Tourismusbranche: Null Sterne für die Datensicherheit

Geht der Fokus auf Kundenbindung zu Lasten der Datensicherheit? E-Mail-Systeme sind oft unzureichend abgesichert. So können sensible Daten schnell in unbefugte Hände gelangen. Es drohen hohe Strafen, wie das Beispiel von Marriott zeigt. [...]

Laut dem österreichischen Bundeskriminalamt steigt die Zahl von Cybercrime-Fällen weltweit, auch Österreich ist davon betroffen. Die Angriffsszenarien werden technisch immer raffinierter, denn der Fortschritt in der IT verändert auch permanent die Art und Qualität der eingesetzten Mittel.

Die EU-Datenschutzgrundverordnung gilt seit 25. Mai 2018. Seitdem gehen Unternehmen höhere Risiken ein, wenn sie den Schutz personenbezogener Daten vernachlässigen, da sie nun mit erheblichen Strafen rechnen müssen. Es drohen Bussgelder von bis zu vier Prozent des Firmenjahresumsatzes.

Aktuell betroffen ist der Hotelkonzern Marriott mit einem möglichen Bussgeld von etwa 110 Millionen Euro, da Personendaten offengelegt wurden. Hacker gelangten an Informationen von 383 Millionen Gästen. Zu den erbeuteten Daten zählen unter anderem Namen, E-Mail-Adressen, aber auch Ausweisnummern und noch gültige Zahlungskarteninformationen. Das Leck entstand bereits 2014 in der von Marriott erworbenen Starwood-Gruppe. Laut britischer Datenschutzbehörde ICO (Information Commissioner’s Office) hat die Marriott-Kette keine sorgfältige Überprüfung (Due Diligence) bestehender Risiken bei der Übernahme durchgeführt und auch danach nicht ausreichend für die Sicherheit der Systeme gesorgt. Das Strafmass hat die ICO in einer Absichtserklärung festgelegt. Marriott hat nun die Gelegenheit, zum festgestellten Sachverhalt und zur drohenden Busse Stellung zu nehmen.

Nebst den eindeutig sensiblen Personendaten gibt es in der Tourismusbranche weitere Informationen, die schnell als unbedenklich deklariert werden, aber ebenso mit Vorsicht zu behandeln sind. «Tourismus ist ein Informationsgeschäft und Daten sind die Grundlage dieses Geschäfts», sagt der Generalsekretär der Österreichischen Hoteliervereinigung. In Tourismusbetrieben werden Daten rund um besondere Vorlieben und das Verhalten der Gäste gesammelt und gepflegt, um die Kundenzufriedenheit sowie -bindung durch besonderen Service zu fördern. Bei diesen persönlichen Daten geht es beispielsweise um die Ernährungsform, zum Beispiel ob ein Gast sich vegan ernährt oder aus religiösen Gründen auf Schweine- oder Rindfleisch verzichtet. Auch ist der Wunsch nach einem Zimmer mit Blick aufs Meer unbedenklicher als die Angabe, dass explizit ein Raucherzimmer bevorzugt wird, da so eventuell Rückschlüsse auf die Gesundheit möglich sind.

Kundenbindung Top, Datenschutz Flop
Im Rahmen ihres Cyber Security Reports hat die Beratungsfirma Deloitte 54 Hotels in Österreich auf ihre Datensicherheit geprüft. Das Fazit ist ernüchternd, denn viele Mitarbeiter sind sich der Wichtigkeit des Datenschutzes nicht bewusst. Laut Deloitte liegen zum Teil Kopien von Reisepässen und Kreditkarten offen an der Rezeption, und bei der Sicherheit der Passwörter für Buchungssysteme sieht es nicht besser aus. Auf besondere Vorlieben wird hingegen vermehrt geachtet, um die Kundenbindung zu stärken. Manche speichern bei Hochzeiten sogar Informationen zur Tischdeko, um dann zum ersten Hochzeitstag dem Paar ein Paket mit Dinner samt bevorzugter Deko anzubieten. Eine schöne Aufmerksamkeit, der Effekt verpufft jedoch, wenn das Unternehmen gehackt wird und das Buchungssystem lahmlegt oder die Daten der Kunden ausspioniert werden.

Sicherheitsmassnahmen ergreifen
Damit der Betrieb DSGVO-konform bleibt oder wird, ist es überaus wichtig, sich in der Tourismusbranche nicht nur auf die Kundenzufriedenheit und -bindung zu fokussieren, sondern auch Sicherheitsmassnahmen im Bereich der Personendaten zu ergreifen. Denn Reisen werden heutzutage meist online gebucht, ob privat oder über ein Reisebüro. Nach der Buchung im System kriegt der Kunde eine Reservierungsbestätigung per E-Mail und antwortet darauf im Falle von Änderungswünschen in der Regel auch direkt. Die Kommunikation findet also meist über E-Mail statt, die daher – wie auch das Buchungssystem – vor Dritten geschützt werden sollte.

Auch wenn Organisationen heute alle notwendigen Vorkehrungen treffen, um den Zugriff von Hackern zu verhindern, ist es nahezu unmöglich, vollkommen sicher zu sein. Sollten Hacker dennoch in das Netzwerk eingedrungen sein, gibt es trotzdem noch Möglichkeiten, grösseren Schaden und insbesondere die Offenlegung von Daten abzuwenden. Denn mit Verschlüsselung ist kein Schadprogramm in der Lage, nützliche Informationen zu extrahieren, da sie für Unbefugte unlesbar sind.

Für den Austausch von sensiblen Informationen ist deshalb eine verlässliche Lösung unabdingbar. Hierfür bietet totemo mit der Sicherheitslösung totemomail® den Rundum-Schutz besonders durch die Verschlüsselung des E-Mail-Verkehrs mit Kunden, Geschäftspartnern sowie Mitarbeitern an, unabhängig von Grösse und Branche des Unternehmens.

Die totemo ag bietet Lösungen für E-Mail-Sicherheit, sicheren Datenaustausch und sichere mobile elektronische Kommunikation.


Mehr Artikel

News

Große Sprachmodelle und Data Security: Sicherheitsfragen rund um LLMs

Bei der Entwicklung von Strategien zur Verbesserung der Datensicherheit in KI-Workloads ist es entscheidend, die Perspektive zu ändern und KI als eine Person zu betrachten, die anfällig für Social-Engineering-Angriffe ist. Diese Analogie kann Unternehmen helfen, die Schwachstellen und Bedrohungen, denen KI-Systeme ausgesetzt sind, besser zu verstehen und robustere Sicherheitsmaßnahmen zu entwickeln. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*