Datenlecks im Hotel

Mißbrauch von KreditkartendatenIn den vergangenen Jahren haben wir in hunderten von Beratungsgesprächen auf mögliche Gefahren durch Cyberrisiken hingewiesen. Mit äußerst verhaltenem Erfolg muss man feststellen. Die meisten Hoteliers warten ab und beteuern, keinerlei Kreditkarten auf eigenen Systemen vorzuhalten bzw. verweisen darauf, dass Kartenlesegeräte von der Kreditkartenindustrie gestellt würden.

 

 

Unzweifelhaft werden in Hotels neben Kreditkartendaten jede Menge sensibler Daten verarbeitet: Namen der Logisgäste/Begleitpersonen und deren Nächtigungsdaten, Telefonnummern, Emailadressen, Kreditkartennummern, Bankverbindungen etc.

Das Schadenspotential durch Mißbrauch von Kreditkartendaten bei Datenlecks wird häufig unterschätzt – ist aber mit schnell sechsstelligen Summen für viele Betriebe durchaus existenziell:

  • Schadensersatzansprüche geschädigter Gäste
  • Haftungsansprüche und Vertragsstrafen der Payment Card Industrie
  • Lösegeldzahlungen um die Veröffentlichung sensibler Daten zu vermeiden
  • vertrauens(zurück)gewinnende Werbemaßnahmen
  • Beratungskosten für Rechtsanwälte, Krisenmanagement,
    IT-Spezialisten, Forensiker
  • Kosten für die Wiederherstellung von Daten, der Systeme, des Netzwerkes etc.
  • Kosten für präventive Sicherheitsverbesserungen
  • Betriebsausfall durch Nichtnutzbarkeit der IT-Infrastruktur (entgangene Neubuchungen; techn. Ausfall von EDV)
  • langfristig sinkende Belegung durch Vertrauens-/Imageverlust
  • behördliche Stilllegungsverfügungen / Bußgelder

Neben gezielten Angriffen auf das Unternehmen durch Hacking bzw. systematisches Ausspähen von Daten auf Kredit- / Bankkarten (Skimming, Manipulation von Kartenlesegeräten etc) werden Viren, Würmern und Trojanern häufig auch wahllos verschickt. Darüber hinaus gibt es jede Menge weiteres Potential für Datenlecks durch sorglose, finanziell notleidende oder unzufriedene Mitarbeiter, Dienstleister oder sogar Gäste:

  • Verlust oder Diebstahl von Datenträgern (Firmenlaptop, -smartphone, -festplatte, -USB-Stick)
  • systematische Archivierung sensibler Daten entgegen betrieblicher Richtlinien
  • Fehlversand von Emails oder Briefen
  • Öffnen versehentlich infizierte Mails
  • zeitweise unbeaufsichtigte Rezeption

Kaum ein Hotelier wird alle Eventualitäten ausschließen können und ist im Ernstfall neben den finanziellen Auswirkungen mit Fragen konfrontiert, wie

  • Wie verhalte ich mich richtig, wenn mein Unternehmen Opfer eines Hackerangriffes wird?
  • Wie reagiere ich, wenn ich einen Drohbrief mit der Veröffentlichung sensibler Daten erhalte?
  • Wie geht man mit Gästen, Behörden, Presse und Kreditkartenindustrie um?

Zunehmend mehr Versicherer beschäftigen sich mit Cyberpolicen. Mehr oder weniger erfolgreich: notwendige Leistungs- und Serviceversprechen weichen ebenso stark voneinander ab, wie Selbstbehalte und Beiträge. Als Spezialmakler für die Hotellerie sind unsere Beratungen und Empfehlungen exakt auf die Hotellerie und ihre Risiken abgestimmt.