Hotels arbeiten täglich mit einer Vielzahl an externen Dienstleistern – vom Anbieter für Buchungssoftware, Zahlungssysteme oder E-Ladestationen. Gerade im digitalen Bereich erhalten diese Anbieter oft direkten Zugriff auf interne Netzwerke und geschützte Bereiche. Diese direkte Verbindung bringt viele Vorteile, kann jedoch auch zum Problem werden, wenn ein externer Partner nicht ausreichend abgesichert ist.
Welche Risiken können das sein?
1. Unsichere Softwarelösungen: Nicht alle Softwareanbieter legen Wert auf IT-Sicherheit. Wenn etwa keine regelmäßigen Sicherheitstests (sogenannte „Penetrationstests“) durchgeführt werden, können Sicherheitslücken in der Software unentdeckt bleiben.
2. Schwächen in der Lieferkette: Auch bei Lieferung von technischen Geräten kann es zu Sicherheitsrisiken kommen – z. B. durch manipulierte Software-Updates, infizierte Hardware oder kompromittierte Geräte mit versteckter Schadsoftware.
3. Zugriff auf sensible Daten: Viele externe Anbieter benötigen direkten Zugriff auf Hotelsysteme. Ein Beispiel ist der Zugriff einer Buchungsengine auf das PMS o.Ä. Wenn diese Schnittstellen und Daten nicht ausreichend geschützt oder kontrolliert werden, kann es zu Datenschutzverletzungen kommen – mit rechtlichen und finanziellen Folgen für das Hotel.
Was sollte man beachten?
1. Sicherheitsnachweise einfordern: Fragen Sie bei Ihrem Anbieter gezielt nach, ob er regelmäßige Sicherheitstests durchführt (z. B. Penetrationstests), IT-Sicherheitsrichtlinien einhält und eventuell Zertifizierungen oder Prüfnachweise vorlegen kann. Ein professioneller Anbieter sollte dazu problemlos Auskunft geben können.
2. Verträge mit Sicherheitsklauseln ergänzen: Legen Sie in Verträgen mit Softwareanbietern oder Technikdienstleistern schriftlich fest, welche Mindeststandards für IT-Sicherheit gelten, wer im Ernstfall haftet und wie mit Sicherheitsvorfällen (z. B. Datenpannen) umgegangen wird.
3. Zugriffsrechte einschränken: Externe Dienstleister sollten nur so viel Zugriff erhalten, wie sie für ihre Arbeit wirklich brauchen – und nicht mehr. Beispiel: Ein Techniker, der ein Kassensystem wartet, braucht keinen Zugriff auf Gästedaten oder WLAN-Geräte. Prüfen Sie regelmäßig, ob noch alle eingerichteten Zugänge notwendig sind.
Wichtig
Achten Sie auf offene oder nicht gesicherte Schnittstellen. Oft gibt es nach einem Systemwechsel alte Schnittstellen, die zwar nicht mehr gebraucht werden, jedoch immer noch offen und in Vergessenheit geraten sind. Das sind sehr beliebte Einfallstore für Hacker!
4. Updates nicht ungeprüft installieren: Manche Software-Updates können fehlerhaft oder sogar manipuliert sein. Vor allem bei sicherheitskritischer Software (wie z. B. Türzugängen oder Zahlungssystemen) sollten Sie Updates zuerst in einer Testumgebung prüfen lassen, bevor sie im Echtbetrieb installiert werden.
