Pishing im Buchungsalltag

Hotels geraten zunehmend ins Visier von Cyberangriffen. Ihre serviceorientierte Kultur macht sie besonders anfällig. Ein praxisnahes Cybersecurity-Training hilft, Schwachstellen im Alltag zu erkennen und vorzubeugen.

Tizian Eggenberger, Consultant bei Swiss Infosec AG

Pishing im Buchungsalltag — Zuvorkommenheit als Schwachstelle: Cyberkriminelle nutzen die ausgeprägte Servicekultur in der Hotellerie gezielt aus.

Zuvorkommenheit als Schwachstelle: Cyberkriminelle nutzen die ausgeprägte Servicekultur in der Hotellerie gezielt aus. image : Adobe Stock

image : Adobe Stock

Echtes Logo, echte Buchung – falsche E-Mail
«Herzlichen Dank für die Buchung Ihres Aufenthalts vom 12. bis 14. Juni 2024. Leider ist bei der Bezahlung ein Problem aufgetreten. Wir bitten Sie daher, Ihre Zahlung über folgenden Link zu kontrollieren und zu bestätigen, und entschuldigen uns für die Umstände. Freundliche Grüssen …»

So etwas kann passieren, denkt so mancher Gast. Vielleicht auch die Gäste eines Zentralschweizer Hotels, die im Sommer 2024 eine solche oder ähnliche E-Mail erhalten haben. Da Logo und die Kontaktdaten korrekt waren und sogar die Buchungsnummer stimmte, durften die Gäste durchaus annehmen, dass die E-Mail von besagtem Hotel stammte.

Allerdings kamen die freundlichen Grüsse nicht vom Hotel, sondern von Betrügern, die die Buchungsdetails von einem externen Softwareanbieter erhalten haben sollen. Der angezeigte Link führte denn auch nicht auf die offizielle Seite des Hotels, sondern auf eine täuschend echte Fake-Seite. Auf dieser sollte der nicht abgebuchte Betrag durch Eingabe der Kreditkartendaten bestätigt werden. Bestätigt ist, dass es Betrügern mit dieser Masche immer wieder gelingt, Menschen zu täuschen. Dank Künstlicher Intelligenz (KI) sogar immer besser.

Cybersecurity-Kurs für Hotels

Datum: Mittwoch, 08. April 2026
Zeit: 09:30 - 16:30 Uhr
Ort: Schulungsraum Hotel & Gastro Union, Luzern

Der Kurs ist auf 18 Personen limitiert.

zur Anmeldung

Der Trick mit der Zahlung
Der Betrug mit Buchungsanfragen und -bestätigungen ist deshalb so erfolgreich, weil er glaubwürdig und logisch daherkommt. Eine Frage zur Zahlung, eine fehlgeschlagene Kreditkartenbuchung oder eine kurze Rückfrage zur Reservation wirken im Alltag normal. Wenn solche Fragen dann noch mit echten Buchungsdetails versehen sind, ist der Schritt zu einer unbedachten Handlung kurz – also dem Anklicken eines Links oder der Eingabe von Kreditkartendetails .

In der Hitze des Gefechts
Cyberkriminelle haben es jedoch nicht nur auf Gäste abgesehen. Da Service, Zuvorkommenheit, Hilfsbereitschaft und das Credo «Der Gast ist König» zur DNA der Hospitality-Branche gehören, ist diese für Betrüger ein lohnendes Ziel. Dieser Servicegedanke wird bewusst ausgenutzt: Die Stimme des Anrufers klingt vertraut, die Bitte wirkt dringlich und die Ausnahme soll «nur dieses eine Mal» gelten.

Stress kommt Betrügern entgegen
Kommt noch Stress dazu – etwa weil an der Réception ungeduldige Gäste warten –, dürften die Erfolgschancen der Betrüger massiv steigen. Nicht zuletzt deshalb, weil sich Cyberkriminelle auf einen kongenialen Partner verlassen können: die Künstliche Intelligenz.

Sie ermöglicht es, Stimmen und sogar Gesichter (Achtung bei Teams- oder Zoom-Meetings) täuschend echt zu fälschen (sogenannte Deepfakes). Diese sind heute kaum mehr von echten Personen zu unterscheiden.

Was Hotels tun können
Was heisst das für Hotels und Gastronomiebetriebe? Wie sollen sie ihre Mitarbeitenden sensibilisieren und schulen, wenn diese weder ihren Augen noch ihren Ohren trauen können?

Sicherheit beginnt im Alltag
Schutz entsteht weniger durch das Erkennen perfekter Fälschungen, sondern durch Abläufe, die auch dann greifen, wenn eine Anfrage überzeugend wirkt. Wenn Zahlungen ausgelöst, Bankverbindungen geändert, Accounts zurückgesetzt oder sensible Gästedaten freigegeben werden sollen, braucht es eine unabhängige Bestätigung über einen zweiten Kanal. Diese Regel schützt nicht nur vor KI-Manipulation, sondern auch vor klassischen Betrugsversuchen – sie nimmt Zeitdruck aus der Entscheidung.

Keine bösen Überraschungen
Kurze Awareness-Formate, die echte Situationen aus dem Betrieb aufnehmen, sorgen dafür, dass solche Abläufe im Alltag funktionieren: Wie sehen typische Buchungsnachrichten aus? Woran erkennt man den Moment, in dem ein Link oder ein Anruf eine unbedachte Handlung manipuliert? Welche Standardsätze helfen, freundlich zu bleiben und trotzdem nicht auf Wünsche und Befehle einzugehen?

Besonders wirksam sind interne Übungen, in denen Mitarbeitende solche Situationen durchspielen. Danach werden gemeinsam Verfahren definiert, um Anfragen zu verifizieren – ohne dabei Gästen oder Partnern Misstrauen entgegenzubringen.

Sicherheitslücken erkennen
Parallel dazu braucht es technische Überprüfungen, die nicht kompliziert sein müssen, aber die wichtigsten Einfallstore abdecken. Dazu gehört an erster Stelle ein Audit der E-Mail- und Login-Sicherheit. Mehrfaktor-Authentisierung (MFA) und saubere Rechtevergabe für Plattformzugänge und Fernwartung sind Pflicht. Ebenso wie ein kurzer Check der Systeme und ob ein Fehler an einer Stelle gleich den ganzen Betrieb treffen könnte.

Entscheidend ist auch ein Test, der sicherstellt, dass Datensicherungen tatsächlich zurückgespielt werden können – denn im Ernstfall zählt nicht die Existenz eines Backups, sondern dessen Wiederherstellbarkeit.

Externe Unterstützung rechtzeitig einholen
Externe Spezialisten sollen frühzeitig beigezogen werden: etwa bei der Einführung oder Ablösung von Systemen für Reservation, Check-in und Kasse, bei der Zusammenarbeit mit externen IT- und Softwareanbietern, nach auffälligen Phishing-Wellen oder wenn unklar ist, ob bestehende Schutzmassnahmen im Alltag wirklich greifen.

Cybersecurity-Kurs für Hotels
Genau hier setzt der Cybersecurity-Kurs für die Hotellerie an. Er wird vom Berufsverband Hotel, Administration & Management der Hotel & Gastro Union in Zusammenarbeit mit der SHS Academy organisiert. In diesem spezialisierten Kurs zur Informationssicherheit lernen die Teilnehmenden, digitale Risiken frühzeitig zu erkennen, aktuelle Datenschutzgesetze korrekt umzusetzen und ihre Arbeitsumgebung nachhaltig sicherer zu gestalten.

Der praxisorientierte Workshop ist auf die Anforderungen der Hotellerie zugeschnitten und behandelt zentrale Themen der digitalen Sicherheit im Arbeitsalltag. Ziel des Kurses ist es, den Teilnehmenden ein fundiertes und praxisnahes Verständnis für digitale Sicherheit in der Hotellerie zu vermitteln.

Dieser Fachartikel ist in Zusammenarbeit mit SHS Academy, Berufsverband Hotel, Administration & Management und Swiss Infosec entstanden.

Partner für Informations- und Cybersicherheit
Die Swiss Infosec AG mit Sitz in Sursee (LU) gehört in der Schweiz zu den führenden, unabhängigen Beratungs- und Ausbildungsunternehmen in den Bereichen Informationssicherheit, Datenschutz und Cyber-/IT-Sicherheit. Sie be-schäftigt zusammen mit den Schwesterunternehmen Swiss GRC AG und Team Visual AG über 130 Mitarbeitende.

Tizian Eggenberger, Consultant bei Swiss Infosec AG

retour à l’aperçu

autres thèmes

Pop-up

Weinparcours in historischen Hotelzimmern

Das Hotel Schweizerhof Luzern wird zur Bühne für Schweizer Wein. 25 Winzerinnen und Winzer beziehen die historischen Zimmer und laden zur Degustation fernab klassischer Messeinfrastruktur ein.

Nachhaltigkeit

Swiss Deluxe Hotels starten Sapo Cycle Run

42 Luxushotels spannen mit SapoCycle zusammen und lancieren eine schweizweite Lauf-Challenge. Mitarbeitende sammeln vom 1. März bis 30. Juni Kilometer für recycelte Hygieneprodukte. Ziel ist es, Hotelabfall zu reduzieren und Menschen in Armut zu unterstützen.

Projects

Vom reinen Businesshotel zum Begegnungsort

Das Hotel Sedartis in Thalwil zeigt sich mit neuer Lobby, modernem Restaurant und vielseitigem Eventbereich offener und gastfreundlicher. Nach der Renovation der Zimmer folgt mit der Ausrichtung als Treffpunkt für Gäste und Einheimische der nächste Schritt.

Arealentwicklung

Vom Internat zum Luxushotel: La Chassotte in Givisiez

In Givisiez soll das seit Jahren leerstehende Gebäude La Chassotte zu einem 5-Sterne-Hotel werden. Die Gemeinden Givisiez und Granges-Paccot haben dafür einen Investor ausgewählt. Noch steht der politische Entscheid aus.

Swiss Made

Vom Aargau ins chinesische Entertainment-Paradies

Vom Kochlehrling in Aarburg zum Topmanager in Macau: Roger Lienhards Karriereweg führt von der Aare ins Herz der asiatischen Casino- und Luxuswelt.

Politik

Kommission verlangt Nachbesserungen bei SGH

Die Wirtschaftskommission des Nationalrats verlangt beim geplanten Impulsprogramm für die Sanierung von Beherbergungsbetrieben Anpassungen. Damit verzögert sich die Beratung der SGH-Revision erneut.

Spiez mit Bucht Schlucht Niesen und Stockhorn

Logiernächte 2025

Tourismusboom in Spiez bringt neue Herausforderungen

Spiez verzeichnete 2025 mit rund 198'000 Logiernächten einen neuen Höchstwert. Trotz Rekordzahlen betont die Spiez Marketing AG (SMAG), dass nicht das Wachstum um jeden Preis im Fokus steht, sondern die Lebensqualität vor Ort.

Nachgefragt

Kerstin Camenisch: «Baukultur braucht Nutzung, sonst wird sie zum Museumsstück»

Kerstin Camenisch, Co-Präsidentin der Icomos-Jury «Historische Hotels und Restaurants», erklärt, warum Denkmalpflege und Tourismus einander brauchen und weshalb weniger Auszeichnungen mehr Wirkung entfalten sollen.

Neuausrichtung

Icomos stärkt Baukultur und Gastfreundschaft

Seit 1996 zeichnet Icomos Suisse historische Hotels und Restaurants aus. Zum 30-Jahr-Jubiläum richtet die Auszeichnung ihren Fokus neu aus. Unter dem Namen «Baukultur & Gastfreundschaft» sollen Baukultur, Betrieb und Gästeerlebnis stärker zusammengedacht werden.

Schliessung durch Brandschutz

Hotelleitung des Grand Hôtel du Golf & Palace äussert sich

Nach der behördlich angeordneten Schliessung des Grand Hôtel du Golf & Palace in Crans-Montana bezieht die Hotelleitung nun Stellung. Die Verantwortlichen bedauern die Situation und zeigen Verständnis für den Entscheid der Gemeinde.

Fachbeitrag Cybersecurity