Sage 2.0», «Wanna Cry»und zuletzt «Jaff» – soheissen die prominentestenKrypto-Trojaner,die alleine im laufenden JahrHunderttausende Rechner infiziert,ihre Daten verschlüsselt,und bei Hunderten Unternehmenbeträchtlichen Schaden angerichtethaben. Viele Tausendweitere Schadprogramme habenes aufgrund ihrer geringeren Verbreitungnie in die Schlagzeilengeschafft, sind im Einzelfall jedochnicht minder gefährlich.Laut einer Studie des VersicherersAllianz rückten «Cyber-Ereignisse»wie Hacker-Angriffe imvergangenen Jahr vom fünftenauf den dritten Platz der Ranglisteder grössten Geschäftsrisikenfür Unternehmen vor. Die UnternehmensberatungsgesellschaftKPMG schätzt, dass fast ein Drittelaller Unternehmen in den letzten24 Monaten von schwerwiegendenCyber-Attacken betroffen waren.Die Dunkelziffer dürfte nochdeutlich höher liegen, glaubt manSicherheitsexperten.
Die meisten dieser Angriffe habengemeinsam, dass sie nichtspezifisch auf einzelne Personenoder Organisationen abzielen,sondern von ihren Urhebern breitgestreut werden. Die bösartigeSoftware gerät meistens über inE-Mails enthaltene Links oderDateianhänge auf die Rechner derAnwender. «Grundsätzlich kannes jeden Internetnutzer treffen», soThomas Koller, Chief Innovationand Product Officer beim Risikoberatungs-und VersicherungsanbieterIBC. Je mehr Mitarbeitendesich jedoch in der gleichen IT-Umgebungbewegen, desto grösser istdie Angriffsfläche für die Hackerprogrammeund desto höher derpotenzielle Schaden.
Wie viele Schweizer Hotels betroffensind, ist nicht klar. Die betroffenenBetriebe haben verständlicherweisekein Interessedaran, die Öffentlichkeit zu informieren.Sie befürchten einen Reputationsverlust.In jüngster Zeitwurden jedoch mehrere Fälle bekannt,in denen auch SchweizerHoteliers Opfer eines Erpressungsversuchsmithilfe sogenannterRansomware wurden.Die finanziellen Schäden der einzelnenBetriebe belaufen sichzum Teil im sechsstelligen Frankenbereich.
Drei technische Grundpfeiler fürein Mindestmass an Sicherheit
Wer sich vor Cyber-Angriffenaller Art schützen will und überkeine eigene IT-Abteilung verfügt,muss sich extern Hilfe holen. Diedrei wichtigsten technischen Sicherheitsmassnahmenseien Firewall,Virenschutz und regelmässigeBackups, erklärt Walter Berger,Geschäftsführer der HotelsoftwarefirmaRebag Data AG inHorgen. Eine softwaregesteuerte– also programmierbare – Firewallschirme das Firmennetzwerk vomWorld Wide Web ab und sortiereE-Mails mit verdächtigen Inhaltenaus, bevor sie in die Posteingängeder Mitarbeitenden gelangten.Ein IT-Experte überprüfe inregelmässigen Abständen diehängen gebliebenen E-Mails undleite sie, sofern sie sich als harmloserwiesen haben, an die ursprünglichenAdressaten weiter.
Die meisten guten Firewall-Lösungen beinhalteten bereits einenVirenschutz, so Berger. Trotzdembenötige man auch für das vomInternet abgeschirmte Firmennetzwerkwenigstens einen minimalenzusätzlichen Schutz, etwafür den Fall, dass ein Virus unbeabsichtigt über einen infiziertenUSB-Stick eines Gastes ins Systemeindringt. Wer sein Microsoft-Betriebssystemjedoch regelmässigupdatet, für denreiche in denmeisten Fällen bereitsder mit Windowsmitgelieferte«Defender» aus.
Backups sindein dritter, zentralerBestandteileiner jeden robustenHotelsicherheitsinfrastruktur.Nicht jede Backup-Lösung bietetjedoch adäquaten Schutz. Backups,die die Inhalte einer Festplatteautomatisch auf einer anderenFestplatte duplizieren (RAID:Redundant Array of IndependentDisks), sichern zwar gegen Datenverlustdurch Hardware-Schä-den ab, schützen allerdings nichtvor Hacker-Angriffen, da sichInfektionen aufdas redundanteSpeichermediumübertragen können,erklärt FredMaro, Geschäftsführervon FMnospy,ein auf dieSpionageabwehrspezialisiertes Beratungsunternehmen.
Auch WalterBerger warnt vor unzureichendenBackups. Er empfiehlt externeSicherungen, entweder in einerCloud oder auf einem physischvom Netzwerk getrennten Speicherausserhalb des Hotels. Injedem Fall rät er jedoch zu Sicherungskopiennach dem Grossvater-Vater-Sohn-Prinzip.Es stelltsicher, dass immer mehrere Sicherungenin verschiedenen zeitlichenAbständen (Grossvater, Vater,Sohn) vorhanden sind, um aufverschiedene Versionen für einemögliche Wiederherstellung zurückgreifenzu können. Im Ernstfallkönne man so frühere Systemzuständewiederherstellen, diewenige Tage, einige Wochen odersogar bis zu einem Jahr zurückliegen.Dieser grosszügig bemesseneZeitrahmen sei nötig, da sich vieleSchadprogramme zunächst unbemerktins System einnisteten underst zu einem späteren Zeitpunktaktiv würden. Backups, die zwischendem Zeitpunkt der Infektionund dem «Aufwachen» des SchädSicherheitsrisiko, meint auch FredMaro.
Um die Folgen menschlichenFehlverhaltens zu minimieren,empfiehlt Thomas Koller, die Zugriffsberechtigungender Mitarbeitendenin der Hotel-IT-Strukturauf das absolut notwendigeMinimum zu beschränken. «EinKrypto-Trojaner dringt vom Nutzerprofilso weit ins System vorwie möglich und verschlüsseltalle Dateien, auf die er zugreifenkann. Wenn jeder Mitarbeiter Zugriff auf das gesamte Intranet, Ablagestrukturusw. hat, ist am Endeschlimmstenfalls das kompletteSystem verschlüsselt.»
Wer Opfer von Ransomware ist,sollte den Vorfall sofort der MeldeundAnalysestelle InformationssicherungMELANI des Bundesmelden und unter keinen Umständenauf die Geldforderungender Erpresser eingehen – auch indiesem Punkt sind sich alle einig.«Selbst wenn Sie bezahlen, habenSie keine Garantie auf vollständigeWiederherstellung Ihrer Daten»,warnt Koller. Wer regelmässig update,könne den Schaden jedochselbst bei vollständigem Datenverlustrelativ gering halten und habees deshalb gar nicht nötig, denForderungen nachzugeben.
IBC Insurance Broking andConsulting
Rebag Data – Hotel ManagementSolutions
Melde- und AnalysestelleInformationssicherung MELANI
Interview: «Es geht um Ihre Reputation»
Cyber-Angriffe können gerade kleinere Unternehmen ins Chaos stürzen. Im Ernstfall hilft die Krisenmanagerin.
Bettina Zimmermann, was istzu tun, wenn man als HotelierOpfer einer Cyber-Attackewurde?
Bei allen Krisen geht es stetsdarum, dass Sie als Unternehmenmöglichst keinen Reputationsverlusterleiden und denfinanziellen Schaden inGrenzen halten. Das gilt grundsätzlichauch für Hotels, dievon Hackern angegriffenwurden. Für uns Krisenmanagerspielt die Ursache der Krisezunächst einmal eine untergeordneteRolle. Der Prozessdes Krisenmanagements ist injedem Fall genau gleich.
Das Vorgehen bei Krisennach einem Hotelbrand istalso gleich wie nach einemHacker-Angriff?
Im Prinzip schon. Wenn Siein eine Krisensituation geraten,gibt es immer drei prägendeElemente: Chaos, hoherZeitdruck, und ungewohnteFragestellungen. Die Führungstätigkeitverläuft immernach dem gleichen Muster.
Trotzdem gibt es Unterschiede.Bei einem Brand herrscht vonAnfang an Chaos. Die Auswirkungensind sichtbar. Beieinem Cyber-Angriff ist dieChaos-Phase dagegen oftdavon geprägt, dass grosseUnsicherheit darüber herrscht,welche Systeme betroffen sindund was die Auswirkungensind. Dies erkennt man oft erstmit Verspätung. Denn dereigentliche Angriff findet zumTeil Wochen oder sogarMonate vorher statt. Irgendwound irgendwann dringt eineSchadsoftware ins System einund wird erst zu einemspäteren Zeitpunkt aktiv. DasChaos bricht aus, wenn derHotelier realisiert, dass seineIT-Systeme auf einen Schlagausfallen.
Und dann?
Zunächst müssen Sie realisieren,was überhaupt passiertund welche möglichenProbleme sich daraus für dasHotel und die Gäste ergeben.Viele Unternehmen tun sichschon damit wahnsinnigschwer, sich einzugestehen,dass sie angegriffen wordensind. Bei Krypto-Trojanernwie «Wanna Cry», die IhreDaten verschlüsseln und eine«Lösegeldzahlung» nachBitcoin stellen, wissen vieleHoteliers gar nicht, wie ihnengeschieht. Der Hotelier musszunächst einmal verstehen,was passiert ist. Er muss denSchaden lokalisieren undversuchen, die Ausbreitungdes Schadprogramms zustoppen.
Gleich danach stellt sichbereits die Frage nach derKommunikation. Wie informiereich die Gäste und dieÖffentlichkeit? Gehe ich zurPolizei? Wie kann ich meinenBetrieb weiterführen? Wassage ich, wenn mir die Medienunangenehme Fragen stellen?
Solche Entscheidungendürften viele Hotelsüberfordern.
Das ist so. In dieser Situationmüssen Sie sehr schnellEntscheidungen treffen, dieSie aus Ihrem Führungsalltagnicht gewohnt sind. Deshalbbrauchen Hotels einenKrisenstab und/oder externeUnterstützung beim Krisenmanagement,das allerdingsdie wenigsten haben. UnserJob ist es deshalb, einUnternehmen möglichstschnell aus der Chaos-Phasehinaus zu begleiten und ihmStruktur zu geben, damit dierichtigen Entscheidungengetroffen werden können.Dazu gehört auch dieKrisenkommunikation.
Wie bereite ich michals Hotelier aufCyber-Angriffe vor?
Treffen Sie die nötigenIT-Sicherheitsvorkehrungenund halten Sie diesestets auf dem neuesten Stand.Bilden Sie bereits in gutenZeiten ein Krisenteam undüberlegen Sie sich, wie Sie dieMitglieder im Ernstfallerreichen. Schätzen Sie ab,welches die wahrscheinlichstenAngriffsszenarien sind undspielen Sie diese durch. Mitrelativ wenig Aufwand könnenSie schon viel bewirken.
Und wenn ich dennoch völligunvorbereitet gehackt werde?
Holen Sie sofort einen Profi anBord. Es geht um Ihre Reputation.Gerade kleinere Hotelshaben oft keinen IT-Spezialistenim Haus und auch keinenKrisenstab. Der Profi hilftihnen, den Schaden zubegrenzen, die Kommunikationzu gestalten und die Krisemöglichst ohne Reputationsverlustzu überstehen.
Wie kommuniziere ich imKrisenfall?
Beurteilen Sie, was und wiekommuniziert werden soll.Kommunizieren Sie vonAnfang an aktiv. Die Mediensind immer sehr schnell vorOrt. Wenn Sie als Unternehmennicht sofort sauberAuskunft geben, dann habensie bereits verloren. Dergrösste Fehler, den Sie machenkönnen, ist, den Medien zusagen: «Wir sagen nichts.» Fürdie Medien ist das eineSteilvorlage, denn dann wissensie, dass Sie etwas zu verbergenhaben. Gleichzeitigverlieren Sie die Informationshoheit,denn die Medienwerden andere Quellen finden,deren Aussagen Sie nichtsteuernkönnen.
