Stellen Sie sich vor, die persönlichen und finanziellen Informationen eines jeden Gastes in Ihrem Hotel würden einem Datendieb zum Opfer fallen. Unvorstellbar für Sie? Nicht für die 5,2 Millionen Gäste von Marriot. Sie alle wurden Opfer eines E-Mail-Phishings, bei dem aus dem ganzen Unternehmen Steuerformulare an jemanden gesendet wurden, der sich als Geschäftsführer ausgab.

Marriot ist nicht das erste oder das einzige Unternehmen, das zur Zielscheibe für die Attacken von Hackern und Cyberkriminellen wurde. Genauso, wie Phishing nicht die einzige Strategie dieser Schurken ist. Jedes einzelne Hotel weltweit ist durch Malware, Ransomware, Spam, Hacking und Social Engineering gefährdet.

Glauben Sie, Hacker könnten Ihnen aber immerhin physisch keinen Schaden zufügen?

Im Jahr 2010 zerstörte das Computer-Virus Stuxnet beinahe ein Zehntel der iranischen Atomzentrifugen, 1.000 von den 10.000, die damals in Betrieb waren. Indem er auf die Steuerungssysteme abzielte, infizierte dieses Virus über 200.000 Computer und sorgte dafür, dass 1.000 Maschinen physischen Schaden erlitten. Können Sie sich vorstellen, was passiert wäre, wenn eine dieser Zentrifugen explodiert wäre?

Ein weiteres Beispiel ist die Hackerattacke auf die Website der Epilepsy Foundation of America, die am 22. März 2008 begann. Der Angriff wurde mit JavaScript Code und hunderten aufblitzenden Computeranimationen durchgeführt. Er zielte darauf ab, muster- und lichtempfindliche Anfälle und Migränekopfschmerzen bei Personen auszulösen, die versuchten, das Supportforum auf der Website aufzurufen.

Am 18. September 2020 war das Universitätsklinikum in Düsseldorf das Ziel von Cyberkriminellen. Die Hacker setzten Ransomware ein, das heißt, sie verschlüsselten Daten, in diesem Fall medizinische Akten, und hielten sie unter Verschluss, bis das Krankenhaus, die geforderte Zahlung leistete. Das traurige Ergebnis dieser Attacke war die Umleitung einer schwerkranken Frau nach Wuppertal, die dadurch sie mit einstündiger Verspätung angemessen versorgt werden konnte. Sie verstarb schließlich an den Folgen. „Wir können von Glück reden, dass so etwas nicht schon eher passiert ist”, sagte Brett Callow, Analytiker für Cyberbedrohungen bei der Firma Emisoft.

Sind Sie nun ausreichend alarmiert? Stehen Sie kurz davor, quer durchs Haus zu marschieren und bei Ihrem IT-Manager ein Notfall-Cybersecurity-Training für Ihre gesamte Belegschaft anzufordern? Oder brauchen Sie noch mehr Argumente?

Warum sollten Hotels Cybersecurity-Trainings für ihre Angestellten anbieten?

Das Hauptargument, Ihre Belegschaft über Cybersecurity zu informieren, ist simpel: Wenn Ihre Angestellten eine Bedrohung der Sicherheit nicht erkennen, wie sollen sie so einen Vorfall dann vermeiden, melden oder beseitigen? Sie können es nicht. 

Sollten Sie noch atemberaubende Statistiken brauchen, die Sie dabei unterstützen, so gibt es diese zuhauf.

2019, zum Beispiel, ergab eine Umfrage zum Stand der IT-Sicherheit, dass fehlende E-Mail-Sicherheit und Schulung des Personals die Hauptanliegen von IT-Sicherheitsexperten waren. Dennoch wussten mehr als 30 Prozent der von Wombat Security Technologies befragten Mitarbeiter nicht einmal, was Phishing oder Malware ist. Vermutlich ist dies der Grund, warum Betrugsmethoden wie der Business Email Compromise (BEC) laut FBI zu enormen Verlusten von über 3 Milliarden Dollar führen können.

Aber halt – haben all diese Hotels nicht Firewalls und Sicherheitssoftware? Natürlich haben sie das, aber das reicht einfach nicht! Angestellte, nicht die Technik, sind die meistgenutzten Einstiegsstellen für Phishing-Angriffe. Und gerade dann, wenn es um Hotels geht, gibt es ist davon enorm viele.

Dies bedeutet natürlich nicht, dass Angestellte an einer Verschwörung teilnehmen, um den Untergang des Hotels herbeizuführen. Das wäre nun wirklich zu finster. Aber da sie auch nur Menschen sind, machen sie eben Fehler, vertrauen auf gefälschte Identitäten und fallen auf hinterhältige Taktiken herein, die von Kriminellen eingesetzt werden, um an firmeninterne Informationen zu gelangen. Allerdings kann dies natürlich auch verhindert werden: durch Schulungsprogramme zu Cyperkriminalität.

Angestellte brauchen Cybersecurity-Trainings, damit sie sich selbst und das Hotel gegen Cyberangriffe schützen können. Indem Sie Ihre Angestellten dafür sensibilisieren, wie solche Bedrohungen auftreten können, und was sie tun können, wenn eine Bedrohung identifiziert wurde, stärken Sie die schwächsten Glieder der Kette. Dadurch können Sie Kriminelle dazu bewegen, sich andere Opfer zu suchen, bei denen sie einfacher zum Ziel gelangen.

Wie Sie Ihre Angestellten in Cybersicherheit schulen

Das Weltwirtschaftsforum stuft Cyberkriminalität und Datendiebstahl in seinem jüngsten Bericht „The Global Risks 2019″ als „überdurchschnittlich wahrscheinlich“ ein.

Um diese Rekordhöhen bei Datenschutzverletzungen und Cyberbedrohungen zu erreichen, konzentrieren Cyberkriminelle sich auf die Manipulation menschlichen Verhaltens. Die Rolle von Menschen als Einfallstor für Cyberkriminalität steht nicht länger in Frage — und für Kriminelle sind Hotelangestellte oft ein probates Mittel zum Zweck.

Wie sollten Sie also diesen Bedrohungen und teils boshaften Aktionen begegnen? Bildung, Bildung, Bildung!

Wie wecken Sie bei Ihren Angestellten mehr Sicherheitsbewusstsein? Wie versetzen Sie sie dazu in die Lage, an vorderster Front gegen Cyberkriminalität wehren zu können?

Der Schulungsprozess zu mehr Sicherheitsbewusstsein

Die Schulung von Sicherheitsbewusstsein (Security Awareness) ist keine einfache Sache. Sie ist ein Prozess. Sicherheitsbewusstsein entsteht aus seiner Vielzahl von Ideen, Gedanken, und Vorbereitungen, die schließlich ein ganzheitliches Trainingsprogramm ergeben. Im Folgenden werfen wir einen Blick auf die Bereiche, die auf dem Stundenplan eines jeden Hotels stehen sollten.

Checkliste für Security Awareness Training im Hotel

1. Identifizieren Sie die besonderen Bedürfnisse, die Ihr Haus in Bezug auf Cybersicherheit hat

Klingt für Sie zu naheliegend? Das mag sein, doch wenn Sie erst mal genau wissen, was Sie brauchen und was Sie wollen, ist das der erste Schritt zu einem erfolgreichen Trainingsprogramm.

Ein gutes Sicherheitstraining kann an Sie und die Bedürfnisse Ihres Unternehmens angepasst werden. Adaptieren Sie das Programm für die einzelnen Abteilungen in Ihrem Hotel. So wird ein Verbrechen wie der Business Email Compromise (BEC) eher das leitende Management betreffen als das Housekeeping. E-Mail-Phishing betrifft alle Mitarbeiter mit Zugriff auf einen Computer. Daher ist ein allgemeines Training, das auf die Anzeichen von Phishing aufmerksam macht und mit simulierten Phishing-Übungen schult, vermutlich für das ganze Unternehmen sinnvoll. 

2. Machen Sie das Cybersicherheitstraining zu einem Teil Ihres Onboardings

Cybersicherheitsrainings für Ihre Belegschaft können nicht warten. Eine Cyberattacke kann jede Minute passieren. Und raten Sie mal, wer ihnen am ehesten zum Opfer fällt?

Neue Angestellte sind normalerweise nervös und passen sich noch ihrer neuen Arbeitsumgebung an. Verständlicherweise gehört Cybersicherheit dabei nicht zu ihren obersten Prioritäten. Das bedeutet aber auch, dass sie unbefangen mit Passwörtern und physischer Sicherheit umgehen. Sie sind außerdem leichte Beute für Social Engineering Attacken, denn ihnen fehlt einfach der Überblick darüber, wer was in Ihrem Unternehmen macht.

Indem Sie bereits während des Onboardings das Bewusstsein für Cybersicherheit bei Ihren neuen Mitarbeitern schärfen, stellen Sie sicher, dass es keine erkennbaren Schwachstellen in Ihrem Team gibt. Außerdem kommunizieren Sie so, dass Cybersecurity eine gemeinsame und kontinuierliche Verantwortung ist. 

Das Onboarding ist auch ein guter Moment, um Praktiken der Cybersicherheit zu fördern, die über Ihr Hotel hinausgehen. Machen Sie Ihren Mitarbeitern klar, dass Onlinesicherheit ein allgemeines Anliegen ist. Ermutigen Sie Ihre Mitarbeiter, die Hinweise aus dem Training zu nutzen, um ihre persönlichen Daten und Geräte ebenfalls zu schützen.

3. Behandeln Sie relevante Themen

Die Themenwahl ist das A und O für Ihre Security Awareness Kampagne. Die folgenden Themen sollten Sie bedenken:

Phishing

In allen Formen und Farben. In der Lage zu sein, die Anzeichen von Phishing-Attacken zu erkennen, ist eines der Hauptthemen auf der Liste von Security Awareness. Phishing ist nach wie vor der schnellste Weg für Malware in ein Netzwerk gelangt. Um eine Gruppe von Individuen, die quer über ein Unternehmen verteilt sind, zu schulen, braucht es ein vielfältiges Trainingsprogramm. Die Schulung in diesem Bereich funktioniert am besten, wenn das Gelernte tatsächlich auch angewendet werden kann. Nutzen Sie Trainingsprogramme, die lebensechte oder lebensnahe Szenarien bieten. So kann Ihre Belegschaft wirklich erleben wie es sich anfühlt, am geschädigten Ende eines Phishing-Versuches zu stehen. Indem Sie sie durch den echten Prozess führen, wird das Training eingängiger und erfolgreicher. Verlassen Sie sich nicht auf passive Videotrainings. Beziehen Sie Ihre Mitarbeiter in die Details der Cybersicherheit ein und lassen Sie sie erfahren, wie es sich anfühlt, betrogen zu werden.

Cyberhygiene

Ihre Mitarbeiter sollten auch in Cyberhygiene geschult werden. Diese sollte die generelle Sicherheitspolitik des Hotels widerspiegeln. Dazu gehören beispielsweise aufgeräumte Arbeitsplätze, auf denen keine sensiblen Dokumente wie Reisepässe und Personalausweise herumliegen, oder auch, dass es tabu ist, Passwörter zu teilen, 

Sicheres Surfen

Zeigen Sie Ihren Mitarbeitern, wie sie sicher surfen. Dazu gehört das Blockieren von Pop-ups, besondere Vorsicht beim Download von Apps oder die Prüfung, ob eine Seite wirklich sicher ist, bevor Login-Daten eingegeben werden.

4. Machen Sie aus dem Cybersicherheitstraining einen stetigen Prozess

Ihre Mitarbeiter können mit der Zeit ein falsches Gefühl von Sicherheit gewinnen. Irgendwann reduzieren sie ihre Wachsamkeit gegenüber Cyberattacken und werden unachtsam. Der wichtigste Tipp beim Cybersecurity-Training ist daher, das Training regelmäßig zu wiederholen. So bleiben Ihre Mitarbeiter für jeden Angriff bestens gewappnet.

Zwischen den Trainings können Sie Ihren Angestellten regelmäßig E-Mails mit Regeln zur Cyberhygiene schicken. Dies können zum Beispiel Erinnerungen sein, regelmäßig Passwörter zu wechseln, oder die Antivirussoftware zu aktualisieren. Halten Sie Ausschau nach Aufsehen erregenden Vorfällen in den Nachrichten und teilen Sie diese mit Ihren Mitarbeitern.

Die unterschiedlichen Arten von Attacken verändern sich nicht dramatisch über Nacht. Trotzdem wechseln Cyberkriminelle ihren Fokus auf profitablere Ziele oder leichtere Einstiegspunkte. Die Angriffe auf Kreditkarten treten heute zum Beispiel vermehrt über Webanwendungen auf, während der Einstiegspunkt früher eher physische Terminals waren.

Eingeübte Vorgehensweisen können Sie vor Datenschutzverletzungen schützen. Indem Sie stets wachsam sind und regelmäßig Awareness-Trainings durchführen, machen Sie es Angreifern sehr schwer Ihre Angestellten an der Nase herumzuführen und zur Installation von Ransomware zu bringen. Onlinesicherheit ist sehr wichtig, aber wenn Sie die Bedrohung Ihres Hotels verringern wollen, müssen Sie zu jeder Zeit wachsam sein. Im Wesentlichen geht es darum, Ihr Personal jeden Tag stärker zu sensibilisieren.

Was Sie aus diesem Artikel mitnehmen können

Politik der offenen Türen

Wir alle machen Fehler, und umso wichtiger ist es, dass Ihre Mitarbeiter wissen, dass Sie sich jederzeit mit allen Problemen an Sie wenden können – ohne, dass sie Gefahr laufen, ihre Stelle zu verlieren. Seien Sie ansprechbar, wenn jemand Ihren Beistand sucht. 

Holen Sie alle an Bord – ohne Ausnahme

Cybersicherheit geht jeden etwas an, egal, ob Geschäftsleitung, Management, Buchhaltung, Housekeeping, Hausmeister, Rezeption … — Alle müssen über die Cybersicherheitspolitik und die allgemeine Einstellung und Kultur Ihres Hotels Bescheid wissen.

Schulung, Schulung, Schulung

Senden Sie immer wieder Erinnerungen über E-Mail, Slack, und alle sonstigen Messenger, die in Ihrem Hotel verwendet werden. Erinnern Sie Ihre Mitarbeiter daran, regelmäßig ihre Passwörter zu ändern, Antivirussoftware zu aktualisieren, und informieren Sie sie über die neuesten Phishing-Techniken. Spezielle Schulungen zur Cybersicherheit sollten mindestens zweimal im Jahr angeboten werden.

Wenn Sie auf diese Weise eine Kultur des Cybersicherheitsbewusstseins in Ihrem Unternehmen aufbauen, verringern Sie damit das Risiko, dass Ihr Haus das Opfer eines solchen Angriffes wird, um einiges. 

Wir bei protel lieben Cybersicherheit, und wenn Sie herausfinden wollen, wie protel Hotelsoftware Ihrem Hotel zu mehr Cybersicherheit verhelfen kann, melden Sie sich bei uns!

protel

For over 25 years,
our vision has always been to provide the technology ecosystem for the global hotel industry.

Take advantage of our pioneering expertise!

PCI-DSS official seal
protel NORTH AMERICAN HQ

100 Colony Square
1175 Peachtree St. NE
Atlanta, GA 30361
USA

protel GLOBAL HQ

Europaplatz 8
44269 Dortmund
Germany

Great news

Newsletter abonnieren

Tragen Sie sich in unsere Mailingliste ein, um die neuesten Nachrichten und Updates von unserem Team zu erhalten.

Privacy Agreement

protel Relationship

Großartig! Überprüfen Sie Ihren Posteingang in 2 Minuten...

Newsletter abonnieren

Tragen Sie sich in unsere Mailingliste ein, um die neuesten Nachrichten und Updates von unserem Team zu erhalten.

Sie können den Newsletter jederzeit über den Link in der Fußzeile wieder abbestellen.

Datenschutzvereinbarung

Beziehung zum protel

Großartig! Überprüfen Sie Ihren Posteingang in 2 Minuten...