Eine scheinbar harmlose E-Mail mit Folgen: «Herzlichen Dank für die Buchung Ihres Aufenthalts vom 12. bis 14. Juni 2024. Leider ist bei der Bezahlung ein Problem aufgetreten. Wir bitten Sie daher, Ihre Zahlung über folgenden Link zu kontrollieren sowie zu bestätigen, und entschuldigen uns für die Umstände. Freundliche Grüsse …»
So etwas kann passieren, denkt mancher Gast. Vielleicht auch jene eines Zentralschweizer Hotels, die im Sommer 2024 eine solche oder ähnliche E-Mail erhalten haben. Logo, Kontaktdaten waren korrekt und sogar die Buchungsnummer stimmte. Die Gäste konnten annehmen, dass die E-Mail von besagtem Hotel stammte. Allerdings kam die Nachricht nicht vom Hotel, sondern von Betrügern, die mutmasslich über einen externen Softwareanbieter an die Buchungsdetails gelangt waren. Der angezeigte Link führte folglich nicht auf die offizielle Seite des Hotels, sondern auf eine täuschend echte Fake-Seite. Dort sollten Gäste den angeblich nicht abgebuchten Betrag durch Eingabe ihrer Kreditkartendaten bestätigen.
Bestätigt ist, dass es Betrügern mit dieser Masche immer wieder gelingt, Menschen zu täuschen – dank Künstlicher Intelligenz zunehmend immer besser.
Der Trick mit der Zahlung
Der Betrug mit Buchungsanfragen und -bestätigungen ist so erfolgreich, weil er plausibel wirkt. Eine Frage zur Zahlung, eine fehlgeschlagene Kreditkartenbuchung oder eine kurze Rückfrage zur Reservation wirken im Alltag normal. Sind solche Nachrichten zudem mit echten Buchungsdetails versehen, ist der Schritt zu einer unbedachten Handlung klein – etwa das Anklicken eines Links oder die Eingabe von sensiblen Daten wie Kreditkartendetails.
In der Hitze des Gefechts
Cyberkriminelle haben es jedoch nicht nur auf Gäste abgesehen. Service, Zuvorkommenheit, Hilfsbereitschaft und das Credo «Der Gast ist König» gehören zur DNA der Hospitality-Branche und machen sie für Betrüger besonders anfällig. Genau dieser Servicegedanke wird bewusst ausgenutzt: Die Stimme des Anrufers klingt vertraut, die Bitte wirkt dringlich und die Ausnahme soll «nur dieses eine Mal» gelten.
Stress kommt Betrügern entgegen
Kommt noch Stress dazu – etwa, weil an der Réception ungeduldige Gäste warten –, dürften die Erfolgschancen der Betrüger deutlich steigen. Nicht zuletzt, weil sich Cyberkriminelle auf einen kongenialen Partner verlassen können: die Künstliche Intelligenz. Sie ermöglicht es, Stimmen und sogar Gesichter täuschend echt zu fälschen. Solche Deepfakes sind heute kaum mehr von echten Personen zu unterscheiden. Vorsicht also bei Meetings über Teams oder Zoom.
Was Hotels tun können
Was heisst das für Hotels und Gastronomiebetriebe? Wie lassen sich Mitarbeitende sensibilisieren, wenn selbst visuelle oder akustische Hinweise keine verlässliche Orientierung mehr bieten?
Sicherheit beginnt im Alltag
Schutz entsteht weniger durch das Erkennen perfekter Fälschungen, sondern durch Abläufe, die auch dann greifen, wenn eine Anfrage überzeugend wirkt. Wenn Zahlungen ausgelöst, Bankverbindungen geändert, Accounts zurückgesetzt oder sensible Gästedaten freigegeben werden sollen, braucht es eine unabhängige Bestätigung über einen zweiten Kanal. Diese Regel schützt nicht nur vor KI-Manipulation, sondern auch vor klassischen Betrugsversuchen – und reduziert den Zeitdruck bei Entscheidungen.
Keine bösen Überraschungen
Kurze Sensibilisierungsformate, die echte Situationen aus dem Betrieb aufnehmen, sorgen dafür, dass solche Abläufe im Alltag funktionieren: Wie sehen typische Buchungsnachrichten aus? Woran erkennt man den Moment, in dem ein Link oder ein Anruf eine unbedachte Handlung manipuliert? Welche Standardsätze helfen, freundlich zu bleiben und trotzdem nicht auf Wünsche und Befehle einzugehen? Besonders wirksam sind interne Übungen, in denen Mitarbeitende solche Situationen durchspielen. Danach werden gemeinsam Verfahren definiert, um Anfragen zu verifizieren, ohne dabei Gästen oder Partnern Misstrauen entgegenzubringen.
Sicherheitslücken erkennen
Parallel dazu braucht es technische Überprüfungen, die nicht kompliziert sein müssen, aber die wichtigsten Einfallstore abdecken. Dazu gehört an erster Stelle ein Audit der E-Mail- und Log-in-Sicherheit. Mehrfaktor-Authentisierung (MFA) und saubere Rechtevergabe für Plattformzugänge und Fernwartung sind unerlässlich. Ebenso wichtig ist ein gezielter Check der Systeme und die Frage, ob ein Fehler an einer einzelnen Stelle unter Umständen den gesamten Betrieb beeinträchtigen oder gar lahmlegen kann. Entscheidend ist zudem ein Test, der sicherstellt, dass Datensicherungen im Ernstfall tatsächlich zurückgespielt werden können – denn dann zählt nicht die blosse Existenz eines Backups, sondern vor allem dessen Wiederherstellbarkeit.
Unterstützung rechtzeitig einholen
Externe Spezialisten sollten frühzeitig beigezogen werden. Das gilt besonders bei der Einführung oder Ablösung von Systemen für Reservation, Check-in oder Kasse. Auch bei der Zusammenarbeit mit externen IT- und Softwareanbietern oder nach auffälligen Phishing-Wellen, wenn unklar ist, ob bestehende Schutzmassnahmen im Alltag greifen.
Dieser Fachartikel ist in Zusammenarbeit mit Infosec AG entstanden.
Cybersecurity-Kurse für Hotels
Vor dem Hintergrund zunehmend raffinierterer Betrugsversuche mit Künstlicher Intelligenz gewinnen branchenspezifische Weiterbildungen an Bedeutung. Auf die Hotellerie zugeschnittene Cybersecurity-Kurse schaffen gezielt Abhilfe. Entsprechende Angebote werden vom Berufsverband Hotel, Administration & Management der Hotel & Gastro Union in Zusammenarbeit mit der SHS Academy organisiert. Im praxisnahen Kurs zur Informationssicherheit erwerben die Teilnehmenden die notwendigen Kompetenzen, um digitale Risiken frühzeitig zu erkennen, Datenschutzvorgaben korrekt umzusetzen und Arbeitsprozesse nachhaltig sicherer zu gestalten. Termine werden auf der Website des Berufsverbands publiziert.
