Hotels sind ein beliebtes Ziel für Hacker-Angriffe. Was können Hoteliers tun, um nicht zur Zielscheibe digitaler Erpresser zu werden?
Eine Bewerbung, eine Rechnung oder eine Reservierungsanfrage mit Anhang – auf den ersten Blick kein verdächtiges E-Mail für ein Hotel. Routiniert öffnet man das angehängte Word- oder PDF-Dokument und aktiviert damit unter Umständen einen Virus, der das Netzwerk lahmlegt. «Dann ist es zu spät. Die Schadsoftware fängt an, wichtige Dateien und Programme zu verschlüsseln. Darunter auch Reservierungs- und Schlüsselsysteme», erklärt Candid Wüest, der beim IT-Unternehmen Symantec auf Gefahrenerkennung spezialisiert ist.
Was bei Ransomware-Angriffen folgt, ist meist ein klassisches Erpressungsschreiben. Das Opfer wird aufgefordert, eine bestimmte Summe in Bitcoins zu zahlen und erhält daraufhin einen Code, um die Systeme wieder freizugeben. «Auf diese Forderung sollte man nicht eingehen und stattdessen ein Backup des Systems einspielen», meint Wüest. Problematisch wird es, wenn das hotelinterne Netzwerk keine Backups durchführt wie im Fall des Seehotels Jägerwirt in Österreich.
Zwecks Winterpause wurde das System mehrere Wochen lang nicht aktualisiert. Die Hacker hatten ein leichtes Spiel – für den Hotelchef war es einfacher, das Lösegeld zu zahlen, als zu versuchen, das alte System wieder zum Laufen zu bringen. Jedoch geht Candid Wüest davon aus, dass der Angriff eine Infektion war, die unbewusst an ein Hotel ging. 1600 Franken seien für ein Unternehmen, das sensible Daten birgt, eine relativ niedrige Lösegeldforderung. «In der Schweiz gab es Angriffe auf Anwaltskanzleien mit Beträgen von 20 000 Franken als Erpressungssumme», sagt Wüest. «Auch Spitäler, die teilweise Herz-Lungen-Maschinen und CT-Scanner über das gleiche Netzwerk steuern, werden mit bis zu 20 000 Franken erpresst. In San Francisco wurde der öffentliche Verkehr von Hackern lahmgelegt. Dort wollten die Erpresser 70 000 Dollar rausschlagen.»
Verlässliche Zahlen zu Hacker-angriffen in der Schweiz gibt es nicht, doch Candid Wüest beobachtet täglich Hunderte erfolg-reiche Überfälle mit Phishing-Mails. «Man muss noch nicht mal ein Programmierer sein, um Trojaner zu verbreiten. Im Darknet kann man solche Viren bereits ab 300 Franken einfach kaufen, anhängen und verbreiten.»
Wie sich ein solcher Angriff anfühlt, musste auch der Zürcher Hotelier Kurt Wodiczka am eigenen Leib erfahren. Per E-Mail kam im Hotel Leoneck vor einiger Zeit die Rechnung einer bekannten Firma, die ein Mitarbeiter unglücklicherweise öffnete. Dahinter verbarg sich ein Virus, der fast alle Computer – auch im Schwesterhotel Walhalla – lahmlegte und die Daten verschlüsselte. Alle Reservierungsbestätigungen sowie die Buchungen waren verschwunden. «Innerhalb einer halben Stunde kam unser IT-Mitarbeiter und konnte die erste Arbeitsstation nach kurzer Zeit dank eines Backups wieder herstellen», erinnert sich Wodiczka. Nach einem Tag liefen alle Systeme wieder einwandfrei. Grössere Datenverluste konnte das Hotel umgehen und die Gäste bekamen nichts von dem Szenario mit. «Solche E-Mails bekommen wir fast täglich und schulen die Mitarbeiter, sie zu erkennen», so Wodiczka.
«Die Frage ist nicht ob das Hotel gehackt werden kann, sondern wann. Die heutige Digitalisierung bietet etliche Angriffspunkte. Das Einfachste ist aber, von Anfang an eine vernünftige IT-Lösung zu haben», sagt Candid Wüest. Dazu gehört eine Sicherheitssoftware, die Viren erkennt und blockt, noch bevor Schaden entsteht. Weiterhin ist es wichtig, das Gästenetzwerk mit freiem WLAN vom Office-Netzwerk zu trennen. Über das offene WLAN-Netz lassen sich Passwörter viel einfacher knacken und auf dem internen Netzwerk anwenden.
«30 Prozent aller Hotels, die ich besucht habe, trennen die Systeme nicht», erzählt Wüest. Es macht ebenfalls Sinn, die Abteilungsnetzwerke zu separieren. HR-Angestellte bekommen häufig E-Mails von Unbekannten mit angehängten Dokumenten. Diese nicht zu öffnen, wäre keine Option. Sicherlich macht auch eine Schulung für Mitarbeiter Sinn, um infizierte Mails zu erkennen. Häufig beinhalten sie Rechtschreibfehler oder gefälschte Firmenlogos und -adressen. Die benutzten Browser und Betriebssysteme sollten ebenfalls immer aktualisiert werden. Und das tägliche Backup des Systems rettet bei einem Hackerangriff unter Umständen alle Daten.
«Cyberkriminelle denken sich immer kreativere Strategien aus, um an Geld zu kommen», erzählt Candid Wüest. So sind gefälschte Rechnungen geeignete Mittel zum Zweck. Hat sich ein Krimineller ins Netz gehackt, kann er ausgehende Rechnungen – beispielsweise von Konferenzen – beim Senden blockieren. Dann wird die Kontonummer des Empfängers ausgetauscht und der Kunde überweist den Betrag an das Konto des Fälschers. Eine noch einfachere Variante ist es, doppelte Mails zu verschicken. Ein Hotel stellt die Rechnung. Der Hacker sieht, dass sie verschickt wurde und sendet daraufhin ein zweites E-Mail, dass ein Fehler unterlaufen sei. Man solle doch das Geld an eine andere Kontonummer überweisen.
«Bis das Hotel Mahnungen verschickt und realisiert, dass etwas schief lief, sind die Hacker mit dem Geld schon längst über alle Berge», so Wüest. Das Geld wird von Konto zu Konto überwiesen und ist, wie Bitcoins, fast nicht nachverfolgbar. Auch gängige Versicherungen haften in diesem Fall nicht. Solche Vorfälle sollte man aber in jedem Fall der Polizei melden.
