Das Wichtigste in Kürze

Hotels sind laut Mews-CEO Matt Welle und führenden Cybersecurity-Experten ein chronisch unterinvestiertes, aber hochattraktives Ziel für Cyberkriminelle. Gästedaten, Kreditkartennummern und Reisepläne liegen oft schlecht gesichert in alten PMS-Systemen. Passkeys, Single Sign-On und ein funktionierender Business-Continuity-Plan gehören heute zum Mindeststandard.

Warum Hotels ein bevorzugtes Angriffsziel sind

Ein mittelgroßes Hotel verarbeitet täglich Hunderte Kreditkartentransaktionen, speichert Ausweiskopien, Reisepläne und persönliche Vorlieben von Gästen – und das alles oft in Systemen, die seit zehn Jahren kein Sicherheits-Update gesehen haben. Genau das macht die Branche so attraktiv für Cyberkriminelle.

Matt Welle, CEO von Mews, bringt es direkt auf den Punkt: Hospitality ist ein hochattraktives Ziel mit vergleichsweise niedrigen Sicherheitsstandards. Die Kombination aus wertvollen Daten und zu geringen Investitionen in IT-Sicherheit ist ein strukturelles Problem der Branche – kein Einzelfall.

Warum Hoteldaten so wertvoll sind
  • Zahlungsdaten: Kreditkarten und Zahlungshistorien lassen sich direkt monetarisieren
  • Ausweiskopien: Pässe und Personalausweise ermöglichen Identitätsdiebstahl
  • Reisepläne: Wer wann wo ist – für gezielte physische oder digitale Angriffe nutzbar
  • Loyalitätspunkte: Hotel-Bonuspunkte werden auf Schwarzmärkten gehandelt
  • Unternehmensreisende: Firmen-Kreditkarten und Aufenthaltsdaten sind für Wirtschaftsspionage interessant

Die drei größten Schwachstellen im Hotelbetrieb

Alte Systeme ohne Patches

Viele Hotels laufen noch auf On-Premise-PMS-Systemen, die seit Jahren keine Sicherheits-Updates erhalten. Wer ein veraltetes System betreibt, öffnet Angreifern buchstäblich die Tür. Cloud-basierte Systeme wie Mews, Apaleo oder Oracle Opera Cloud haben hier strukturelle Vorteile: Patches werden zentral eingespielt, ohne dass ein lokaler IT-Dienstleister anrücken muss.

Schwache Passwort-Hygiene

Shared Logins für das PMS sind in der Hotellerie immer noch weit verbreitet – ein einzelnes kompromittiertes Passwort kann dann den Zugang zum gesamten System bedeuten. Single Sign-On (SSO) löst dieses Problem: Mitarbeitende authentifizieren sich einmalig sicher, alle Systeme hängen daran. Wer das Unternehmen verlässt, verliert mit einem Klick alle Zugänge.

Phishing gegen Front-Desk-Personal

Hoteliers bekommen täglich Dutzende E-Mails von Buchungsplattformen, Reisebüros und Gästen. Phishing-Mails sind in diesem Kontext besonders schwer zu erkennen. Ein einziger Klick auf einen manipulierten Link reicht aus, um Ransomware einzuschleusen – mit fatalen Folgen für den laufenden Betrieb.

Passkeys: Der Standard, auf den die Branche umsteigen sollte

Klassische Passwörter gelten unter Sicherheitsexperten längst als überholt. Passkeys ersetzen das Passwort durch kryptografische Schlüssel – der private Schlüssel verlässt das Gerät nie, Phishing läuft ins Leere. Große Technologieunternehmen wie Apple, Google und Microsoft unterstützen den Standard bereits flächendeckend.

Für Hotels bedeutet das konkret: Mitarbeitende melden sich per Fingerabdruck oder Gesichtserkennung an, ohne ein Passwort eingeben oder merken zu müssen. Das reduziert die Angriffsfläche erheblich – und senkt gleichzeitig den Support-Aufwand für vergessene Passwörter.

Tipp der Redaktion: Frag deinen PMS-Anbieter konkret, ob Passkey-Authentifizierung auf der Roadmap steht. Wer hier keine Antwort bekommt, sollte das als Warnsignal werten.

Business Continuity: Was passiert, wenn nichts mehr geht?

Ein Ransomware-Angriff legt nicht nur das PMS lahm – Check-in, Schlüsselkarten, Restaurantkassen, Housekeeping-Kommunikation: alles kann gleichzeitig ausfallen. Genau für diesen Fall braucht jedes Hotel einen Business-Continuity-Plan.

  • Offline-Prozesse für Check-in und Check-out definieren und dokumentieren
  • Notfallkontakte für PMS-Anbieter, IT-Dienstleister und Versicherung hinterlegen
  • Regelmäßige Backups – und testen, ob die Wiederherstellung tatsächlich funktioniert
  • Mitarbeitende in Phishing-Erkennung schulen (mind. 1× pro Jahr)
  • Klaren Eskalationspfad bei Sicherheitsvorfällen festlegen: Wer informiert wen, wann?
  • Cyber-Versicherung prüfen – viele Policen decken Ransomware-Schäden nur bei Nachweis von Mindest-Schutzmaßnahmen ab

SSO, MFA, Zero Trust: Was diese Begriffe für Hotels bedeuten

Authentifizierungs-Methoden im Vergleich
Klassisches Passwort
SSO + MFA
Passkey
Phishing-Risiko
HochEin Link reicht
Mittel2. Faktor schützt
Sehr geringKein Passwort, kein Angriff
Implementierungsaufwand
GeringSofort verfügbar
MittelEinmalige Einrichtung
MittelSystemunterstützung nötig
Empfehlung für Hotels
Nicht mehrAuslaufmodell
MindeststandardJetzt umsteigen
ZukunftsstandardJetzt evaluieren
Quelle: Einschätzung auf Basis allgemeiner Cybersecurity-Empfehlungen (NIST, BSI)

Zero Trust ist kein Produkt, sondern ein Prinzip: Kein Nutzer und kein Gerät bekommt automatisch Vertrauen – jeder Zugriff wird geprüft, unabhängig davon, ob er aus dem Hausnetzwerk oder von außen kommt. Für Hotels heißt das in der Praxis: separate Netzwerke für Gäste-WLAN und Betriebssysteme, rollenbasierte Zugriffsrechte im PMS und regelmäßige Audits, wer eigentlich auf was zugreifen kann.

Was Hoteliers konkret tun können – noch diese Woche

  1. Inventar anlegen: Welche Systeme haben Zugang zu Gästedaten? PMS, Channel Manager, CRM, Kassensystem – alles auflisten.
  2. Shared Logins identifizieren: Überall dort, wo mehrere Mitarbeitende dasselbe Passwort nutzen, sofort individuelle Zugänge einrichten.
  3. MFA aktivieren: Für alle Systeme, die es unterstützen – insbesondere E-Mail, PMS und Cloud-Speicher.
  4. Patch-Status prüfen: Wann hat das PMS zuletzt ein Sicherheits-Update erhalten? Beim Anbieter nachfragen, Dokumentation anfordern.
  5. Business-Continuity-Szenario durchspielen: Was macht das Team, wenn das PMS um 14 Uhr ausfällt und 30 Gäste einchecken wollen?

Cybersicherheit ist in der Hotellerie lange als IT-Thema abgetan worden, das irgendein Dienstleister schon regeln wird. Das stimmt nicht mehr – und war es eigentlich nie. Wer Gästedaten verarbeitet, trägt Verantwortung für deren Schutz. Die DSGVO setzt dafür rechtliche Mindeststandards, aber der eigentliche Treiber sollte das Vertrauen der Gäste sein: Ein Datenleck vergessen Gäste nicht so schnell wie eine kurze Wartezeit beim Check-in.

HÄUFIGE FRAGEN

Warum sind Hotels besonders attraktive Ziele für Cyberkriminelle?

Hotels verarbeiten täglich viele Kreditkartentransaktionen, speichern Ausweiskopien und Reisepläne, setzen aber oft veraltete Systeme ohne Sicherheits-Updates ein. Diese Kombination aus wertvollen Daten und niedrigen Sicherheitsstandards macht die Branche strukturell anfällig.

Was sind die drei größten Cybersecurity-Schwachstellen im Hotelbetrieb?

Alte PMS-Systeme ohne regelmäßige Sicherheits-Updates, schwache Passwort-Hygiene durch geteilte Logins und anfälligkeit gegenüber Phishing-Angriffen auf das Front-Desk-Personal, die zur Verbreitung von Ransomware führen können.

Was sind Passkeys und welche Vorteile bieten sie Hotels?

Passkeys ersetzen klassische Passwörter durch kryptografische Schlüssel und ermöglichen Authentifizierung per Fingerabdruck oder Gesichtserkennung. Sie reduzieren die Angriffsfläche erheblich, sind phishing-sicher und senken den Support-Aufwand für vergessene Passwörter.

Warum ist ein Business-Continuity-Plan für Hotels notwendig?

Ein Ransomware-Angriff kann das gesamte Hotelsystem lahmlegen – Check-in, Schlüsselkarten, Kassen und Housekeeping fallen gleichzeitig aus. Ein Business-Continuity-Plan mit Offline-Prozessen und regelmäßig getesteten Backups sichert den Notfallbetrieb.
Was denkst du? Schreib uns deine Meinung in die Kommentare — wir lesen jedes Feedback und antworten gern.
Kommentar schreiben →