Bei Cyberattacke auf 1.200 Hotels der InterContinental Hotel Group Kreditkartendaten von Gästen gestohlen

Die massenweise Entwendung von Kreditkartendetails; Licht im Hotelzimmer, das ungewollt ausgeht; elektronische Türschlösser, die sich nicht mehr öffnen lassen und zusammengebrochene Reservierungssysteme – das steht uns bevor. Das Sicherheitsunternehmen RadarServices in Österreich baut das Szenario gleich etwas aus.

Aber Fakt ist, dass Hacker immer dreister werden und in knapp 1.200 Hotels Kreditkartendaten von Kunden der Hotelkette InterContinental Hotels Group (IHG) gestohlen haben. Das hat IHG kürzlich selbst bekannt gemacht: https://www.ihg.com/content/us/en/customer-care/protecting-our-guests/california-residents

Es betrift Kunden, die zwischen dem 29. September 2016 und dem 29. Dezember 2016 in Häusern von IHG in den USA übernachtet haben. Auf dieser Seite kann man übrigens checken, ob man betroffen sein könnte: https://www.ihg.com/content/us/en/customer-care/protecting-our-guests/property-listing

Bei der Länderauswahl wird hier ein Unterschied zwischen United States und Puerto Rico gemacht. Donald Trump ist natürlich auch der Präsident von Puerto Rico, aber der Freistaat gilt als nichtinkorporiertes US-amerikanisches Außengebiet.

Diese Webseite https://krebsonsecurity.com/2017/04/intercontinental-hotel-chain-breach-expands/ berichtet, ein Christian Sonne aus Dänemark habe über das oben genannte Tool (mit viel Fleißarbeit) ermittelt, dass es mindestens 1.175 Häuser derzeit auf der Liste gibt. Dabei sind folgende Hotelmarken bisher wie folgt betroffen: Holiday Inn Express (781), Holiday Inn (176), Candlewood Suites (120), Staybridge Suites (54), Crowne Plaza (30), Hotel Indigo (11) sowie Holiday Inn Resort (3).

 

Digitalisierung bringt Komfort – und Gefahren

„Hotels sind durch die Digitalisierung zu sehr interessanten Zielen für Angreifer geworden. Kreditkartendaten sind die eine Gefahrenquelle. Die vielen neuen Services und Funktionen, die das Internet der Dinge für den Hotelaufenthalt ermöglicht, stellen eine andere Bedrohung für die IT-Sicherheit dar. Vom 4-Sterne Familienhotel in den Alpen bis zur milliardenschweren internationalen Hotelkette sind derzeit alle im Fokus von Cyberangreifern“, sagt Christian Polster, Chefstratege von RadarServices.

 

Hotellerie muss in Sachen IT-Sicherheit zu anderen Branchen aufschließen

Viele Branchen, allen voran die Einrichtungen kritischer Infrastrukturen, haben längst die Vorteile von kontinuierlichem IT-Security Monitoring erkannt und werden sogar gesetzlich zu dessen Einführung gezwungen. In anderen Wirtschaftsbereichen werden das proaktive Aufspüren von IT-Sicherheitslücken und das zeitnahe Erkennen von Angriffen noch vernachlässigt.

„Der IT-Sicherheitsstandard bei Hotels ist weit entfernt von dem von Banken. Cyberangriffe können für die Opfer – ob Hotelgast oder Bankkunde – aber durchaus ähnliche finanzielle Schäden mit sich bringen. Ganz zu schweigen von den immensen finanziellen Aufwänden und Reputationsschäden, die ein Angriff für ein Hotel oder eine große Hotelkette bedeutet“, betont Polster.

Das kontinuierliche IT Security Monitoring muss drei Bereiche umfassen: Eine ständige Überwachung aller Einfallstore für Schadsoftware und aller Kommunikationskanäle über die Unternehmensgrenzen hinweg, eine kontinuierliche Schwachstellenanalyse von innen und außen und eine laufende Analyse und Korrelation von Logs der einzelnen Systeme.

Die Besonderheit beim Schutz von Hotelketten wie der InterContinental Hotel Group liege darin, dass sich die einzelnen Hotels meist in der Hand von Franchisenehmern befinden und damit auch das Thema IT-Sicherheit schwerer zentral zu steuern ist als in einer gemeinsamen Organisation.

Dennoch sei das für die Hotellerie eine Aufgabe, die es zu lösen gelte. Spätestens ab Mai 2018, wenn die EU-Datenschutzgrundverordnung in Kraft tritt, gelten auch für Hotels strengste Anforderungen an die IT-Sicherheit und es drohen hohe Strafen bei Vorfällen. Die Verordnung gilt für alle Hotels, die Daten von EU-Bürgern in ihren Systemen verarbeiten, also sowohl für das 4-Sterne Familienhotel in den Alpen bis zur Hotelkette aus den USA.

Wer sich von der Negativmeldung nicht abschrecken lässt, hier die zentrale Reservierungsseite von IHG in deutscher Sprache: https://www.ihg.com/hotels/de/de/reservation

Titelfoto: pixabay.com / geralt