IT Sicherheit im Hotel: Interview mit Tim Berghoff von G Data Software AG

Am 30. November 2018 veröffentlichte Marriott die Meldung, dass eine Datenbank für Hotelreservierungen gehackt wurde. Spiegel Online hat darüber im Artikel “Hotelkette Marriott meldet massives Datenleck” berichtet. Wie gefährlich und weitreichend Datenlecks sind, wird durch diesen Vorfall einmal mehr klar. Es sind bis zu 500 Millionen Kundendaten betroffen. Mein Interviewpartner hat zum Datenleck von Marriott einen Kommentar verfasst. Den findest du hier.

Unabhängig davon, habe ich bereits vor ein paar Wochen mit Tim Berghoff über IT Sicherheit im Hotel gesprochen. Wir sprechen in meiner 31. Podcast Episode unter anderem über drei Sofortmaßnahmen, die du ergreifen kannst und wie wichtig die Schulung der Mitarbeiter ist.

Cyber Kriminalität ist ein Geschäftsmodell. Wie du dich, dein Unternehmen, deine Mitarbieter und deine Gäste davor schützen kannst, erfährst du in dieser Folge. Und wenn du lieber liest, kommt hier der Artikel für dich!

Was macht G Data?

TB: Auf meiner Visitenkarte steht „G Data Software AG – Security Evangelist“. Ich wurde schon häufig gefragt, was das überhaupt bedeutet. Im Prinzip kann man es so übersetzen: Ich bin dafür da mit Menschen zu reden. Speziell über IT Security und die Dinge die dort momentan relevant sind und die in Zukunft relevant werden.

G Data bringen die Meisten in Verbindung mit Virenschutz und das ist auch nach wie vor richtig. G Data ist eines der ersten Unternehmen weltweit, wenn nicht sogar DAS erste Unternehmen, das einen kommerziell verfügbaren Schutz vor Computerviren rausgebracht hat. Das war damals Ende der Achziger auf dem Atari ST und das hat sich komplett durchgezogen bis heute in moderne IT Systeme, IT Netzwerke und auch die Rechner die bei den Leuten zuhause stehen bis hin zum Smartphone.

Was ist KRITIS?

VW: Auf eurer Website ist die Rede von KRITIS. Was ist das?

TB: Das wird ziemlich genau umrissen vom Amt für Bevölkerungsschutz und Katastrophenhilfe. Da gibt es einige Industriesektoren, die hierunter fallen. Dazu gehört der Bereich Energie, also alles was mit Elektrizität, Gas und Öl zu tun hat. Dazu gehört die öffentliche Wasserversorgung, Transportwesen, Schienenverkehr, Straßenverkehr, Logistik. Und natürlich auch Staat und Verwaltung und auch Ernährung.

Alle Unternehmen die in diesem Business tätig sind, fallen tendenziell unter die KRITIS, wenn sie eine bestimmte Größe überschreiten.

Was sind kritische Infrastrukturen?

TB: Eine kritische Infrastruktur ist eine Sache, die grundsätzlich erstmal wichtig ist für den Betrieb und die Funktion eines Landes oder Staates, damit das öffentliche Leben nicht zum Erliegen kommt. Zu kritischen Infrastrukturen gehören Elektrizitätswerke. Wenn plötzlich die Elektrizität nicht mehr vorhanden ist, dann haben wir alle ein großes Problem. Dann funktioniert so gut wir gar nichts mehr. Weder die Rechner, noch die Smartphones, noch Geräte zuhause oder Krankenhäuser. Das hat natürlich Auswirkungen.

Krankenhäuser, Versicherungen, Banken usw. bedürfen einer besonderen Absicherung.

Hotels gehören nicht zu den kritischen Infrastrukturen, sind aber genauso gefährdet!

VW: Ich hab jetzt nicht gehört, dass Hotels zu kritischen Infrastrukturen gehören. Das heißt, da ist das nicht so wichtig?

TB: Du hast vollkommen Recht. Hotels gehören zwar nicht zu den kritischen Infrastrukturen, das heißt aber nicht dass sich Hoteliers zurücklehnen sollten in Sachen IT Sicherheit.

Jedes Hotel hat Umgang mit Daten, die genauso gefährdet sein können, wenn sie in die falschen Hände geraten. Das kann für eine ganze Menge Ärger sorgen.

Einige haben sicherlich schon von dem Wort mit 5 Buchstaben gehört, die wahrscheinlich vielen schon zu den Ohren rauskommen.

VW: Die gute DSGVO… 😉

TB: Die DSGVO – die Datenschutzgrundverordnung – die man zusammenfassen kann unter der Überschrift „Best Practices im Bereich IT Sicherheit“. Die Anforderungen sind überall die gleichen.

Zum Beispiel, dass die Daten mit denen Unternehmen umgehen, immer

  1. vollständig sind
  2. verfügbar sind
  3. und dass sie Integrität haben

Das heißt, dass sie nicht verändert worden sind. Die Daten sollen vertraulich sein, das heißt es soll kein Außenstehender Zugriff auf diese Daten bekommen.

Die Daten sollen verfügbar sein, denn wenn wir Daten zwar haben, aber nicht darauf zugreifen können, können wir auch nicht mit ihnen arbeiten. Wenn wir nicht damit arbeiten können, haben wir ein Problem.

Die Daten müssen eben so verarbeitet werden, dass sie nicht unbeabsichtigt manipuliert werden können.

Das sind so die 3 Säulen auf denen IT-Sicherheit im Wesentlichen steht.

Das ist eine Konstante, wie sie sich durch alle Geschäftszweige durchziehen. Egal ob das jetzt unter die kritische Infrastrukturen fallen oder nicht.

Zwei Grundsätze für IT Sicherheit im Hotel, Minute 05:00

VW: Welche Gefahren bestehen denn im Hotel? Ich denke zum Beispiel an das Gäste-WLAN.

TB: Grundsätzlich gibt es 2 Dinge, die Hoteliers auf dem Schirm haben müssen.
Erstmal die eigentlichen IT des Hotels. Das heißt, die Rechner an der Rezeption und in der Verwaltung. Die sollten sich in einem isolierten und geschlossenen Netz befinden und keine Berührung mit dem Gäste-WLAN haben.

Denn es kann nicht im Sinne des Hoteliers sein, dass ein Gast auf Rechner der Geschäftsführung zugreift. Es ist ganz wichtig, das konsequent durchzuziehen. Das ist der erste ganz wichtige Punkt und das machen ganz viele Hotels schon so.
Das heißt es muss sauber getrennt sein.

Was die Gefahren angeht die innerhalb dieser Netzwerke lauern, darüber könnten wir uns sehr, sehr lange unterhalten und würde vermutlich nicht fertig werden.

Grundsätzlich gibt es ein paar Klassiker, die in jedem Netzwerk, egal ob zuhause oder im Hotel, gleich sind. Nämlich dass Außenstehende versuchen könnten auf Informationen zuzugreifen.

Das passiert häufig über das sogenannte „Social Engineering“. Das heißt jemand versucht einen anderen Menschen, der zum Beispiel eine E-Mail bekommt, so zu beeinflussen, dass er Daten preisgibt, die er sonst für sich behalten würde.

Das hat jeder schon mal im Spam-Ordner gesehen. Da kommen irgendwelche Bestellbestätigungen oder Warnungen von einem Zahlungsdienstleister, dass man doch bitte ganz schnell seine Zahlungsdaten bestätigen soll.
Über einen Link soll man die Ausweisnummer, Kreditkartendaten, Name, Adresse usw. eingeben.

Das ist im Prinzip genau das, was in vielen Fällen die Hauptgefahr darstellt. Das ist unabhängig davon ob das ein Gast eine E-Mail öffnet oder jemand in der Hotelverwaltung oder an der Rezeption. Das ist universell.

Schadsoftware im Gäste-WLAN

VW: Das heißt, wenn ein Gast im Hotel-WLAN eingeloggt ist und die Schadsoftware öffnet, dann ist das Hotel-WLAN betroffen?

TB: Das kommt jetzt auf die Schadsoftware an. Das wäre natürlich das Worst Case Szenario und gehört eher zu den Ausnahmen, gerade wenn es im Gäste-WLAN passiert.

Grundsätzlich, wenn wir von einem Verwaltungsnetz sprechen, kann das durchaus passieren. Das hat es in der Vergangenheit auch schon gegeben, dass sich eine Schadsoftware im Netzwerk verbreitet hat. Erst unbemerkt und dann relativ auffällig.

Dann hat man plötzlich am Rechner gesessen und die Angestellten konnten nicht mehr arbeiten, weil wichtige Daten plötzlich verschlüsselt waren.

VW: Das hab ich selbst schon miterlebt. Aber greifen die dann Daten ab oder verschlüsseln sie sie „nur“?

TB: Denkbar ist beides. Dass Daten gesperrt und verschlüsselt werden ist der Regelfall. Auf die Daten kann man als Nutzer nicht mehr zugreifen und sind erst mal weg.

Viele vertrauen darauf, dass wenn sie eine Zahlung leisten, die Daten wieder bekommen.

Da gibt es allerdings 2 Sachen zu bedenken:

  1. Es gibt keine Sicherheit, dass man die Daten wirklich wieder bekommt. Also wenn du eine Zahlung über X Bitcoin wirklich leisten, kann es sein, dass du dafür nichts bekommst. Wenn du die Zahlung leistest, spielst du auf Risiko. Diese Sicherheit gibt es nicht.
  2. Wenn du eine Zahlung leistest, dann gibt das keine Garantie, dass dir das nicht nächste Woche oder in einem halben wieder passiert. Solange Leute dafür bezahlen, unterstützen sie dieses Geschäftsmodell.

Cyber Erpressung ist ein Geschäftsmodell

VW: Man hört ja immer wieder davon oder liest es in den Medien, dass sowas passiert. Aber irgendwie höre ich nie, dass da mal einer geschnappt wird. Was sind das für Typen?

TB: Ein Bild, dass von den Medien da immer sehr gerne gezeigt wird und das mir langsam zum Hals raushängt, ist der Mensch mit dem Kapuzenpulli der in einem dunklen Keller sitzt. Das war vielleicht mal so und ich will nicht bestreiten, dass es die immer noch gibt.

Diese Kriminalität ist ein Geschäftsmodell und damit wird tatsächlich richtig viel Geld verdient. Wir reden hier von 3-stelligen Milliardenbeträgen pro Jahr!

Das sind in der Regel Leute die im Prinzip morgens ganz normal ins Büro gehen und die würden dir auf der Straße nicht auffallen. Die gehen strafbewährten Tätigkeiten nach, nämlich Erpressung und Betrug.

Das Thema erspresserische E-Mail behandelt Tim in einem Artikel auf dem G Data Security Blog veröffentlicht: “Mail der Woche: Porn Scam und gesprengte Konten”

Zur IT Sicherheit gehört in erster Linie der Faktor Mensch, Minute 13:00

VW: Auf eurer Website steht „Echter Schutz Cyber Kriminalität“. Auch wenn es jetzt technisch wird: Wie macht man sowas? Wie schützt man sich davor?

TB: Grundsätzlich hast du Recht ganz ohne Technik kommt man nicht aus.

Technik ist aber bei Weitem nicht alles. Das ist so ein Missverständnis, das in den letzten Jahren und Jahrzehnten immer weiter aufgekommen ist. Das viele sich Zuhause hinsetzen und sagen, so ich hab mir jetzt ein Sicherheitspaket gekauft und installiert, jetzt bin ich fertig und brauche nichts weiter tun.

Das wurde soweit getrieben, dass viele – flapsig formuliert – das Gehirn ausgeschaltet haben und einfach blind darauf klicken. So einfach ist es nicht und auch nicht zielführend.

Eine Sicherheitssoftware zu installieren ist mit Sicherheit ein wichtiger Bestandteil der eigenen Sicherheitsstrategie, aber eben nicht alles.

Und wenn wir in den Geschäftsbereich reingehen, dann finden wir unglaublich viele Facetten von IT Sicherheit, die aber überhaupt nichts mit Technik zu tun haben.

Da gehören ganz einfache Sachen dazu:

  • Wie gehe ich mit Leuten um die vor der Rezeption stehen, die ich nicht kenne und die behaupten einen Termin mit irgendjemand zu haben? Oder die behaupten, sie müssten an irgendwelche Schaltschränke.
  • Wie gehe ich mit einer E-Mail um, in der eine angebliche Mahnung als PDF im Anhang eingeht?
  • Wem muss ich überhaupt Bescheid sagen, wenn irgendwas passiert ist?

Das heißt, es geht um organisatorische Sachen, die mit der Technik selbst gar nichts zu tun haben. Das gehört genauso dazu, wie eine Sicherheitssoftware zu installieren.

Notfallplan: Der Effekt vom Türschlossenteiser im Handschuhfach, Minute 15:00

VW: Das heißt, der Faktor Mensch spielt eine ganz große Rolle. Und es sollte einen Notfallplan geben in dem steht, wie vorgegangen werden muss, wenn etwas passiert.

TB: Vollkommen richtig.

Einen Notfallplan sollte jedes Unternehmen haben, egal ob es jetzt ein großes Hotel ist oder ein kleiner mittelständischer Betrieb. Ein Notfallplan ist Pflicht!

Viele lassen sich auch für „IT Zwischenfälle“ versichern. Da möchte die Versicherung in der Regel einen Notfallplan sehen.

Dieser Notfallplan muss auch für alle zugänglich sein. Das heißt der Plan sollte gedruckt vorliegen. Denn ein Notfallplan der als PDF auf einem gesperrten Rechner liegt, bringt wenig. Das ist der Effekt von Türschlossenteiser im Handschuhfach…

Darin ist auch ganz genau geregelt,

  • wer
  • wann
  • und in welchem Fall

Ansprechpartner ist. Egal ob das mitten in der Woche ist, im Hochbetrieb oder freitags nachmittags um 15 Uhr.

umsetzen können und darin ist auch ganz

Ein Notfallplan ist eine unglaublich wichtige Komponente in der eigenen IT Sicherheitsstrategie. Den sollte jedes Unternehmen regelmäßig neu anschauen.
Ein Plan der einmal entworfen wird und dann die nächsten 5 Jahre in der Schublade liegt, wird einen im Ernstfall nicht weiterbringen. Vermutlich ist er dann nicht mehr aktuell oder die Anforderungen haben sich geändert und vielleicht haben auch die Ansprechpartner gewechselt.

Was gehört zu einer IT Sicherheitsstrategie? Minute 17:00

VW: Du hast gerade die IT Sicherheitsstrategie genannt. Was gehört neben der Sicherheitssoftware und dem Notfallplan noch dazu?

TB: Da gehört erst mal eine grundsätzliche Bestandsaufnahme mit dazu. Denn jedes Hotel hat unterschiedliche und individuelle Anforderungen und die müssen erst mal geklärt werden. Es gibt nirgendwo auf der Welt einen universellen Plan, den irgendjemand aus dem Regal nimmt und der überall einsetzbar ist. So einfach ist es leider nicht.

Das heißt, am Anfang steht eine Bestandsaufnahme und zwar von allem was irgendwo relevant für die IT Sicherheit ist.

Dazu gehören

  • die Systeme, die im Netzwerk hängen
  • Prozesse, die im Unternehmen umgesetzt werden
  • Benutzerberechtigungen
  • welche Benutzer gibt es überhaupt?

Eine Sache die wir relativ häufig beobachten ist dass Angreifer versuchen sich Zugriff auf Benutzerkonten zu verschaffen, die möglichst weitreichende Rechte haben. Beliebte Ziele sind Benutzerkonten von Mitarbeitern aus leitenden Positionen.

Eine weitere wichtige Sache ist die Antwort auf die Frage:

Wo liegen eigentlich die Daten, die mir als Hotelier und Unternehmer schaden zufügen können, wenn die in die falschen Hände geraten?

  • Wo liegen meine Zahlungsdaten?
  • Wo liegen Rechnungsdaten?
  • Wo liegen persönliche Daten von Kunden?

Wenn ich nicht weiß, wo meine wichtigen und kritischen Daten liegen, dann brauch ich mir über Virenschutz, Firewalls und Notfallpläne keine Gedanken machen. Wenn ich nicht weiß, was ich überhaupt schützen will.

Diese Bestandsaufnahme muss immer an erster Stelle stehen. Das ist in vielen Fällen auch schon eine Herausforderung. Gerade wenn man es mit Strukturen zu tun hat, die historisch gewachsen sind.

Nicht nur Benutzer mit weitreichenden Berechtigungen sind gefährdet. Manchmal sind ganze Abteilungen betroffen: “Professionelle Ransomware-Kampagne greift Personalabteilungen mit Bewerbungen an”

3 Tipps oder Sofortmaßnahmen für deine IT Sicherheit im Hotel, Minute 19:30

VW: Hast du drei Tipps, die die Hörer oder Leser, direkt umsetzen können?

TB: Auch da gibt es keine universelle Antwort. Eine Sofortmaßnahme die jeder mal ergreifen ist sich folgendes zu fragen:

Wen kann ich, genau in diesem Moment, wo ich jetzt diesen Podcast höre oder den Artikel lese, wen kann ich anrufen, wenn mein Rechner plötzlich von irgendeiner Schadsoftware befallen oder ein System ausgefallen ist?

Es ist Sonntag Mittag, du hörst den Podcast oder liest den Artikel:

Wen kannst du genau in diesem Moment anrufen?
Wie erreichst du diese Person?

Wenn du jetzt erst mal ein großes Fragezeichen im Gesicht hast, ist das zumindest schon mal ein Indikator dafür, dass du da mal einen genaueren Blick draufwerfen solltest.

Ein weiterer Schritt, den jeder mal gehen kann ist ins Hotel und schauen; gibt es irgendwo ein sogenannten Policy Dokument? Das heißt, gibt es eine eindeutig festgelegte Regelung was Mitarbeiter mit den Firmen-PCs tun dürfen und was eben nicht? Wenn es ein solches Dokument nicht gibt, dann ist es höchste Zeit ein solches mal anzufertigen. Auch hier können wir von G Data Hilfestellung leisten.

Wenn es ein solches Dokument gibt, dann schau bitte mal aufs Datum. Ist das Dokument älter als ein Jahr, dann sollte das auch nochmal überprüft werden.
Haben sich die Anforderungen geändert?

Viel passiert über den Faktor Mensch und psychologischem Druck

TB: Und Tipp Nummer 3, weil aller guten Dinge sind ja 3.

Jemand der versucht über E-Mail an Unternehmens – oder Kundendaten heranzukommen, der versucht das in der Regel über Druck, Angst und Verunsicherung. Das heißt, wenn irgendwo eine E-Mail eintrifft, die sehr eindringlich davor warnt, dass irgendwelche negativen Konsequenzen eintreten, z.B. eine Abmahnung, ein Gerichtsverfahren oder eine Sperrung des Bankkontos oder ähnliches, ist das ein Alarmzeichen. Denn wenn es um solche Daten geht, dann gab es in der Regel vorher Schriftverkehr.

Oftmals wird in solchen E-Mails der Druck noch erhöht, indem ein Countdown eingeblendet wird. Dann heißt es „wenn Sie nicht innerhalb von zwei Tagen, zwei Stunden, dann passieren….“ ganz schreckliche Dinge.

Das ist einfach nur ein Trick um den psychologischen Druck auf den Anwender zu erhöhen. Und wenn es darum geht ein Bankkonto zu sperren, wird keine seriöse Bank das jemals über E-Mail mitteilen.
Egal welche Anhänge in dieser E-Mail dabei sind und egal wie eindringlich der Text ist: Du solltest auf keinen Fall auf den Link klicken. Im Zweifelsfall zum Telefon greifen, bei der Bank anrufen und sich die E-Mail bestätigen lassen.

Das bedeutet: Auf keinen Fall dem Druck nachgeben.
In den seltensten Fällen sind solche Sache wirklich so kritisch, dass es solche E-Mail rechtfertigt. Ich würde soweit gehen und sagen, dass kommt nie vor.

VW: Wenn ich so eine E-Mail erhalten würde, da wird es einem erst mal heiß und kalt gleichzeitig. Und wenn ich mir überlege, dass sowas an der Rezeption passiert oder in der Reservierung, wo nicht die Geschäftsleitung sitzt, sondern Mitarbeiter die ihre E-Mails so gut es geht und so schnell wie möglich zu beantworten wollen, dann sehe ich da eine große Gefahr. Gleichzeitig finde ich muss in Richtung IT Sicherheit viel mehr geschult werden.

TB: Auf jeden Fall. Gerade die Leute, die an der Rezeption stehen und die tagtäglich den Umgang mit Gästen haben und ganz viele andere Sachen zu tun haben, sind da „gefährdet“. Und ich will mich selbst auch nicht davon freisprechen, dass ich nicht auch irgendwann auf einen Mailanhang klicke, auf den ich besser nicht geklickt hätte.

Bei der Behandlung solcher E-Mails, im Zweifelsfall einfach nochmal drüber nachdenken und schauen ist das legitim was da passiert? Ich weiß, das ist im Alltag nicht immer einfach, wenn 20 – 30 Leute vor einem in der Schlange stehen, dann schau ich vielleicht nicht so genau hin.

In so einem Fall, das ganze nochmal zurückstellen. Denn wenn es darum geht Druck aufzubauen, dann setzt der Angreifer darauf, das das logische Denken ausgeschaltet wird. Für einen ganz kurzen Moment.

100 % Sicherheit gibt es nicht und mit einem gewissen Risiko muss man leben können

Aber auch Gäste können dem Mitarbeiter an der Rezeption etwas geben. Ich hab das auch selbst schon erlebt und auch schon gemacht. Ich hab an der Rezeption nachgefragt, ob die meine Bordkarte ausdrucken können. Die hab ich per E-Mail gesendet. Wenn ich als Gast vor dem Mitarbeiter stehe, dann es für den schwierig zu sagen, nein macht er nicht. Oder auch USB Sticks. Manche bringen das Ticket auf einem USB Stick mit und wollen das dann ausgedruckt haben.

Hotels leben natürlich von diesem Service und dem Gedanken den Gäste wo immer es geht zu helfen und wie es immer so schön heißt „die Extrameile zu gehen“.

Gerade aber wenn es um Rechner geht, der im Netzwerk der Verwaltung hängt ist das keine gute Idee, dort einen fremden USB Stick anzubringen. Effektiv erhält der Mitarbeiter oder Hotelier das ja von einem Fremden.
Unter Sicherheitsgesichtspunkten ist das nicht klug.

Die Alternative wäre ein Computer und ein Drucker in der Lobby. Das wird ja auch schon angeboten. Denn das Thema Wechselmedien ist ein großes, gerade da wo täglich Leute ein und aus gehen.

VW: Du hast jetzt von Einzelreisenden gesprochen, die ihre Bordkarte ausdrucken wollen. Ich denke da noch an Tagungshotels, die vom Referent einen USB Stick bekommen und da 50 Skripte für die Tagungsteilnehmer ausdrucken sollen. Gerne in Farbe oder schwarz-weiß oder wie auch immer. Gibt es denn die Möglichkeit, so einen fremden USB-Stick prüfen zu lassen?

TB: Das gibt es in einigen Programmen. Die gibt es auch bei G Data in der Software. Da kommt dann so ein kleines Pop-up auf den Bildschirm. „Ich habe ein Wechselmedium gefunden, möchtest du das erst mal scannen?“
Das braucht natürlich – je nach Größe der Datei – eine Weile bis der Scan durch ist.
Und dann ist die Gefahr groß, dass gerade im Tagungshotel, wenn viel los ist, dafür keine Zeit ist. Dann ist die Versuchung groß, das einfach abzukürzen.

VW: Ja, das stimmt. IT Sicherheit ist ganz viel Schulungsarbeit in den Hotels.

TB: Ja das ist so. Schulungsarbeit ist wichtig und darf nicht vernachlässigt werden. Allerdings sollte man realistisch bleiben. Die 100 % was Sicherheit angeht, wird man nicht erreichen. Mit einem gewissen Risiko muss man leben können.

Social Media und Mitarbeiter als Influencer in der IT Sicherheit im Hotel

VW: In meinem Podcast und auf meinem Blog hab ich schon mehrfach über Social Media gesprochen und geschrieben. Dabei ging auch schon im Influencer Marketing und dass Mitarbeiter zu Markenbotschaftern werden sollten.

Wie kritisch ist der Zugriff von Unternehmens-Computern auf soziale Netzwerke?

TB: Das ist auch wieder eine Sache die zwei Seiten hat. Auf der einen Seite den Mitarbeiter zum Botschafter machen und das Image des Hotels aufzuwerten. Das ist durchaus ein berechtigtes Interesse und das ist nachvollziehbar. Insofern wäre es sinnvoll den Zugriff auf die sozialen Netzwerke zuzulassen.

Die Frage ist halt: Muss das unbedingt vom Unternehmens-PC aus sein?
Auf soziale Netzwerke kann der Mitarbeiter genauso gut über das private Smartphone zugreifen. Das liegt natürlich im Ermessen des Hoteliers und ist eine unternehmerische Entscheidung.

Denn auf der anderen Seite ist ein soziales Netzwerk auch eine ganz normale andere Website und birgt Risiken. Es gab in der Vergangenheit schon Fälle wie Schadsoftware über fingierte Meldungen, zum Beispiel dem Facebook Messenger, verbreiten worden ist. Wenn das an einem Unternehmens-PC geöffnet wird, ist das ganz sicher nicht im Sinne des Unternehmers.

Es gibt die Möglichkeit, dass Nutzer nur auf ganz bestimmte Webseiten zugreifen dürfen. Das kann man mit einer entsprechenden Software reglementieren. Zudem kann man dort den Zugriff noch beschränken. Das geht dann zum Beispiel nur zu gewissen Uhrzeiten.

Surfverhalten aufzeichnen?

VW: Das heißt, wäre es auch möglich das Nutzungsverhalten an den PCs aufzuzeichnen? Also welcher PC sich zu welcher Zeit auf welcher Website befunden hat?

TB: Da gibt es bestimmt Lösungen am Markt. Allerdings ist es gerade in Deutschland unter Datenschutzgesichtspunkten bedenklich.

Wenn wir die G Data Software als Maßstab nimmt, da wird das nicht mitgeloggt. Das heißt, selbst wenn jemand auf eine bestimmte Seite geht, die freigegeben ist, findet keine Aufzeichnung statt. Wenn die Website allerdings zu einer Kategorie gehört, die nicht im Sinne des Unternehmens ist und gesperrt worden ist, zum Beispiel Dating-Webseiten, dann bekommt der Nutzer einen Hinweis. „Lieber Nutzer, diese Website ist gesperrt.“

Ein Administrator kann natürlich auch sagen, dass der Benutzer eine Freigabe-Anforderung senden kann für eine bestimmte Website. Wird eine solche Freigabe-Aufforderung gemacht, dann findet tatsächlich eine Protokollierung statt. Sonst nicht.

VW: Also in der IT Sicherheit gibt es viel zu beachten. Es gibt aber Möglichkeiten sich davor zu schützen, zumindest zu 99,9999… Prozent auf jeden Fall. Vielen Dank Tim für das sehr interessante und informative Gespräch.

TB: Immer gerne!

Tschüss!

Kommentar von Tim Berghoff zum Datenleck bei Marriott

Das Datenleck bei der Marriott—Gruppe ist das zweitgrößte Datenleck der jüngeren Geschichte. Nur die Panne bei Yahoo war noch größer. Noch sind nicht alle Details geklärt. Sicher ist bisher nur, dass verschlüsselte Reservierungsdaten aus einem der Systeme von Unbekannten abgerufen wurden. Dazu gehören Daten wie Namen, Adressen, Reisepass-Nummern, Mailadressen, Geburtsdaten sowie die Reservierungsdaten.

Wie bei jedem Vorfall dieser Art ist auch diese Datenschutzpanne nicht „über Nacht“ passiert. Bereits 2014 sollen Unbefugte Zugriff auf die Daten gehabt haben. Ereignisse dieser Art sind aber nur sehr selten das Ergebnis des Versagens einer einzelnen Sicherheitsmaßnahme.

In der Regel hat bereits eine ganze Reihe von Absicherungen versagt, bevor es zum Datenleck kam. So wurden bereits 2014 einige Systeme kompromittiert. Unter anderem war ein zu schwaches Passwort in einer Cloudplattform die Ursache wie auch eine Sicherheitslücke auf der Webseite. Auch das Bezahlsystem wurde erfolgreich angegriffen.

Über die Gründe dafür, warum das vier Jahre lang scheinbar niemand gemerkt hat, kann man derzeit nur spekulieren, da die Untersuchungen dazu gerade erst anlaufen. Für definitive Aussagen ist es zum Zeitpunkt dieses Interviews noch zu früh.
Das angegriffene Unternehmen, Starwood, ist 2015 von der Marriott Group aufgekauft worden.

Derzeit erfährt die Marriott-Gruppe teils harsche Kritik von Sicherheitsexperten, die die augenscheinlich schleppende Handlungsweise des Unternehmens in dieser Krise monieren. Dieser Vorfall zeigt jedoch wieder einmal deutlich, dass sich Angreifer sehr lange ungestört in einem Netzwerk bewegen können, wenn sie es einmal erfolgreich infiltriert haben.

Wir stehen zu diesem Thema derzeit auch in Kontakt mit einigen Landesdatenschutzbehörden. Die Zuständigkeiten sind hier noch nicht eindeutig geklärt. Lies dazu auch den Blogartikel  “Zuständigkeitschaos beim Datenschutz: Wer ist verantwortlich für Marriott?” auf dem G Data Security Blog.

Reisende, die möglicherweise betroffen sind, sollten sicherheitshalber ihre Konto- und Kreditkartenauszüge sorgfältig auf verdächtige Transaktionen prüfen. Eine Sprecherin der Marriott-Gruppe, mit der wir in Kontakt stehen, gab zu verstehen, dass bisher noch unklar ist, ob und in welchem Umfang Reisende aus Deutschland von der Datenschutzpanne betroffen sind.

Leseempfehlungen auf dem G Data Security Blog

“BSI-Lagebericht: Malware weiterhin größte Bedrohung für Unternehmen”

“Hardware-Hacks: Phishing und Malware funktionieren immer noch am besten”

[blue_box]

Welche Maßnahmen ergreifst du in Sachen IT Sicherheit?

Schreibe deine Antwort in die Kommentare unter diesem Beitrag!
[/blue_box]

Über Interviewpartner: Tim Berghoff, Security Evangelist bei G Data Software AG

IT Sicherheit im Hotel: Interview mit Tim Berghoff von G Data Software AG

Tim Berghoff begann seine Laufbahn bei der G DATA Software AG, neben dem Studium. Zu den von ihm betreuten Kunden zählten diverse nationale und internationale Unternehmen und öffentliche Einrichtungen. Auch die Begleitung größerer Projekte sowie Schulungen vor Ort gehörten hier zu seinen Aufgaben – ob Troubleshooting in einer italienischen Großklinik oder im Rahmen von Vorträgen auf IT-Messen in den USA oder auf den Philippinen.

Die dort gemachten Erfahrungen nutzt er nun, um als “Security Evangelist” in Vorträgen und Online-Artikeln aktuelle Entwicklungen und Bedrohungen in einen praxisrelevanten Kontext einzuordnen. Auch TV-Interviews gehören nun zum Alltag des IT-Quereinsteigers, der ursprünglich Anglistik und alte Sprachen studierte. Die IT-Security entpuppte sich für ihn als spannendes Thema, das ihn seit Jahren nicht loslässt. “Es wird einfach nie langweilig und es gibt immer etwas Neues zu lernen. Was IT-Sicherheit angeht, leben wir in interessanten Zeiten.”, so Berghoff.

author avatar
Valerie Wagner Journalistin & Podcasterin
… und ich bin leidenschaftliche Podcasterin und Journalistin. Ich hoste vier Podcast-Sendungen. Zwei produziere und hoste ich selbst: Die Podcast-Reportage ist ein Interview-Podcast in dem ich mit interessanten Menschen und Experten spreche. Im Text & Podcast Podcast zeige ich dir wie du einen Podcast startest und dran bleibst. Im Format Follows Story Podcast den ich mit Heike Stiegler co-hoste, geht’s um Geschichten. Und im Die Büchestaplerinnen-Podcast spreche ich regelmäßig mit Antje Tomfohrde über Bücher. Außerdem schreibe ich journalistische Texte für Magazine und bin Mitglied im Redaktionsteam des DFJV-Podcasts.

Folge mir auf:


Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert