Wirtschaft

Hotel-Check: Null Sterne für den Datenschutz

Beim Thema Datenschutz stellt es vielen Hoteliers die Nackenhaare auf. Speziell mit Blick auf Großbritannien. Die britische Datenschutzbehörde will der Hotelkette Marriott ein Bußgeld von 110 Millionen Euro aufbrummen. Wegen eines Datenlecks, durch das angeblich mehr als 300 Millionen Kundendaten – von Namen und eMail-Adressen bis zu Kontoinformationen – gestohlen wurden. Damit statuiert die Behörde ein Exempel, sagt Gilbert Wondracek von der Beratungsfirma Deloitte. Firmen sollen besser auf Kundendaten aufpassen. Jenen, die das nicht tun, drohen Strafen von bis zu vier Prozent des Jahresumsatzes. Laut Datenschutzgrundverordnung (DSGVO) auch in Österreich.

Im digitalen Reisezeitalter hat sich das Problem von Cyber-Angriffen verschärft. 2018 gab es 19.627 Cybercrime-Anzeigen in Österreich, sechsmal mehr als vor zehn Jahren. Die Dunkelziffer ist weit höher. Betroffen sind immer öfter auch Hoteliers.

Deloitte hat nun 54 Hotels in Österreich auf ihre Datensicherheit geprüft. Das Ergebnis ist ernüchternd. Unter den Mitarbeitern gebe es schlicht kein Bewusstsein für das Thema, sagt Wondracek. Kopien von Reisepässen und Kreditkarten würden offen an der Rezeption liegen, Passwörter für das Buchungssystem oft nur aus einem Buchstaben bestehen. Und das, obwohl Vermieter auf erstaunlichen Daten sitzen. Wondracek: „Durch die Kundenbindungsprogramme wissen viele selbst über Hobbys, bevorzugte Sportarten und das Alter der Kinder Bescheid.“ Manche Hotels speichern bei Hochzeiten sogar, wie die Tischdeko aussieht. Zum ersten Hochzeitstag bekommt das Paar dann ein Paket mit Dinner samt passender Deko angeboten.

Per Trojaner zu Bitcoin

Blöd nur, wenn der Betrieb gehackt wird und ein Trojaner das Buchungssystem lahmlegt. Wondracek: „Oft werden die Opfer dann aufgefordert, über Bitcoin einen Betrag von 500 Euro zu zahlen.“ Als kleines Service steht im Erpresser-Mail auch gleich, wie man Schritt für Schritt mit Bitcoins zahlt. „Viele zahlen, was freilich keine Lösung ist.“ Die Erpresser haben meist schon eine Schadsoftware im Hintergrund laufen – für den nächsten Erpressungsversuch.

Experten raten unter anderem, einen IT-Notfallplan zu erstellen, der Kontaktdaten zu Dienstleistern enthält. Passwörter (mindestens acht Buchstaben) sollten regelmäßig geändert, sicherheitsrelevante Updates zeitnah installiert werden.