitarbeitende zu Zahlungen zu verleiten: durch gefälschte Rechnungen, geänderte Bankverbindungen oder angeblich dringend erforderliche Überweisungen.
Social Engineering und Phishing funktionieren in der Beherbergungsbranche überdurchschnittlich gut, weil da viel externe Kommunikation und Zahlungsverkehr unter Zeitdruck stattfinden. Angreifer können sich glaubwürdig als Gäste, Lieferanten, Management oder Buchungsplattformen ausgeben, um Zugänge, Freigaben und Zahlungen zu erhalten.
Die Bedrohungen sind ähnlich, doch Heime und Spitäler sind oft noch stärker exponiert, weil sie besonders schützenswerte Gesundheitsdaten verarbeiten. Zugleich ist die Verfügbarkeit der Systeme für die Patientensicherheit und den laufenden Betrieb unabdingbar. Zudem sind sie stark von spezialisierten Drittanbietern und Fernwartungszugängen abhängig. All das macht Heime und Spitäler zu einem attraktiven Ziel für Erpressung.
Bereits zum zweiten Mal leitet Tizian Eggenberger im Auf-trag der Hotel & Gastro Union einen Cybersicherheit-Kurs
Grösste Vorsicht ist immer dann geboten, wenn Druck aufgebaut und gedrängt wird. Formulierungen wie «sofort zahlen», «dringend bestätigen» oder auch «Bankverbindung hat geändert», «Anhang schnell öffnen» und «Link zur Buchungsprüfung» sollten hellhörig machen. Typisch sind zudem kleine Unstimmigkeiten wie leicht abweichende Absenderadressen, unerwartete Anhänge, Links auf unbekannte Seiten oder Anfragen, die nicht zu den üblichen Arbeitsprozessen passen. Besonders Mitarbeitende mit viel externem Kontakt müssen vorsichtig sein. Cyberkriminelle sind Profis und spielen ihre Rollen als Gäste, Lieferanten und so weiter sehr glaubwürdig.
Sie sollten trotz Zeitdruck, Diskretion, Dienstbereitschaft und vermeintlicher Autorität mit der anderen Person niemals Passwörter oder Codes teilen. Identitäten, gerade wenn unübliche Anfragen oder Wünsche geäussert werden, müssen immer überprüft werden. Bei Zahlungen mit IBAN-Änderungen gilt besondere Vorsicht. Zudem sollten Links und Anhänge nur geöffnet werden, wenn man sie erwartet und sie plausibel sind. Im Zweifel nicht öffnen und den Vorgang dem Vorgesetzten oder der für IT-sicherheitsverantwortlichen Person melden.
Es kann das Risiko vor allem durch klare Prozesse, technische Basisschutzmassnahmen und regelmässige Trainings der Mitarbeitenden deutlich senken. Ein gezieltes Programm mit kurzen, wiederkehrenden Trainings, gepaart mit realistischen Phishing-Simulationen und kurzen Nachschulungen, sensibilisiert die Mitarbeitenden und schärft ihr Bewusstsein für Cybersicherheit.
Er sollte eine Betriebskultur pflegen, in der Vorsicht und sauberes Verifizieren höher bewertet werden als Schnelligkeit und «Keine-Umstände-machen». In einer guten Sicherheitskultur ist Nachfragen erwünscht, wenn einem etwas merkwürdig erscheint. Auch sind Pausen, um Sachverhalte zu überprüfen, akzeptiert. Wichtig ist: Für allfällige Fehlalarme werden die Mitarbeitenden nicht gerügt. Stattdessen lobt man sie für ihre Aufmerksamkeit und ihr korrektes Vorgehen.
(Riccarda Frei)
hotelgastrounion.ch (Suchbegriff: Hotel Cyber Security)
