Wie Cyberkriminelle Hotels angreifen – und was Sie dagegen tun können

Cyberkriminalität nimmt dramatisch zu, auch in der Hotellerie. Hier lesen Sie die erschreckende Statistik. Die Zahlen belegen: Hacker lieben Hotels:

• 10 Prozent der heimischen Beherbergungs- und Gastronomiebetriebe wurden bereits mit Lösegeldforderungen konfrontiert. Davon haben – über alle Branchen hinweg – 3 Prozent auch bezahlt.
• 23 Prozent der Unternehmen waren bereits Opfer von Hackerangriffen, davon 14 Prozent sogar mehrmals.
• 36 Prozent der Unternehmen, die einem Hackerangriff zum Opfer gefallen sind, waren auch mit einem Systemausfall konfrontiert.

Vor welchen spezifischen Herausforderung die besonders »verwunderbare Branche« steht und welche technologischen Entwicklungen in Zukunft relevant werden, lesen Sie im PROFI-Exklusiv-Interview mit Werner Kraus, CCO Business von Magenta Telekom.

Der Fall Arcona: Wie ein Angriff ablaufen kann

Wie aktuell und real die Bedrohung ist, zeigte sich 2025 am Beispiel der Arcona Hotels & Resorts-Gruppe. Zuerst entdeckte man Unregelmäßigkeiten in der zentralen IT-Infrastruktur – der Beginn eines koordinierten Cyberangriffs, der mehrere Standorte der renommierten Hotel­gruppe lahmlegte. Die Reaktion der Hotelgruppe war professionell und besonnen. Dank einer durchdachten Notfall-Strategie gelang es Arcona, den grundlegenden Hotelbetrieb aufrechtzuerhalten. Die drei betroffenen Hotels konnten etwa eine Woche später ihre verschlüsselten Systeme schrittweise in einen stabilen Notbetrieb überführen.

Die Komplexität des Vorfalls und die ein­geschränkte Datenlage aufgrund des Angriffs stellten hohe Anforderungen an alle beteiligten Experten, insbesondere was das Ausforschen des Einfallstors der Kriminellen betraf – denn die sind bei ihren Angriffen äußerst kreativ und finden immer wieder neue Wege.

Die häufigsten Angriffswege der Cyberkriminellen

Kompromittierte Anmeldedaten sind das einfachste Einfallstor der Cyber-Verbrecher: Schwache Passwörter wie »123456« oder »Hotel2025« öffnen Hackern buchstäblich Tür und Tor. Mehr als 80 Prozent aller Datenverletzungen in Hotels beginnen laut IBM-Report mit erfolgreichen Phishing-Angriffen. Diese Angriffe sind heute so raffiniert, dass selbst erfahrene Mitarbeiter darauf hereinfallen. Eine E-Mail, die scheinbar aus der Zentrale einer Hotelkette stammt und dringend eine Passwort-Aktualisierung verlangt, kann binnen Minuten das gesamte System kompromittieren. Die Betrüger kopieren Corporate Design, Logos und sogar die Schreibweise der echten IT-Abteilung perfekt.

Nicht zu unterschätzen sind aber auch Insider-Bedrohungen: IBM verortet 30 Prozent aller digitalen Angriffe im Bereich des Missbrauchs noch gültiger Anmeldekonten von Mitarbeitern. Gerade in einer Branche mit hoher Personalfluktuation ist dies besonders kritisch. Schon ein einzelner frustrierter Ex-Mitarbeiter, dessen Zugang nicht deaktiviert wurde, kann enormen Schaden anrichten.

Eine der gravierendsten Sicherheitslücken ist die mangelnde Netzwerksegmentierung. Viele, vor allem kleinere Hotels, betreiben alle Systeme in einem einzigen, großen Netzwerk – vom Gäste-WLAN bis zum Buchungssystem, von der Klimasteuerung bis zur Kasse. Wenn Hacker da erst einmal drin sind, haben sie Zugang zu allem.

Service als Falle

Problematisch sind auch vergessene Schnittstellen, die nie ordnungsgemäß geschlossen wurden, sowie Wartungszugänge externer Dienstleister mit Standard-Passwörtern. Der Techniker, der vor zwei Jahren die Klimaanlage installiert hat und noch immer Fernzugriff mit dem Passwort »admin123« besitzt, wird zur tickenden Zeitbombe.

In -einer Service-orientierten Branche kommt zudem auch der »Social Engineering« genannte Tatbestand häufig zur Anwendung: Angriffe via Telefon oder E-Mail, die menschliche Schwächen ausnutzen: »Hallo, hier ist Thomas aus der IT-Zentrale. Wir haben ein Sicherheitsproblem entdeckt und müssen sofort Ihr Passwort überprüfen. Können Sie es mir bitte durchgeben?« Unter Zeitdruck und mit vorgetäuschter Dringlichkeit fallen selbst erfahrene ­Mitarbeiter auf diese Maschen herein. Die Kombination aus Hilfsbereitschaft, Hierarchiedenken und mangelnder Sensibilisierung machen Hotels auch da zu idealen Zielen.

Mit der KI als Komplizen

Noch bedrohlicher wird dieses Szenario ­angesichts der so genannten Deepfake-­Technologie. Moderne KI-Software kann ­bereits heute Stimmen anhand einer nur zehn Sekunden langen Aufnahme perfekt ­imitieren. ­Hotelinhaber oder -manager sind dafür ­besonders anfällig, da ihre Stimmen oft in ­Interviews, auf Websites oder in sozialen Medien verfügbar sind. Daraus lässt sich ein Anruf bei der Buchhaltung erstellen. »Ich brauche dringend eine Überweisung für einen wichtigen Lieferanten. Können Sie das sofort erledigen? Ich bin gerade in einem Termin und kann nicht lange sprechen.« Die täuschend echte Stimme, der Zeitdruck, die Autorität – unter diesen Umständen überweisen Mitarbeiter oft hohe Summen, ohne ­Rückfragen zu stellen.

Parallel dazu entwickeln sich ausgeklügelte Buchungsbetrugstrategien. Cyberkriminelle erstellen täuschend echte Web-Seiten. Mit verlockenden Werbeaktionen und unschlagbaren Preisen locken sie ahnungslose ­Urlauber an, die ihre persönlichen Daten und Zahlungs­informationen preisgeben – ohne ­jemals ein echtes Hotelzimmer zu erhalten.

Mit zunehmender Komplexität und ­Digi­talisierung der Lieferketten werden schließlich auch diese zu einem verwund­baren Ziel für Cyberangreifer. Supply-Chain-­Angriffe sind besonders tückisch: Sobald ­Angreifer das Netzwerk eines Lieferanten kompromittiert haben, können sie es als ­Ausgangspunkt nutzen, um Lieferketten ­temporär lahmzulegen oder um Zugang zu Hotels zu erhalten. Besonders schlimm: Letztere Angriffe bleiben oft monatelang ­unentdeckt.

Rechtliche Anforderungen: Nachlässigkeit wird teuer

Die rechtlichen Anforderungen an die Cybersicherheit haben sich in den letzten Jahren dramatisch verschärft. Im Ernstfall müssen Hotels heute lückenlos dokumentieren können, welche technischen und organisatorischen Maßnahmen sie zum Schutz der Gästedaten getroffen haben. Ein einfaches »Wir haben ein Antivirenprogramm« reicht längst nicht mehr aus. Die Datenschutz-Grundverordnung (DSGVO) duldet keine Nachlässigkeiten mehr bei personenbezogenen Daten. Strafen bei Verstößen (bis zu 4 Prozent des Jahresumsatzes) können für ein mittelständisches Hotel schnell das Aus bedeuten.

Zusätzlich gelten branchenspezifische Standards wie PCI DSS für die Verarbeitung von Kreditkartendaten. Diese verlangen unter anderem sichere Netzwerke, Verschlüsselung sensibler Daten und regelmäßige Sicherheitstests. Wer diese Standards nicht einhält, riskiert nicht nur Strafen, sondern auch den Verlust der Berechtigung, Kreditkartenzahlungen zu akzeptieren.

Was können Gastronomen tun?

Doch genug der Horror-Szenarien – was kann man als Gastronom dagegen tun? Tatsächlich beruht wirksamer Schutz vor Cyberangriffen auf zwei Säulen: den technischen –Lösungen und organisatorischen Maßnahmen. Technischer Schutz: Moderne Firewalls fungieren wie digitale Türsteher und weisen unerwünschte Besucher ab. Regelmäßige Software-Updates schließen bekannte Sicherheits­lücken, und professionelle Backup­-Systeme können im Ernstfall die ­Rettung bedeuten. Besonders wichtig ist die Netzwerksegmentierung: Gäste-WLAN, Verwaltungs­systeme und kritische Infrastruktur gehören in getrennte Netzwerkbereiche.

Wer mit IT-Agenden generell »fremdelt«, schützt sich mit einer maßgeschneiderten ­Paket-Lösung, die auch den Betrieb und die laufende Wartung der Firewall übernimmt. Bis zu 1.000 angeschlossene Geräte machen etwa »Managed Security« als Angebot des Telekom-Spezialisten Magenta zu einer solchen Lösung: »Viren und andere Schad­software werden bei Übertragung erkannt und verlässlich gestoppt«, verspricht der Echtzeit-Scan. Auch die in der Hotellerie wichtige ­Abkopplung des Gäste-WLANs vom eigent­lichen Firmennetzwerk – inkl. der betriebsnotwendigen Daten und Funktionen – ist Teil bereits dieser speziellen Sicherheitslösung für Unternehmen.

Betriebsorganisatorische Maßnahmen: Ein umfassendes Sicherheitskonzept regelt technische und organisatorische Maßnahmen verbindlich und schafft Klarheit für alle Beteiligten. Dazu gehören Richtlinien zum Umgang mit Passwörtern, zur Nutzung privater Geräte und zur Datenaufbewahrung. Ohne klare Regeln ist selbst die beste Technik wertlos. Dazu dienen auch simulierte Angriffe (»Penetrationstests«), die zusammen mit Audits durch externe Experten Schwachstellen aufdecken, bevor Angreifer sie entdecken. Diese Investition zahlt sich aus – denn Prävention ist immer günstiger als die Bewältigung eines erfolg­reichen Angriffs. »Für Hotels mit begrenztem Budget ist das absolute Minimum zunächst eine Bedrohungsanalyse durchzuführen, um die wichtigsten Schwachstellen zu erkennen«, rät Cybersecurity-Experte Clemens Foisner für die Praxis.

Die menschliche Firewall

Die wirksamste Schutzmaßnahme kostet kein Geld, sondern nur Zeit: die Schulung der Mitarbeiter. Ein monatliches Team-Meeting, in dem aktuelle Phishing-Beispiele besprochen werden, kann bereits Wunder wirken. Die Mitarbeiter können echte Betrugs­-­­­­­E-Mails sehen, diskutieren gemeinsam die Tricks der Angreifer und entwickeln Strategien für den Ernstfall. Wenn jeder Mitarbeiter weiß, worauf er achten muss, wird das ­gesamte Team zur menschlichen Firewall. Und 85 bis 95 Prozent aller erfolgreichen Cyber­angriffe gehen auf menschliches ­Fehlverhalten zurück!

Starke Passwörter und Zwei-Faktor-Authentifizierung sollten heute Standard sein, doch nur ein Viertel (!) der Beherbergungs­betriebe nutzt Multi-Faktor-Authentifizierung – dabei ist sie oft kostenlos verfügbar. Ein Passwort-Programm, das komplexe Passwörter generiert und verwaltet, kostet pro Mitarbeiter weniger als ein Kaffee im Monat.

Die strikte Trennung des Gäste-WLAN vom hotelinternen Netzwerk erfordert meist nur eine einmalige Konfiguration der vorhandenen Hardware. Diese einfache Maßnahme verhindert, dass Angreifer über das Gäste-WLAN direkten Zugang zu sensiblen Hotelsystemen erhalten. Regelmäßige, automatisierte Backups – viele Cloud-Anbieter bieten diese bereits ab wenigen Euro monatlich – komplettieren ein solides Sicherheitsfundament, das auch bei begrenztem Budget realisierbar ist.

Cybercrime nimmt weiter zu

Die Cyberbedrohungen für die Hotelbranche werden 2025 nicht abnehmen – im Gegenteil. KI-basierte Angriffe nehmen zu, hyper-realistische Social-Engineering-Angriffe mit Deepfake-Technologie werden zum neuen Standard für Kriminelle. Die Angreifer werden professioneller, ihre Methoden raffinierter.

Doch der Fall der Arcona Hotels zeigt auch, dass sich mit der richtigen Vorbereitung, schneller Reaktion und professioneller Hilfe selbst schwere Angriffe bewältigen lassen. Denn das ist die (einzige?) gute Nachricht: Wirksame E-Sicherheit ist keine Frage der Hotelgröße oder des Budgets, sondern des Willens zur Umsetzung. Die Frage ist nicht, ob ein Cyberangriff kommt – sondern ob Sie darauf vorbereitet sind!

TEXT: Andreas Juva

Mehr aus unserer Coverstory zu IT-Sicherheit in der Hotellerie

• Cybercrime in Hotels nimmt dramatisch zu: Das ist die erschreckende Statistik
• Maßgeschneiderte IT-Lösungen: Was wirklich gegen Cyber-Angriffe in Hotels schützt