Internetrisiken
Nicht nur große Firmen sind betroffen. Schon ein einziger digitaler Arbeitsprozess wie ein Online-Bezahlsystem bietet eine Angriffsfläche für Cyberkriminelle. So kann für einen Hotelier durch den Diebstahl von Kreditkartendaten seiner Kunden ein immenser finanzieller Schaden entstehen.
Die finanziellen Folgen von Cyberkriminalität können sehr schnell existenzbedrohende Ausmaße annehmen – vor allem für klein- und mittelständische Unternehmen, die weder über die finanziellen Mittel, noch über das adäquate Krisenmanagement zur Bewältigung verfügen.
Deswegen ist es wichtig, dass Sie Ihr Unternehmen mit einer auf Ihre Bedürfnisse abgestimmte Versicherung gegen Cyber Risiken und Datenmissbrauch schützen.
Gefahren für Hotels aus dem Internet:
Unbekannte manipulieren die Kartenleser am Empfang. Dies ermöglicht den Hackern, Kreditkartendaten von mehr als 700 Kunden abzugreifen und diese zu missbrauchen. Dem Unternehmen entsteht dadurch ein Millionenschaden.
»Der Versicherer kommt für den Schaden auf und unterstützt das Hotel mit einem Krisen-PR-Manager, um den entstandenen Imageschaden in den Griff zu bekommen.«
Angreifer schleusen ein Verschlüsselungs-Virus etwa über E-Mail-Anhänge in den Computer eines Hoteliers und lassen sie dort Dateien verschlüsseln. So werden Dokumente, E-Mails, Kassenbücher, Buchungssoftware unbrauchbar. Es kommt zum kompletten Systemausfall, das Keycard-System ist ebenfalls betroffen. Wenn der Hotelier wieder an seine Daten will, muss er den Angreifern ein Lösegeld zahlen.
»Der Versicherer hat sofort IT-Spezialisten eingeschaltet, die gemeinsam mit dem Hotelier und deren vor Ort beauftragten Experten das Problem gelöst und Prophylaxemaßnahmen aufgezeigt haben. Dem Hotelier entstand kein Schaden.«
Das BSI (Bundesamt für Sicherheit in der Informationstechnik) rät nachdrücklich, kein Lösegeld zu zahlen: „Jede erfolgreiche Erpressung motiviert den Angreifer, weiterzumachen. Sie finanziert die Weiterentwicklung der Schadsoftware und fördert deren größere Verbreitung.“
Eine Hotelhomepage inklusive Buchungsportal wird Opfer einer Denial-of-Service-Attacke. Daraus folgt ein plötzlicher Anstieg des eingehenden Datenflusses. Die allmähliche Überlastung führt zur Nichtverfügbarkeit der Website. Die Homepage ist 23 Stunden für Kunden nicht verfügbar.
»Der Versicherer leitete sofort nach der Meldung des Versicherungsnehmers eine erste Gegenmaßnahme ein: Der eingehende Datenfluss wurde mit Hilfe des Internetanbieters analysiert und gefiltert, um böswillige Datenbewegungen von der normalen Geschäftsaktivität abzugrenzen. So war eine schrittweise Rückkehr zur normalen Geschäftstätigkeit möglich.«
Das E-mail-Postfach des Hoteliers wird gehackt und in seinem Namen werden Emails inkl. Trojaner/Viren an Kunden und Geschäftspartner versendet. Es kommt zu Schadenersatzforderungen, da die Empfänger mit den virenverseuchten E-Mails in Berührung gekommen sind und dadurch Schäden erlitten haben.
Ein Hotelmitarbeiter veruntreut Unternehmensgelder in dem er Waren auf eigene Rechnung verkauft und das Geld einsteckt. (Aktueller Fall: Mai 2017, Hotel Adlon Berlin)
Schwerwiegende Folgen
Erleiden Sie einen Hackerangriff, dann drohen Ihnen:
- Vertrauens- und Reputationsverlust
- Gerichtliche Auseinandersetzungen und Strafzahlungen
- Kosten der Wiederherstellung
Viele Hoteliers wissen nicht, dass entsprechende Rechtspflichten zu Risikovorsorge bestehen. Das KonTraG (Gesetz zur Kontrolle und Transparenz im Unternehmensbereich) verlangt beispielsweise ein Risikomanagement und durch das Bundesdatenschutzgesetz (BDSG) muss der Unternehmer eine hinreichende sichere IT-Infrastruktur aufweisen, damit personenbezogene Daten, die das Unternehmen speichert, vor Schadprogramme geschützt sind.
Häufig werden interne Daten an Dritte durch Schadprogramme verschickt. Gem. § 7 BDSG ist der Schaden durch die unbefugte Weitergabe der Daten an Dritte in unbegrenzter Höhe ausgleichspflichtig.
Internet Versicherung
Gehen Sie kein Risiko ein! Sichern Sie sich mit einer Cyberversicherung ab!
Warum viele Hoteliers noch keine Absicherung haben:
Daten an einen externen Dienstleister auszulagern kann Kosten sparen, die Performance erhöhen und die Datensicherheit verbessern. Die Verantwortung für die Sicherheit der Daten kann allerdings nicht ausgelagert werden. Denn ein Unternehmen, das personenbezogene Daten erhoben hat, haftet auch dann als verantwortliche Stelle im Sinne des Bundesdatenschutzgesetzes (BDSG), wenn ein Datenverlust auf dem Handeln von Mitarbeitern oder einem externen Anbieter, wie z.B. einem Rechenzentrum oder Cloud-Provider, beruht.
Auch kleine und mittelständische Unternehmen werden Opfer von zielgerichteten Hackerangriffen. Denn das spezielle Know-how oder die Kundendaten von Unternehmen sind für Cyberkriminelle sehr interessant und lassen sich schnell zu Geld machen. Kleine und mittelständische Unternehmen können in Sachen IT-Sicherheit oft nicht mit den Großkonzernen mithalten – und sind damit auch ein leichteres Ziel. Aber auch nicht-zielgerichtete Cyberangriffe können erhebliche Schäden verursachen, wie erst jüngst die Welle sogenannter Kryptotrojaner gezeigt hat.
Das ist gut so. Aber wie sieht es aus, wenn die Störung zur Krise wird, das Unternehmen also mit einem massiven Virusbefall zu kämpfen hat oder mehrere unternehmenskritische IT-Systeme plötzlich nicht mehr funktionieren? Selbst sehr gut aufgestellte IT-Abteilungen verfügen oft nicht über das erforderliche Know-how und Equipment, um eine Krise optimal zu bewältigen, also einen Krisenplan zu verfolgen, der von IT-Forensik über die gerichtsverwertbare Feststellung der Krisenursache bis hin zur Kommunikationsarbeit reicht.
Eine Cyberkrise, z.B. durch Betriebsunterbrechung, Schadenersatzforderungen oder Reputationsschäden, kann Unternehmen massiv wirtschaftlich schaden. Deshalb sollte sich die Geschäftsführung schon vor dem Krisenfall mit der Thematik beschäftigen und ein funktionierendes Risikomanagementsystem implementieren, das auch Cyber- und IT-Risiken umfasst. Dabei sollte nicht vergessen werden, dass Datenschutzvorfälle nicht immer digitaler Natur sind. Auch der Verlust oder Diebstahl physischer Akten, Laptops oder sonstiger mobiler Endgeräte können einen Datenschutzvorfall auslösen.
Leider sprechen die Statistiken eine andere Sprache: Bis zu 80% der Datenschutzvorfälle werden durch eigene Mitarbeiter verursacht. Das kann z.B. durch Unachtsamkeit passieren, aber auch durch die vorsätzliche Weitergabe von Daten durch Mitarbeiter.
Quelle: Hiscox
Welche zusätzlichen Sicherheitsmaßnahmen sind sinnvoll?
- Sensibilisierung von Mitarbeitern
- Einführung von Sicherheitskonzepten im Unternehmen
- Aufbau interner Kompetenzen für Prävention, Detektion und Reaktion
- Vorsorgliche Auswahl externer IT-Forensik-Dienstleister für eine schnelle Reaktion im Ernstfall
- 3-2-1 Regel: Drei Kopien aller kritischen Daten sollten auf mindestens zwei unterschiedlichen Medien liegen – der Festplatte etwa, auf der CD oder im Cloudspeicher –, wovon mindestens ein Back-up außerhalb des Unternehmens zu lagern ist.
Fragen, die Sie sich bezüglich Ihrer IT-Sicherheit stellen sollten:
- Wie verhalte ich mich richtig, wenn mein Unternehmen Opfer eines Hackerangriffes wird?
- Wie reagiere ich, wenn ich einen Drohbrief mit der Veröffentlichung sensibler Daten erhalte?
- Wer sitzt im Krisenstab, wenn es um Datenrechtsverletzungen geht. Welche Meldungen leiten wir an die Presse weiter?
- Wie lange kann ich einen Ausfall meiner Website verkraften? Wie gut bin ich bei unerwarteten Betriebsunterbrechungen aufgestellt?
Weitere Risiken im Hotel:
Gebäude und Inventar
Um Ihr Unternehmen wirkungsvoll abzusichern, reicht es nicht, einfach eine Gebäudeversicherung fürs Hotel abzuschließen!
Brandgefahren
Hotelbetriebe tragen eine große Verantwortung für ihre Gäste und ihr Personal. Eine Vielzahl von Brandgefahren bedrohen nicht selten die Gesundheit oder sogar das Leben.
Elektrische Anlagen
Defekte Kabel und andere elektronische Bauteile können Funken und Schwelbrände verursachen. Rund jeder dritte Brand entsteht durch Elektrizität.
Haftpflicht & Recht
Gründe für Rechtsstreitigkeiten gibt es viele: im Straßenverkehr, im Geschäftsbetrieb, im Umgang mit den Mitarbeiter*innen und Gästen. Auch wenn Sie ein friedfertiger Mensch sind, muss das nicht für die Gegenseite gelten.
Mitarbeiter Bindung
Die Bindung von guten Mitarbeiter*innen ist heutzutage ein wesentlicher Faktor für den Unternehmenserfolg. Auch Sie sind gefragt, sich im Wettbewerb um die besten Mitarbeiter*innen gut aufzustellen.
Vorsorge & Vermögen
Sie investieren alle Energie in den Erfolg Ihres Unternehmens? Dann sollten Sie sich auch etwas Zeit nehmen, um über Ihre Vorsorge nachzudenken!
Share