Cyberattacken können jeden treffen

Datenschutz in der Tourismusbranche

Wer in der Tourismusbranche arbeitet, hat es täglich mit sensiblen Kunden- oder Mitarbeiterdaten zu tun. Die steigende Komplexität der Abrechnungsprozesse hatte unlängst zur Folge, dass volldigitalisierte Systeme im Arbeitsalltag unverzichtbar wurden. Insofern ist es von größter Wichtigkeit, dass die hausinterne IT zuverlässig funktioniert. Doch was passiert, wenn Fehler auftreten oder das System komplett lahm liegt? Die meisten Nutzer wissen kaum über die potenziellen Cyber-Gefahren bescheid. Wer sich und seinen Betrieb schützen möchte, muss sich ausführlich informieren.

Kundendaten
Bankdaten
Buchhaltung
Partner- und Mitarbeiterdaten

Für diese Zweige der Tourismusbranche ist Cybersicherheit besonders wichtig:

Stadttourismus, Kulturtourismus, Reiseveranstalter, Tourismus im In- und Ausland, Sporttourismus, Wellness-Tourismus, Reisevermittler, Rundreisen, Individualtourismus, Abenteuertourismus u. v. m.

Viren, Malware und Co. – diese Gefahren können auch Sie treffen

Cybergefahren in der Tourismusbranche

Mittlerweile gehören Cyberattacken zum deutschen Arbeitsalltag. Hacker entdecken immer wieder neue Wege, um sich Zugang zu IT-Systemen zu verschaffen – gerade, wenn es um den Diebstahl sensibler Daten geht. Vor allem in der Tourismusbranche wird viel mit personenbezogenen Daten gearbeitet, die unbedingt vertraulich behandelt werden müssen. Deswegen ist es wichtig, sich über die möglichen Gefahren zu informieren.

Der Hackerangriff und das organisierte Verbrechen

Die Annahme, dass Ihr Tourismusbüro zu klein oder zu „unbedeutend“ ist, um von einem Cyberangriff getroffen zu werden, kann zu einem teuren Irrtum werden: Gerade in der Tourismusbranche prozessieren Sie tagtäglich Daten, die für Cyberkriminelle von größtem Wert sind. Die Beweggründe für eine Cyberattacke können dabei äußerst unterschiedlich ausfallen – dazu zählen zum Beispiel der Bankdatendiebstahl, Spionage oder Erpressung.

Datenschutz- oder Sicherheitsverletzung

Es sind nicht nur Hacker, die Ihrem Unternehmen gefährlich werden können: Wenn Ihr Tourismusbetrieb bestimmte Vorschriften nicht oder nur ungenügend umsetzt, kann dies zu Lücken im IT-System führen, die unter Umständen strafrechtliche Konsequenzen nach sich ziehen können. Ein aktuelles Beispiel ist die noch relativ neue Datenschutzgrundverordnung: Viele Tourismusbüros scheitern daran, die Vorschriften zum Umgang mit personenbezogenen Daten richtig umzusetzen. Damit riskiert man nicht nur die eigene IT-Sicherheit, sondern auch Schadensersatzansprüche, die aus einer Verletzung der Informationssicherheit resultieren können.

Malware

Als Malware bezeichnet man eine bösartige (englisch: malicious) Software, die programmiert wurde, um Computern, Smartphones und Tablets zu schaden. Dazu werden unter anderem Viren, Trojaner oder Spywares eingesetzt. Das perfide an dieser Schadsoftware: Der Befall eines Systems bleibt in den meisten Fällen vom Nutzer unbemerkt. Dadurch kann sich die „Infektion“ im Computernetzwerk ausbreiten und große Schäden anrichten. Gerade in der Tourismusbranche kann dies schwere Folgen haben, da Malwares sensible Daten stehlen oder zerstören können.

Fehler oder Täuschung von Mitarbeitern

Das eigene Unternehmen vor externen Faktoren zu schützen ist sehr wichtig. Doch zahlreiche Studien (Bitkom, BSI u. a.) belegen, dass die größten Sicherheitsrisiken aus dem eigenen Haus stammen: Ob es sich dabei um ahnungslose Mitarbeiter handelt, die auf eine Phishing-Mail hereinfallen oder um eine bewusste Tat (z. B. Datendiebstahl durch Angestellte): Der Zugang zur hausinternen IT wird den Kriminellen oft von innen ermöglicht.

Auf einen Blick

Hackerangriff/
organisiertes Verbrechen

  • Erpressung
  • Cyber-Diebstahl

Datenschutz- oder Sicherheitsverletzung

  • Verletzung der Datenschutzgesetze (bspw. DSGVO)
  • Schadensersatzansprüche nach einer Verletzung der Informationssicherheit

Malware

  • Komplexe Schadprogramme (z.B. Petya, WannaCry)

Fehler oder Täuschung durch Mitarbeiter

  • Verletzung der Netzwerksicherheit
  • Datenklau
  • Datenweitergabe
  • Sabotage

Unternehmen im Cyber-Check

5 Tipps für mehr IT-Sicherheit

Cybergefahren lauern fast an jeder Ecke. Ob beim täglichen Abrufen der Mails, dem Download eines neuen Programms oder nach dem Besuch einer dubiosen Website: Hacker haben es in den meisten Fällen erschreckend einfach, ein System zu infiltrieren. Wenn Sie die folgenden Tipps umsetzen, können Sie die IT-Sicherheit Ihres Betriebs selbst mit einem kleinen Budget deutlich erhöhen:

1 Cybersicherheit ist Chefsache

Cybersecurity erfordert einen ganzheitlichen Ansatz: Der Büroleiter bzw. die Büroleiterin sollte deshalb immer die erste Anlaufstelle sein, wenn es um Fragen und Probleme geht, die die digitale Informationssicherheit betreffen.

2 Updates und Patches aktuell halten

Verschaffen Sie sich einen Überblick darüber, welche Hard- und Software überhaupt in Ihrem Tourismusbüro verwendet wird. Anschließend muss sichergestellt werden, dass auf allen Rechnern die aktuellsten Patches und Updates installiert sind. Sie sollten dabei in keinem Fall veraltete Betriebssysteme nutzen. Wenn Sie diese einfachen Maßnahmen umsetzen, ist ihr Betrieb bereits ein ganzes Stück sicherer geworden.

3 Sichere Passwörter nutzen

Der Name des Reisebüros das beliebteste Reiseziel oder schlicht „12341234“? Vermeiden Sie unbedingt solche Passwörter, denn Hacker können diese fast immer ohne große Mühe entschlüsseln – dafür kommt ein sogenannter „Wörterbuchangriff“ zum Einsatz. Es gibt zwar kein absolut sicheres Passwort, aber man kann es den Hacken trotzdem so schwer wie möglich machen: Verwenden Sie mindestens acht zufällige Zeigen, die aus Sonderzeichen, Ziffern sowie aus Groß- und Kleinschreibung bestehen. Hier gilt: Passwörter niemals notieren und regelmäßig ändern.

4 Mitarbeiter regelmäßig schulen

Die eigenen Mitarbeiter gelten leider als größte Gefahrenquelle für die Cybersicherheit eines Büros. Bereits die kleinste Unachtsamkeit, wie z. B. das Weiterleiten eines unbekannten E-Mail-Anhangs, kann dabei große Schäden verursachen. Mitarbeiter sollten deshalb regelmäßig geschult und für Cybersicherheits-Themen sensibilisiert werden. Gute Präventionsarbeit ist ein wichtiger Eckpfeiler für die IT-Sicherheit eines Unternehmens.

5 Datensicherung ist elementar

Regelmäßige Backups, die an unterschiedlichen Orten aufbewahrt werden, sind unerlässlich, um Ihr Unternehmen vor Datenverlust zu schützen. Außerdem sichert man sich so effektiv gegen „Ransomware“ ab – eine Software, die zu Erpressungszwecken von Hackern benutzt wird.

Jetzt ihre Website prüfen.

Antivirusprogramme auf allen Rechnern sind Pflicht! Bei der Auswahl der richtigen Software, sollten Sie keine Kompromisse eingehen:

In vielen Fällen kann eine Cyberversicherung erst dann abgeschlossen werden, wenn das Unternehmen bestimmte Grundvoraussetzungen erfüllt, die vom Versicherungsanbieter vorgegeben werden: Dazu gehören u. a. die Nutzung unterschiedlicher Passwörter oder das regelmäßige Leeren der Browser-Caches. Um Ihr Reiseunternehmen für einen Versicherungsabschluss fit zu machen, können Sie im Folgenden eine Cyber-Checkliste herunterladen und abhaken.

Mit dieser Checkliste können Sie einen Quick-Check durchführen:

  • Virenscanner, Spamschutz, Firewall und Sicherheitssoftware installieren
  • Daten regelmäßig und getrennt sichern
  • Eine Schlüsselsoftware installieren: Damit sind alle Daten nur über einen Schlüssel oder ein spezielles Passwort zugänglich
  • Unterschiedliche Passwörter nutzen und diese in regelmäßigen Abständen aktualisieren. Diese sollten zudem sicher sein und Groß- und Kleinbuchstaben, Ziffern und Buchstaben enthalten sowie mindestens acht Buchstaben haben
  • Keine Mails von unbekannten Adressaten öffnen
  • Mitarbeiter, die im Homeoffice arbeiten oder ein dienstliches Smartphone nutzen, müssen ebenfalls immer wieder ein Backup ausführen
  • Möglichst regelmäßig den Cache leeren
  • Sensibilisierung der Mitarbeiter für das Thema Datenschutz und Cyber-Kriminalität
Cyber-Checkliste downloaden

Die Folgeschäden einer Cyberattacke

Cyberschäden in der Tourismusbranche

Cyberangriffe auf ungenügend geschützte IT-Systeme können verheerende Folgen nach sich ziehen. Im schlimmsten Fall kann es dabei sogar zu kurz- oder langfristigen Unterbrechungen des Betriebsalltags kommen. Gerade Letzteres kann für klein- und mittelständische Unternehmen in der Tourismusbranche zu einem großen Problem werden: Buchungen können nicht mehr durchgeführt werden, die Organisation von Pauschalreisen gerät durcheinander oder Reservierungen gehen verloren – dies hinterlässt in den meisten Fällen unzufriedene Kunden.

Folgeschäden
  • Datenwiederbeschaffung
  • Neueingabe von Daten
  • Neuinstallationen
  • Aufwendungen für Verschlüsselungen
  • Kosten aufgrund fehlerhaften Versands
  • Schäden durch elektronischen Zahlungsverkehr
  • Telefonmehrkosten
  • Ertragsausfall und Mehrkosten
  • Aufwendungen für eine Ursachenermittlung
  • Notwendige Krisenkommunikation
  • Auftretende Informationskosten
  • Ersatz der Hardware
  • Anwaltskosten
  • Ansprüche nach der Weitergabe von Schadsoftware an Dritte

3 Leistungen, für die Sie externe Hilfe holen müssen

Dienstleister für Cybersicherheit in der Tourismusbranche

Probleme, die aus einer Cyberattacke resultieren, können meist nicht ohne externe Hilfe bewältigt werden. Diverse Dienstleister haben sich auf diesem Gebiet spezialisiert und decken mit ihrer Expertise u. a. die folgenden Punkte ab:

Online-Training

  • Nachhaltiges Training
  • Aktuelle Trainingsvideos über Sicherheitsrisiken
  • Konkrete Handlungsempfehlungen
Zum Online-Training

Mitarbeiterschulung

  • Gefahrenüberlick
  • Präventionsschulungen
Mitarbeiter schulen

Penetrations-Test

  • Angriffssimulation
  • Proaktives Erkennen von Sicherheitslücken
  • Detailierter Sicherheitsreport
Zum Pen-Test anmelden

Cyberattacke: Das müssen Sie jetzt tun

Sofort-Maßnahmen nach einem Cyberangriff

Selbst wenn Sie Ihre Mitarbeiter geschult haben und alle Updates und Antivirenprogramme auf dem neuesten Stand sind, kann es leider immer noch passieren, dass Cyberkriminelle erfolgreich in ein IT-System eindringen. Gerade deshalb sollte in jedem Büro ein Notfallplan vorliegen, in dem die genauen Abläufe, Ansprechpartner und die zu ergreifenden Maßnahmen klar definiert sind. So kann im Schadenfall schnell gehandelt werden.

Die folgende Checkliste zeigt, was nach einem Cyberangriff zu tun ist:

Was im Schadensfall konkret zu tun ist, zeigt diese Checkliste:

  • Interne Aufklärungsarbeit (Schwachstellen analysieren und Einfallstor schließen)
  • Kontinuierliche Überwachung der Systeme auf erneuten
  • Schaden (d.h. Datenabfluss/-verlust) ermitteln
  • Juristisch gebotene Schritte einleiten (zum Beispiel Meldepflichten gegenüber Aufsichtsbehörden)
  • Konkrete Argumentationslinien und Kommunikation nach innen/außen entwickeln
  • Konkrete Argumentationslinien und Kommunikation nach innen/außen entwickeln

Um Haftungsrisiken und Bußgelder zu vermeiden, muss nach einer Cyberattacke sofort geprüft werden, ob der Vorfall bestimmten Meldepflichten gegenüber in- und ausländischen Aufsichtsbehörden unterliegt.

Davor schützt eine Standard-Cyberversicherung

Cyberversicherung für die Tourismusbranche

Im Falle eines erfolgreichen Cyberangriffs sind die Konsequenzen oft sehr teuer und mit einem hohen zeitlichen Aufwand verbunden. Um die rechtliche und finanzielle Belastung einzudämmen, ist der Abschluss einer Cyberversicherung ratsam. Da sich die Policen sehr stark voneinander unterscheiden können, muss unbedingt geprüft werden, welche Szenarien tatsächlich abgesichert sind und welche Voraussetzungen erfüllt sein müssen, damit der Versicherungsschutz überhaupt besteht.

Zu den Versicherungsprodukten

Ist eine Cyberversicherung sinnvoll?

Braucht die Tourismusbranche eine Cyberversicherung?

Die großflächigen Cyberattacken durch „Petya“ und „WannaCry“ haben erst vor Kurzem gezeigt, dass die Cybergefahren für Unternehmen real und omnipräsent sind. Es braucht nicht einmal eine kriminelle Organisation, um irreparable Schäden anzurichten: Ein falscher Klick von einem Mitarbeiter kann bereits ausreichen, um gesamte IT-Netzwerke lahmzulegen. Cyberversicherer deckeln in diesem Fall finanzielle Schäden in einer vertraglich vereinbarten Höhe ab und können bei der Datenwiederherstellung behilflich sein. Viele Verträge beinhalten außerdem die telefonische Rechtsberatung, wenn noch entsprechende Fragen zu klären sind.