Was das Schengener Informationssystem ist
Ohne das Schengener Informationssystem gäbe es keine Reisefreiheit in der EU. Doch welche Technik steckt dahinter – und wie intensiv wird das System genutzt?
Feriensaison bringt zusätzliche Risiken für Restaurants und Hotelketten
US-Einzelhändler haben es in der letzten Zeit schwer. Veränderte Verbrauchervorlieben und zunehmendes Onlineshopping haben viele Läden zur Geschäftsaufgabe gezwungen. Allein im Jahr 2017 büßte der Einzelhandel bereits 50.000 Jobs ein. Auch wenn traditionelle Bekleidungsgeschäfte, Lebensmittelläden und Elektronikmärkte möglicherweise nicht wie in der Vergangenheit Personal für den Sommer einstellen, so findet sich dennoch jede Menge Saisonarbeit in Hotels, Restaurants und dem Gastgewerbe allgemein. In Hotels und Restaurants herrscht kein Mangel an Jobangeboten für den Sommer. Wie bei konventionellen Einzelhändlern sind elektronische Kassensysteme (Point-of-Sale-Systeme, POS) in Restaurants und Hotels bereits beliebte Ziele von Cyberkriminellen. Hinzu kommt, dass die arbeitsreiche Sommersaison auch einen Zustrom an Neulingen für die Belegschaften bringt. Dadurch haben es Arbeitgeber mit einer zusätzlichen Risikodimension zu tun. Angefangen bei Fernanbindungen zu POS-Systemen bis hin zu Arbeitskräften für die Sommersaison, die ihre Smartphones für die Suche oder den Austausch von Unternehmensinformationen nutzen: Hotel- und Gastronomieketten brauchen eine ganzheitliche Virtual Private Network (VPN)-Strategie, sodass sie die Sicherheit und Geheimhaltung sensibler Daten stets gewährleistet wissen.
Hotels und Restaurantketten sind besonders anfällig für Datensicherheitslücken. Im April 2017 wurde die Restaurantkette Chipotle Mexican Grill infolge einer POS-Malware-Attacke Opfer eines Angriffs auf seine Kartenzahlungssysteme. Sie sind bei Weitem nicht die einzigen, die für unerfreuliche Schlagzeilen sorgen. Die Gastronomieunternehmen Shoney’s, Arby’s und Wendy’s haben in den vergangenen zwölf Monaten alle ähnliche Datenpannen gemeldet. Etwa zur gleichen Zeit wie Chipotle offenbarte die InterContinental Hotel Group, zu der die Hotelunternehmen Holiday Inn und Crown Plaza gehören, dass Malware auf ihren Computersystemen an der Rezeption gefunden und Gästen in über 1.000 Hotels ihre Kreditkarteninformationen gestohlen worden waren. Zu den weiteren Hotelmarken, die im vergangenen Jahr Kartenangriffen ausgesetzt waren, gehören unter anderem Kimpton Hotels und Trump Hotels sowie Hilton, Mandarin Oriental und White Lodging. Auch die Hotelketten Starwood Hotels und Hyatt wurden von Kartenangriffen getroffen.
Hacker nehmen Hotels und Restaurants ins Visier, da deren Reputation für die Beibehaltung schlecht geschützter Systeme allgemein bekannt ist. Die überwiegende Mehrheit der Datenangriffe auf Restaurant- und Hotelketten werden mit Angreifern in Verbindung gebracht, die sich per Fernzugriff in POS-Geräte hacken und diese mit Malware zum Kartendiebstahl infizieren. POS-Systeme dienen lediglich der Verarbeitung von Transaktionen. Bei einer gelungenen Malware-Infektion können Zahlungsdaten heimlich abgegriffen werden – selbst dann, wenn herkömmliche Firewalls vorhanden sind. Die langsame Datenexfiltration unterscheidet sich nicht vom normalen Datenverkehr; d. h. es können Wochen oder unter Umständen Monate vergehen, ohne dass jemand etwas bemerkt. In anderen Fällen wird das Gastgewerbeunternehmen von Ransomware befallen. Diese verschlüsselt wichtige Systemdateien und verhindert eine Nutzung dieser Dateien so lange, bis ein Lösegeld im Austausch für die Schlüssel gezahlt wird. Datenangriffe wie der bei Chipotle machen deutlich, dass im Zusammenhang mit der Sicherheit von Restaurants mit mehreren Standorten ein neuer Ansatz erforderlich ist – und zwar ein Ansatz, der über die schlichte Einhaltung von PCI-Standards und die Implementierung einer administrierbaren Firewall hinausgeht.
Noch ein weiteres Risiko ist besonders schwierig zu steuern. Es ist das Risiko, dass aus den eigenen Reihen kommt. Im Allgemeinen gibt es nichts, was Mitarbeiter – Saisonarbeitskräfte oder Vollzeitmitarbeiter – vom Fernzugriff auf vertrauliche Unternehmensinformationen abhält. Neulinge, die für die Sommersaison eingestellt werden, mögen sich nichts dabei denken, diese Informationen mit Freunden und Partnern außerhalb des Unternehmens auszutauschen. Der mobile Zugriff auf Unternehmensdaten kann ein großartiges Tool zur Steigerung der Produktivität darstellen. Jedoch darf dies nicht zu Lasten der Sicherheit gehen. Zur Verringerung möglicher Datenverluste müssen IT-Abteilungen die richtige Balance zwischen Effizienzsteigerung und Beibehaltung der Kontrolle über die Sicherheit mobiler Daten finden.
Gastronomieunternehmen, die eine wirksamere Vorgehensweise in puncto Sicherheit anstreben, müssen zahlreiche Maßnahmen ergreifen. Regelmäßige Patch-Updates für Systeme und ein besserer Schutz gegen Malware-Bedrohungen sind ein guter Anfang. Für die Mitarbeiter muss es offizielle Schulungen zu routinemäßigen Sicherheitsüberprüfungen und zur Identifikation und Reaktion auf Bedrohungen geben. Darüber hinaus sollte vor allem der Absicherung der Remote-Konnektivität erhöhte Aufmerksamkeit gewidmet werden. Der Angriff auf POS-Systeme über Remote Access ist prinzipiell eine der Hauptursachen für Datenangriffe im Gastgewerbe. Gleichzeitig sind sensible Unternehmensdaten auch dann gefährdet, wenn Mitarbeitern der Fernzugriff auf Unternehmensinformationen von Mobilgeräten aus ermöglicht wird. Letzteres Risiko ließe sich vermeiden, wenn Mobilgeräte jederzeit verschlüsselt wären. In einer aktuellen Studie des Unternehmens Egress Software sagten 77 % der CIOs, sie seien enttäuscht darüber, dass die aktuell verfügbaren, einfachen Lösungen zur Verschlüsselung nicht effektiv genutzt werden.
Zweifellos muss die Gastgewerbebranche verstärkt an der Absicherung der Remote-Konnektivität arbeiten. Die doppelte Herausforderung – einerseits die externen Remote-Angriffe auf POS-Systeme sowie andererseits der Missbrauch mobiler Verbindungen durch Insider – verlangt von Hotelgruppen und Restaurantketten eine Hinwendung zu einer umfassenderen VPN-Strategie. VPNs mit zentralem Management würden den Remote Access zu Unternehmensnetzwerken über das öffentliche Internet beschränken und nur autorisierten Nutzern gewähren. Gleichzeitig könnten VPNs auf Client-Seite die Sicherheit und Geheimhaltung der mobilen Daten der Mitarbeiter gewährleisten, unabhängig davon, ob diese sich vom Büro, von zuhause aus oder über einen öffentlichen WLAN-Hotspot mit dem Netzwerk verbinden.
Fazit: Wiederholte Remote-Angriffe auf POS-Systeme in Verbindung mit einer Abhängigkeit von Saisonarbeitskräften verdoppeln in den Sommermonaten die Gefahr für das Gastgewerbe. Eine ganzheitliche VPN-Strategie sorgt für sichere Remote Access-Verbindungen zwischen Netzwerken und externen POS-Systemen zum Schutz der Kundenkarteninformationen. Sie stellt auch einen Schutz gegen Datenverstöße dar, die aus menschlichem Fehlverhalten resultieren – etwa beim Versuch unerfahrener Mitarbeiter, von ihrem Mobilgerät aus eine Verbindung herzustellen oder Unternehmensdaten auszutauschen.
Das könnte Sie auch interessieren:
Grundlagen der Verschlüsselung
Verschlüsselung schützt vertrauliche Daten vor Spionage und Diebstahl. Es gibt aber Unterschiede zwischen symmetrischen, asymmetrischen und hybriden Verfahren.
Was vom dritten KRITIS-Dachgesetz zu erwarten ist
Die dritte Fassung des IT-Sicherheitsgesetzes betrifft zusätzlich bis zu 30.000 Unternehmen in Deutschland. Sie müssen künftig deutlich höhere Sicherheitsstandards einhalten.