Eine Lebensversicherung für Hotels: Gäste wollen (Internet-)Sicherheit

Heutzutage sprechen wir viel über schmelzende Eisberge und Plastikstrohhalme – aber nicht über Cybersicherheit. Klar, zur Bekämpfung von Umweltproblemen kann jeder seinen Beitrag leisten. Cybersicherheit jedoch liegt weniger in unserer Hand. Und das, obwohl wir alle wichtige und private Daten von uns im Internet herumschwirren haben und diese von Apps gespeichert werden. Die Verbraucher verlassen sich darauf, dass die Unternehmen transparent und sicher arbeiten. Die Hotellerie ist eine der von Cyberangriffen am stärksten betroffenen Branchen (direkt hinter dem Einzelhandel).

Laut einer Studie von IntSights zu Cyber-Bedrohungen im Gastgewerbe gab es in den letzten drei Jahren 13 "bemerkenswerte Datenschutzverletzungen" (PhocusWire). Die Studie umfasste auch Recherchen im sogenannten Dark Web, die ergaben, dass Hilton einen Anteil von 31% an den Erwähnungen hatte, gefolgt von Marriott mit 28%. Nicht jedes Hotel kann unabhängig arbeiten, und selbst das würde keine Datenschutzverletzungen verhindern. Was können Hotels also tun, um die Daten ihrer Gäste zu schützen und gleichzeitig auch den Gästen das Gefühl zu vermitteln, dass diese mit ihnen wirklich sicher sind. Fast 70% der Reisenden glauben, dass Hotels nicht genug in Cybersicherheit investieren (HotelTechnologyNews).

Für Hotels sollte das Thema Internetsicherheit zu den wichtigsten Faktoren bei der Zusammenarbeit mit Drittanbietern sein. Wenn ihre Technologiepartner Sicherheitslücken haben, wird das zu ihrem eigenenProblem. Hotels haften finanziell für Sicherheitsverletzungen, auch wenn die Verletzung über einen Drittanbieter erfolgt, ganz zu schweigen von den Schäden an der Marke.

Bei so vielen miteinander verbundenen Technologien ist das Risiko immer größer, dass Sie auf eine Anwendung stoßen, die nicht ganz sicher ist. Beispielsweise verwenden einige Marken Technologien, die Kundendaten zwischen einem Hotel und einem anderen austauschen, was bei unsachgemäßer Handhabung leicht zu einer Verletzung der Privatsphäre führen kann. Der erste Schritt besteht darin, Sicherheit als mehr als eine Checkbox in einer Ausschreibung für einen Lieferanten zu behandeln. Stellen Sie ausführliche Fragen darüber, wie mit Sicherheit umgegangen wird, wie Daten geschützt werden, welche Datenschutzstandards der Anbieter einhält, alle sicherheitsrelevanten Zertifizierungen, die er vorhält, und alle Maßnahmen, die Hotels ergreifen müssen, um die Sicherheit zu gewährleisten.

Um einen Technologiepartner in Betracht zu ziehen, müssen mindestens die folgenden Standards eingehalten werden.

GDPR Verordnungen (DSGVO in Deutschland)

 GDPR steht für General Data Protection Regulation. In Deutschland ist es unter dem Akronym DSGVO bekannt, was für "Datenschutzgrundverordnung" steht. Es handelt sich um eine EU-Verordnung, die am 25. Mai 2018 in Kraft getreten ist. Sie wurde ins Leben gerufen, um Transparenz darüber zu schaffen, wie Unternehmen die personenbezogenen Daten ihrer Kunden und ihrer Mitarbeiter erheben, speichern und weitergeben. Betroffen sind alle Unternehmen, die in der EU tätig sind (sowohl inländische Unternehmen als auch solche, die Waren und Dienstleistungen für EU-Bürger bereitstellen). Da es sich um eine komplizierte Regelung handelt, die Hotels weltweit betrifft und hohe Bußgelder wegen Nichteinhaltung verhängt, suchen Sie nach einem Technologieanbieter, der einen Ansprechpartner hat, der speziell für die Sicherstellung der Konformität von Produkten und Marketing verantwortlich ist.

PCI Compliance

PCI DSS steht für den Payment Card Industry Data Security Standard.

Im Gegensatz zu GDPR ist der PCI DSS kein Gesetz, sondern ein Standard, der von einer unabhängigen Instanz definiert und gepflegt wird, die von großen Zahlungsanbietern gegründet wurde. Wann immer Sie Kreditkarten von Marken wie VISA und MasterCard akzeptieren wollen, müssen Sie diesen Sicherheitsstandard einhalten. Der PCI DSS kann als eine Sammlung von Best Practices oder Regeln angesehen werden, wie man mit den sensiblen Zahlungskartendaten umgeht, die Ihnen von Ihren Gästen anvertraut werden, um Datenverstöße und Betrug zu verhindern.

Wenn die von Ihnen verwalteten Kartendaten abgefangen und missbraucht werden, bestrafen die Anbieter die dahinterstehende Bank. Diese Geldbußen können an Sie als Händler weitergegeben werden, wenn Sie sich als nicht konform erweisen. Sie können zwischen 5.000 EUR und 100.000 EUR für jeden Monat liegen, in dem Sie nicht konform arbeiten. Hotels sollten nach PCI DSS-zertifizierten Anbietern suchen, um die Einhaltung der Vorschriften zu gewährleisten.

Cloud-basiert

Die Idee der Cloud scheint auf den ersten Blick kompliziert; sie suggeriert Bilder von herumschwirrenden Daten. Das entspricht allerdings nicht der Realität. Legacy-Systeme sind in Bezug auf die Sicherheit weitaus problematischer, da das Systems lokal vor Ort liegt und die Implementierung von Updates und Sicherheitsfixes schwieriger ist. Cloud-basierte Technologie bietet eine Vielzahl von Sicherheitsmaßnahmen, die die meisten Unternehmen nicht selbst anbieten können, wie Multi-Faktor-Authentifizierung (z.B. Passwort und PIN auf das Mobiltelefon), unternehmensweite Sicherheit und Firewalls, Intrusion Detection (z.B. wenn Hacker eine Vielzahl von Passwörtern ausprobieren) und SSL-Verschlüsselung nach Industriestandard. Da ‚Cloud Based Computing‘ jedoch das Internet zur Informationsübertragung nutzt, müssen alle Anbieter diese Kompetenz mitbringen, wenn es darum geht, eine konstante Sicherheit zu gewährleisten.

Auch wenn die oben genannten Kriterien erfüllt sind, bleibt noch immer die Herausforderung, den Gästen das Gefühl zu vermitteln, ihre Daten seien sicher. Da Sicherheitsverstöße immer häufiger vorkommen, müssen Hotels ihre Sicherheitsmaßnahmen bereits vor der Buchung bekannt machen. Wer jetzt damit anfängt, wird in Zukunft einen Schritt voraus sein, insbesondere wenn man bedenkt, dass Millennials (24- bis 35-Jährige) sich in traditionellen Hotels hinsichtlich Sicherheitslecks gefährdeter fühlen als in Airbnbs (HotelTechnologyNews). Während Reisende immer skeptischer werden, ob die Hotelbranche mit den notwendigen Sicherheitsvorkehrungen Schritt halten kann und daher vor dem Buchungsvorgang genauer hinschauen, liegt es an den Hotels nicht nur die Sicherheitsstandards einzuhalten, sondern auch ihre Gäste von ihrer sicheren Arbeitsweise zu überzeugen.