17.12.2013

Summary zum Event „IT-Sicherheit in der Hotellerie“: Nur wer die Risiken kennt, kann sich schützen (Update 28.01.14 Onlinerecht)

Aus aktuellem Anlass habe ich mich nochmals etwas intensiver mit dem Thema Big Data befasst. Da es inhaltlich sehr viel auch mit IT Security und vor allem Datenschutz zusammenhängt, habe ich  mich entschieden, es an diesen Artikel anzuhängen. Sie finden die Inhalte ganz am Ende. Viel Spass beim lesen!

Eine gemeinsame Veranstaltung am 04.12.2013 von Teletrust und der IHA in Kooperation mit der Wihoga Dortmund.

Zur Agenda: IT-Sicherheit_Hotellerie_131204_Dortmund_Programm

Mit viel Freude und Interesse bin ich zu diesem Branchenevent nach Dortmund angereist. In meiner Eigenschaft als Dozent für  Onlinemarketing, Betriebsorganisation, sowie als Administrator für unsere neue Schul IT „Citrix Desktopvirtualisierung“ sowie des Sharepoints 2010, habe ich naturgemäss natürlich auch ein großes berufliches Interesse gehabt.

Eines vorweg:

Die Anreise hat sich mehr als gelohnt, auch wenn das „Live Hacking“ sicherlich zu den ganz großen Higlights gehörte.Ich glaube fest dass im Corporate Bereich die Sensibilität zum Thema Security an Bedeutung zunimmt. Im privaten Bereich scheint es jedoch genau andersherum zu sein. Datenschutz ist offensichtlich nur dann relevant, wenn mal wieder etwas in den Schlagzeilen (Stichwort NSA)  steht, oder wenn der Mega Gau bei einem selbst passiert ist.  Zumindest ist dies so meine Wahrnehmung , da ich durch meine Tätigkeit es ja täglich mitbekomme, mit welcher Sorglosigkeit viele z.B. mit Ihren Credentials (Passwörter, Usernamen) umgehen. Es wundert mich persönlich dann überhaupt nicht, wenn mal -was Datenlecks betrifft-  was daneben geht.

Über mangelnden Datenschutz und Transparenz der eigenen Person im Netz sich lauthals und öffentlich beklagen, und alles von sich in sozialen Netzwerken frei zugeben, passt nicht so wirklich meiner Meinung nach zusammen. Dazu gibt es übrigens ein geniales Video (The german Paradox), aufgenommen auf dem Berliner Internetkongress re:publica 2010 – Jeff Jarvis – The German Paradox .  Auf seinem Blog Buzzmachine.com schreibt er seine lustige Wahrnehmung, wie Amerikaner nur noch den Kopf über die Deutschen schütteln.

Die Erkenntnisse und meine persönlichen Tipps des Events nun vorab. Weitere Details dann im folgenden Beitrag:

  1.  Wer glaubt als „CEO“ oder als „GM“ aus der Haftung raus zu sein, nur weil er einen IT Admin  oder IT Abteilung hat, der täuscht sich. Die Unterrnehmensleitung haftet am Ende persönlich für die IT Security, Complaince und das Risikomanagement. Unter Umständen auch für die Vertragspartner.
  2. Das größte Security Risiko sitzt immer noch vor der Tastatur!!!  Nach einer Firmen Party gingen Emails mit einem You Tube Video, gehackt durch einem Troijaner, direkt nach China zum Mitbewerber. Es enstand ein Schaden von 5 Mill. ohne den Schaden der angeschlagenen Reputation des Unternehmens. Dazu kommen noch juristische Konsequenzen nach BDSG.
  3. „Live Hacking“. Es dauerte nur wenige Minuten, bis bekannte Websites wie die der www.bahn.de oder lufthansa.com gehackt waren, weil die Startseite keine „https“ Verschlüsselung hatte.  Weiterhin war es kein Problem für die IT Security Firma festzustellen, welche im Saal befindliche Studenten, sich wo in den letzten Tagen in Deutschland in einem WLAN Netz angemeldet haben. Problem: Unsere geliebten Smartphones, vor allem die Iphones, speichern jeden Hotspot zentral ab und damit ist man gläsern. Tipp: WLAN nur dann anschalten wenn unbedingt notwendig, spart auch Strom..)) Sehr peinlich wenn dann auch mal die „Rote Zora“ als einschlägiges bekanntes Etablissement dabei ist und der Freund der Freundin daneben sitzt….)))). Der Saal brüllte vor Lachen!
  4. Haftung bei Verlust von Kreditkartendateien: Viele Hotelliers glauben immer noch dafür nicht verantwortlich zu sein. Es ist ein Trugschluss. Jedes Hotel wird sofort zum „Händler“ im juristischen Sinne, sobald er Kreditkarten zur Bezahlung entgegen nimmt. Damit haftet er zu 100% und ist verantwortlich nach den Richtlinien der „PCI Complaince.“ Payment Card Industry Data Security Standard (PCI DSS) . Bitte beachten Sie auch die Kommentare zu diesem Artikel weiter unten.

Kleine Chronik der Datenschutzskandale:

Der schlagzeilen geprägte Mensch vergisst ja bekanntlich gerne, was vor Monaten und Jahren noch lange in den Schlagzeilen war. Hier ein kleiner „Reminder“ zum Thema Datenschutzskandale:

Jahr 2008   „Best Western Datenklau bei Hotelkette“:  Zehn Kunden oder acht Millionen?

  • Bei der  Hotelkette Best Western sind durch einen Trojaner unzweifelhaft Daten von Gästen abhanden gekommen. Die Frage war seinerzeit, ob der Datendiebstahl nur ein Berliner Hotel betrifft oder die mehr als 1300 Best-Western-Hotels in Europa. Unbekannte Datendiebe seien über einen PC-Virus in ein Berliner Hotel der amerikanischen Kette Best Western eingedrungen, sagt das Unternehmen damals.  Auf einem der Computer sei ein Trojaner installiert worden. Darunter versteht man ein Schadprogramm, das sich als nützliche Anwendung tarnt, um an sensible Daten zu kommen. Quelle: http://www.netzeitung.de/internet/1136100.html
  • Jahr 2008  „Telekom-Mitarbeiter verhielten sich bei Suche nach Datendieb gesetzeswidrig“
    Mitarbeiter der Deutschen Telekom haben auf der Suche nach den Dieben der 17 Millionen Kundendaten von T-Mobile gegen geltende Gesetze verstoßen. Die Sicherheitsmitarbeiter überprüften Verbindungsdaten von 20 bis 30 Personen und beschafften hierfür mindestens einmal Verbindungsdaten von einem inländischen Wettbewerber und von einem ausländischen Unternehmen. Quelle:  Heise
  • Jahr 2009 Lidl  musste ein Bußgeld von 1,5 Mill. Euro bezahlt werden, aufgrund Erfassung von Daten der Mitarbeiter zum Krankenstand über das normale Maß hinaus. Der Deutschland Chef wurde daraufhin entlassen. Quelle:   Abendblatt
  • Jahr 2013 „Der britische Geheimdienst GCHQ“überwacht nach einem Bericht des Nachrichtenmagazins „Spiegel“ gezielt die Reservierungssysteme von weltweit mehr als 350 Hotels, die häufig von Diplomaten und Regierungsdelegationen gebucht werden. Durch das als streng geheim eingestufte Programm „Royal Concierge“ („Königlicher Portier“) werden die Analysten des GCHQ tagesaktuell über die Hotelreservierungen und damit die Reisepläne von Diplomaten und Delegationen informiert. Das geht aus Unterlagen des NSA-Whistleblowers Edward Snowden hervor, die das Nachrichtenmagazin einsehen konnte. Quelle: FAZ
  • Jahr 2013 „Google aufgebracht über NSA-Datenklau“
    Betroffen sind Hunderte Millionen Nutzer: Die NSA hat laut Medienberichten bei Google und Yahoo massenhaft E-Mails ausspioniert. Google ist außer sich. Quelle Stern

  • Jahr 2012 “WhatsApp kann auf Bankkonten zugreifen!”
    Grundlage ist ein  Artikel zu WhatsApp, der anscheinend immer noch gelesen, beachtet und kommentiert wird.  Ausgabe der Tagesthemen: Quelle Datenschutzbeauftragter

  • Jahr 2011 „Dropbox: Irres Datenleck gibt Privatfotos für alle frei“
    Bestimmte Inhalte der Dropbox sind für jeden öffentlich sichtbar.  Mit dem Suchbefehl site: http://www.dropbox.com/gallery lassen sich die Dropbox-Ordner schließlich bei Google finden.  Quelle: Chip
  • Jahr 2013 Facebook legt Zahlen zum Datenskandal vor

Die US-Behörden erlauben amerikanischen Internet-Unternehmen etwas mehr Transparenz bei bisher geheimen Anfragen zu Nutzer-Daten. Die Zahlen können jetzt zumindest in die Statistik einfließen. Google geht das nicht weit genug. Quelle: HAZ

 

Nun zu den eigentlichen Inhalten des Workshops, hier in Form einer eigenen Mitschrift:

Lutz Mönig, Pohl Consulting (ehemaliger GM)

Kernaussage: Das größte Security Risiko sitzt immer noch vor dem PC…))

  • Security muss als Schutz und nicht als Behinderung bei den MA wahrgenommen werden
  • IT Security ist Basisanforderung bei jedem Dienstleistungsvertrag.
  • Kundendaten sind zunächst Vertrauenssache. Pohl Consulting ist daher „Dekra“ zertifiziert.
  • Keine unnötige Speicherung von Daten und keine Weitergabe derer.
  • 100% IT Sicherheit gibt es nicht.
  • Beim Datenschutz fehlt der Menschheit einfach oft das Bauchgefühl.
  • Bsp. Großbrand in einer Holzhandlung Krefeld Juli 2012. Nachfolgende Problemfelder die nach dem Brand enstanden sind: Grundwerte IT Sicherheit mussten neu überdacht werden. Verfügbarkeit, Integrität und Vertraulichkeit waren stark beschädigt.
  • Bsp.: Jeder würde vermutlich locker einen USB Stick als Werbegeschenk von einer Bank dankend annehmen. Keiner würde aber vermutlich vorher auf die Idee kommen und den Stick vorher auf Viren zu überprüfen, weil ja die „Bank“ draufsteht. „Fail Trust“.
  • Um einen Schutzbedarf (z.B. hoch) festzustellen, müssen Audits durchgeführt werde und notwendige Datenstrukturen vorgehalten werden.
  • Es müssen Notfallplanungen organisiert werden z.B. für einen Serverausfall. Wer ist wann für was zuständig und verantwortlich.
  • Pro Woche werden am FRA Airport 300 Laptops gefunden. Die gestohlenen sind da noch nicht mit berücksichtigt.
  • Backup machen viele Unternehmen, aber eine Rücksicherung wird meistens nicht gecheckt.
  • Website Check. Entspricht meine Website den Datenschutzrichtlinien ( Impressum, PCI Complaince, Webanalyse Tools, Copyright etc.)
  • Es empfiehlt sich eine IT Sicherheitsanalyse von einem externen Unternehmen im Rahmen eines IT Audits durchführen zu lassen.
  • Verkehrtes Lizenzmanagement z.B. bei Microsoft, kann ggf. sehr teuer werden, wenn nicht alle Richtlinien sauber abgearbeitet worden sind. Microsoft ist da unerbittlich.
  • IT Sicherheit ist auch ein prüfungsrelevantes Kriterium bei Wirtschaftsprüfungsgesellschaften. Dies gilt auch für Lieferanten und Partner nach § 5 BDSG.
  • Die Gästekartei (PMS Systeme) von Hotels werden gefüttert mit Marketingdaten der Kunden. Auch teilweise mit Gesundheitsdaten von Gästen. Die Information dass ein Gast z.B. mit einem Rollstuhl anreist, ist datenschutzrechtlich schon als kritisch anzusehen.
  • Kunden müssen generell Ihr persönliches Einverständnis für Werbung schriftlich abgegeben haben.
  • § 11 BDSG „Auftragsdatenverarbeitung“ trifft vor allem für Ketten und Kooperationen zu,  wenn z.B. Kundendaten zentral auf einem Server in der Zentrale gespeichert werden. Entsprechende Verträge müssen abgeschlossen werden.
  • Es wird empfohlen einen „Penetrationstest“ (BSI Standard) von außen durchführen lassen, um zu überprüfen ob alle Maßnahmen wirksam sind.
  • Thema Mobile Device: Das größte Gefahrenpotential derzeit entsteht durch Verlust auf der Straße, in der Bahn und im Flieger. Viele sensible Unternehmensinformationen gehen häufig auch als USB Stick in der U-Bahn verloren. 7,7 Mill. Deutsche haben schon einmal ihr Handy verloren. Auf Geschäftsreisen mit Firmeninternas ein ganz heisses Eisen. Im Link stehen Tipps wie sich dafür schützen können. Alternativ ein „Mobile Device Management“ Konzept ihres Unternehmens. Hier auf dem Blog des Systemhaus Bechtle.
  • Social Media und Datenschutz. Wertvolle Quelle: Datenschutzbeauftragter
  • Der Twitter Account einer Nachrichtenagentur wurde gehackt: Folgender Tweet wurde an die mehr als 1,9 Millionen Follower verbreitet. Er lautete: „Eilmeldung: Zwei Explosionen im Weißen Haus – Obama verletzt.“ Die Konsequenzen dramatisch. Die Falschmeldung sorgte indes für Verwirrung auf dem Aktienmarkt. Der Dow-Jones-Index fiel innerhalb weniger Minuten um 146 Punkte – und rutschte damit in die Verlustzone. Der S&P 500 sackte von 1576 auf 1563 Punkte ab. Quelle: Handelsblatt
  • Whatsapp Gefahr. Es vergeht fast kein Monat ohne irgendwelche Horrornachrichten zum Datenschutz wie „Nachrichten können mitgelesen werden“ etc.
  • Passwörter sind das allergrößte Problem. Da viele es sich zu einfach machen, haben die Hacker ein einfaches Spiel:

Mein Tipp für super sichere Passwörter: Kaspersky Password Manager

Weitere Alternativen zeigt der BSI auf:

 

Session: Live Hacking. Institut für Internet Sicherheit IT-Sicherheit.de

 

Spruch:  „Die Welt wird nicht bedroht von den Menschen, die böse sind, sondern von denen, die das Böse zulassen.“

  • Fazit: Alle Websites die nicht mit „Https“ abgesichert sind, können sofort und ohne Aufwand ganz leicht gehackt werden, indem man einfach einen kleinen HTML Code z.B. ins Gästebuch oder auf die Startseite schreibt. Der Browser liest alles mit und spuckt alle Infos danach aus. Hierdurch entstehen hohe Sicherheitsrisiken. So konnten ohne Probleme auch die Sites von LH und der Bahn gehackt werden, um sensible Daten beim eintippen von Daten abzulesen und danach auszuwerten.
  • Der Chaos Computerclub listet regelmässig Sites auf die hohe Risiken haben
  • Die Datenkraken „Mobile Devices“. Lässt ein User sein WLan stets an, versucht sich das Smartphone permanent mit den verfügbaren Hotspots zu verbinden. Dabei werden alle Daten zentral abgespeichert. So konnten auf dem Beamer problemlos alle Hotspots, der im Saal anwesenden Studierenden, der letzten Wochen lückenlos aufgedeckt werden.  Dies führte zu Teil zu viel Gelächter (WLan „Hotel Rote Zora“). Tipps zum persönlichen Schutz. Heute.de liefert hierzu einen guten Hintergrundbericht:
  • Super Tipp   Es ist ein Browser Addon zur Security: HTTPS Everywhere is a Firefox and Chrome extension that encrypts your communications with many major websites, making your browsing more secure. Encrypt the web: Install HTTPS Everywhere today.

 

Neu- Neu-Neu .Session: Onlinerecht und Datenschutz: Dr. Thomas Lapp,  Rechtsanwalt und Mediator, IT-Kanzlei dr-lapp.de GbR,  www.dr-lapp.de

  • Vorsitzender der Nationalen Initiative für Internet- und Informations-Sicherheit, NIFIS e.V.
  • Mitglied der Task Force „ IT-Sicherheit in der Wirtschaft“ des Bundesministeriums für Wirtschaft und Technologie
  • Mitglied von Teletrust
  • Lehrbeauftragter der Universität Mainz

Über welche Risikobereiche sprechen wir im Allgemeinen?

  • Daten der Gäste
  • Daten der Mitarbeiter
  • Daten der Vertragspartner
  • Websites
  • Buchungssysteme
  • IT-SystemeIT-Sicherheitsmanagement

Es muss einem bewusst werden, dass IT-Sicherheitsmanagement eine Managementaufgabe ist. Im Folgenden die gesetzlichen Grundlagen hierfür:

IT-Sicherheitsmanagement ist Teil der Anforderungen an ordentliche Unternehmensführung gemäß § 91 Abs.2 AktG. „Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden.“ Zudem hat er eine persönliche Haftung nach § 93 Abs. 2 AktG (Sorgfaltspflicht und Verantwortlichkeit der Vorstandsmitglieder). Die Regelungen zur persönlichen Haftung gelten nicht nur für Aktiengesellschaften, sondern über den Wortlaut hinaus für sämtliche Unternehmensformen.

Persönliche Haftung für Mitarbeiter

Die persönliche Haftung für Mitarbeiter kann ausnahmsweise in Betracht kommen wenn:

  • Keine Haftung für leichte Fahrlässigkeit
  • Eingeschränkte Haftung für mittlere Fahrlässigkeit

Bislang starke Zurückhaltung der Rechtsprechung. Eine persönliche Haftung für verantwortliche Mitarbeiter (IT Leiter etc.) kann dann in Betracht kommen, wenn die „Grundregeln für eine angemessene IT- Sicherheit“ ignoriert werden.

Der Risikofaktor Mensch

Ist meiner persönlichen Meinung nach einer der wichtigsten Faktoren. Warum? Mitarbeiter haben häufig kein „Bauchgefühl“ wenn es um Datenschutz und Security geht. Frei nach dem Motto: „Was ich nicht weiß, macht mich nicht heiß“. Dabei sollte grade in Zeiten, wo Bespitzelung an der Tagesordnung ist, sich doch eine radikale Bewusstseinsveränderung in der Gesellschaft ergeben. Zumindest meiner Meinung nach. Es vergeht derzeit fast kein Tag an dem nicht neue Datenschutzskandale zu Tage treten. Siehe http://datalossdb.org/ sowie http://hackmageddon.com/. Über die meisten wird aber zumindest medial nicht gesprochen. Quelle Blog: https://ssl.zerohat.eu/blog/ .

Mitarbeiter müssen ein Verständnis für das sensible Thema entwickeln und permanent geschult werden. Zu guter Letzt natürlich auch „angemessen“ kontrolliert werden. Sicherheitsvorkehrungen müssen als Schutz und nicht als Behinderung empfunden werden. Gerade beim Thema Passwort Komplexität bemerke ich aber leider aus eigener täglicher Erfahrung, dass Mitarbeiter dies eher als Behinderung anstatt zum eigenen Schutz sehen. Wie schaut ein gutes Passwort generell aus? Quelle BSI.  https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/Inhalt/_content/m/m02/m02011.html

Risiko Vertragspartner

Auch in diesem Punkt sollte man sich die Partner nicht nur nach „Kostengründen“ aussuchen. Es ist daher zu empfehlen, bei Vertragsverhandlungen oder anderen Vereinbarungen, das Thema IT-Security mit aufzunehmen.

Datenschutzgrundsätze

  • Verbotsprinzip (§ 4 BDSG)
  • Prinzip der Direkterhebung (§ 4 Absatz 2 BDSG)
  • Prinzip der Zweckbindung (§§ 14 und 28 ff., 39 BDSG)
  • Einwilligung (§§ 4 und 4 a BDSG)
  • Datenvermeidung (§ 3 a BDSG)
  • Datensparsamkeit (§ 3 a BDSG)
  • Datensicherheit (§ 9 BDSG nebst Anlage)

Auftragsdatenverarbeitung

Speziell für Hotelketten und Hotelkooperationen ist dies ein wichtiges Thema, da die Daten häufig auf einem zentralen Server gehostet werden. Sehr oft auch außerhalb des EU Raumes, speziell bei internationalen Hotelketten.

Bei Verarbeitung personenbezogener Daten ist eine Vereinbarung zur Auftragsdatenverarbeitung gemäß § 11 BDSG
(10-Punkte-Katalog!) incl. Beschreibung der technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten zu schließen.

Rechtliche Konsequenzen

Was kann passieren wenn der Fall „X“ eintritt?

  • Schäden durch Verlust von Daten oder Wiederherstellungsaufwand, Verdienstausfall etc.
  • Schadensersatzforderungen
  • Bußgelder
  • Fehlender Versicherungsschutz bei der Betriebshaftpflicht
  • Gewerberechtliche Konsequenzen
  • Informationspflichten bei Verlust sensibler personenbezogener Daten
  • Reputationsverlust (kann ggf. alle Kosten übersteigen)
  • Konsequenzen für Kreditaufnahme nach Basel II
  • Probleme beim Testat des Wirtschaftsprüfers

Spannende Fälle zum Thema Datenschutz finden Sie hier:

Video SAP TV: Sicher im Netz – Roter BH. Thema Passwortsicherheit hier:

Quellen:

http://www.nifis.de/

http://dr-lapp.de/

https://ssl.zerohat.eu/blog/

 

Session: WLAN im Hotel: Sandra Müller LANCOM Systems

 

HRS Studie: Kostenloses Wlan ist nach wie vor das wchtigste Entscheidungskriterium für Gäste. Quelle: Goglobal

  • Die rechtliche „Störerhaftung“ bleibt bestehen
  • Problemfelder sind: verbotene Nutzung von Filesharing Sites und illegalem Videodownload
  • Das Hotel ist grundsätzlich für alle IP Inhalte selbst verantwortlich. Es können ggf. hohe Schadenersatzklagen auch von der Musikindustrie erfolgen
  • Mit einem intelligenten „Netzwerkkonzept“ kann man die Risiken minimieren. Eine Trennung zwischen Hotelnetz und WLAN Netz ist ein „must have“. Stichwort „Netzwerksegmentierung“. Auch muss es verschlüsselt“ sein (HTTPS). Controller Einrichtungen und entsprechende Subnetze sollen gebildet werden. Bei Contentfiltern ( Webfilter) oder Portsperren müssen die Kunden über die Agb’s informiert werden.
  • Nimmt man für sein Hotel die „Providerlösung“ für das WLan, wird die Haftungsthematik an den Provider ausgelagert. Es entstehen aber Gebühren und Kosten für Wartungsverträge.
  • Hat das Hotel ein eigenes WLAN Hotelnetzwerk ist es komplett eigenverantwortlich für alles. Es enstehen aber dann auch nur die reinen Internet Anschlusskosten oder Systemhauskosten. Eigene Agb’s müssen aber verfasst werden.
  • Gästenetz muss vom Hotelnetzwerk getrennt werden. Verschlüsselung etc.  Controller Einrichtungen. Subnetz bilden. Bei Contentfiltern ( Webfilter) oder Portsperren die Kunden über die Agb’s informieren. Webbasierte Benutzer Authentifizierung.
  • Die „IHA“ hat ein Merkblatt für die Mitglieder dafür entwickelt:
  • Laut Studien erhöht ein WLAN im Restaurant die Anzahl der elektronischen Bestellungen auf mehr als 15%.
  • Blick in die Zukunft: WLAN auf dem Zimmer. Zukünftig wird dies die IP Telefonie ermöglichen und nebenbei noch kostenlose Werbung auf der Landingpage zu gestalten.

Lesehinweis zum Thema PCI Complaince:

 

Kreditkartensicherheit Firma: http://www.scheukett.de  

Herr Gerald Scheurmann-Kettner

 

  • Unlängst musste ein Hotel 500.000€  Strafe zahlen, wegen verbotenem abgreifen von Kreditkarteninformationen.
  • PCI Richtlinien.  Diese wichtigen Richtlinien wurden in der Hauptsache von Visa und MasterCard getrieben. Jedes Hotel oder Restaurant der eine Kreditkarte entgegen nimmt ist rechtlich Händler. Die notwendigen Standards findet man hier:
  • Protel aus Dortmund hält sich als PMS Anbieter an diese Richtlinien:
  • PCI Complaince Standard Basis Vorgaben:Eine Firewall ist konfiguriert, ein Antivirensystem ist vorhanden, Standardpasswörter sind in der gesamten IT geändert, der Schutz gespeicherter Daten ist gewährleistet, es werden nur verschlüsselte Verbindungen verwendet, es bestehen personifizierte Accounts für jedem Rechner, die Zugriffe auf Papiere müssen geregelt sein, Mitarbeiterschulungen werden durchgeführt, Penetrationstests regelmässig durchgeführt. Das gesamte Standardwerk hat 120 Seiten insgesamt an Anforderungen.
  • Die Kartenprüfnummer von Kreditkarten dürfen niemals irgendwo gespeichert werden. Auch nicht auf dem Papier. Das Unternehmen darf ebenso diese nicht auf dem Server speichern, sondern nur digital an die Bank durchreichen.
  • Ein Chip auf der Karte ist grundsätzlich verschlüsselt, der Magnetstreifen jedoch nicht. Dieser kann mit jedem Kartenlesegerät leicht ausgelesen werden.
  • Der wichtigste Schutz ist die Datenvermeidung, der sorgfältige Umgang mit Daten, Veränderung der Sicherheitsprozesse. Emails mit Kreditkarten Informationen von Kunden müssen gelöscht werden.
  • Es gibt derzeit noch keine IT gestützte PCI Complaince gerechte Softwarelösungen. Daher die Empfehlung Papier zu bevorzugen und wegschließen.
  • Tokenlösungen werden derzeit aktuell getestet.
  • 2014 kommt PCI Standard 3.0

**********************************

Eigener Exkurs Big Data

Security, Datenschutz und Big Data. Ist es nicht ein ganz grasser Widerspruch?

Was heißt Big Data überhaupt?

Definition:

Big Data bezeichnet die Analyse großer Datenmengen aus vielfältigen Quellen in hoher Geschwindigkeit mit dem Ziel, wirtschaftlichen Nutzen zu erzeugen (Quelle Bitkom).

Für meine Begriffe stehen wir noch ganz am Anfang des Themas.  Es wird natürlich sehr kontrovers diskutiert, ich glaube aber aus Gründen der Unwissenheit und auch der Ängste wegen. Sind die Ängste nicht auch völlig unbegründet, wenn Google und Facebook &co als Datenkraken schon seit Jahrzehnten eh fast alles über uns gespeichert haben?! Wir sprechen heute über Big Data und viele Weltunternehmen praktizieren es schon seit Ewigkeiten auf deren Niveau. Worüber regen wir uns eigentlich auf? Was wollen die noch mehr von uns wissen, als Sie ohnehin schon von uns haben? Das mal ganz polemisch vorweg.

Daten sind natürlich ein wertvolles und brisantes Gut. Zu diesem Thema hat auch die „IHA“ das Thema für die Branche im Rahmen von Veranstaltungen aufgegriffen und positioniert.

Einige Unternehmen speichern mittlerweile Daten im dreistelligen Petabyte Bereich    laut einer Publikation von Bitkom. Daten werden heute als vierter Produktionsfaktor neben Kapital, Rohstoffen und Arbeitskraft angesehen.  Das Hauptproblem sind die unstrukturierten Daten. Bevor man jedoch sich ans Werk macht, ist eine umfassende rechtliche Prüfung notwendig. Als Produktionsfaktor gesehen wird Big Data sich zu einem Mega Trend aus meiner Sicht entwickeln. Und wir stehen noch ganz im Keller bei dieser Entwicklung.

Big Data hat nicht nur marketing technische Aspekte sondern auch politische Effekte. Die Politik sollte meiner Meinung nach das Thema nicht behindern sondern ermöglichen. Es werden ganz neue Arbeitsfelder entstehen, an die heute noch kein Mensch denkt. Cloud Computing wird das Thema dementsprechend massiv pushen. Mehr dazu in der Studie von Bitkom.

Für die Datenschützer ist es natürlich ein regelrechter Alptraum siehe Artikel von Thilo Weichert (Landeszentrum für Datenschutz SH).   Hier ist die Rede von informationellen Machtmissbrauchs, Diskriminierung und Unterdrückung, bis hin zur Gefährdung der Freiheitsrechte und Verletzung der Grundrechte der Menschen.  Und er hat sicherlich nicht unrecht ein Stück weit.

Laut einem Artikel des Sterns plante die Schufa 2010 einen Bonitätscheck in sozialen Netzwerken durchzuführen. Mit Big Data fast ein „Kinderspiel“…)))   Selbst Herr Weichert musste aber zugeben, dass soziale Netzwerke für Big Data, bei den personenbezogenen Daten die interessantesten sind.

Eine Studie der Telekom besagt: Fast zwei Drittel der Deutschen wünschen sich mehr Datenschutz, bei einem persönlichen Nutzen sind Sie aber bereit Daten freizugeben. Sehr interessant würde ich sagen…..

Was soll Big Data generell leisten können?

Das Versprechen von Big Data ist, durch Analyse von Daten Probleme zu erkennen und lösen zu können, bevor sie sich gesellschaftlich ausgebreitet haben.  Gesundheitsmanager wollen durch Auswertung von Google-Suchanfragen vorhersagen, welchen Weg eine Grippewelle einschlägt. Durch Bewegungsdaten sollen Verkehrsstaus prognostiziert und Ausweichstrecken ausgemacht werden.

Für die Marketer im Tourismus und in der Hotellerie dennoch ein klarer Segen.  Tnooz CEO Gene Quinn says with a smile, “If you ask ten people about the definition of Big Data, you will get eleven answers”.  72% of CEO’s reports: „Marketers are always asking for more money, but can rarely explain how much incremental business will generate“. 

Das Grundproblem der Hotellerie sind nicht nur die unstrukturierten Daten, sondern auch die Vielzahl der Insellösungen in der IT. Quelle: Michael Toedt von Toedt, Dr. Selk & Coll. GmbH  . Hat man in vielen unterschiedlichen Systemen Gastdaten liegen, dürfte es natürlich auch schwer sein diese zu konsolidieren. Hier eine spannende und ganz neue Präsentation von der Veranstaltung: Hotel IT- Digitale Trends in der Hotelwelt vom 09.01.2014.

Auch das globale Reisevertriebssystem Amadeus beschäftigt sich mit dem Thema Big Data. Im aktuellen Kundenmagazin gibt es einen spannenden Artikel dazu. Das ganze gibt es auch als PDF Version.

Ich freue mich auf Ihr persönliches Feedback!

Ansgar Jahns

Dozent Hotelfachschule Hamburg für:

Onlinemarketing / Betriebsorganisation / Tourismusmanagement / IT-,Sharepoint Administration

www.hotelfachschule-hamburg.de

 




Kommentare

Hallo Ansgar,

vielen Dank für Deine umfangreiche Schilderung! Persönlich beschäftige ich mich schon seit 11 Jahren vertieft
zum Thema IT-Sicherheit im deutschen Mittelstand und Gastgewerbe hatte ich schon immer auf meinem Radar.

PCI DSS: da ich ein ehemaliger PCI DSS Assessor (QSA) bin, folgender Hinweis:
PCI DSS 3.0 (Infrastruktur & Systemsicherheit) trifft nur zu, wenn kein geschlossenes System zum Einsatz kommt, heisst
wenn Provider wie EasyCash & Co. eingesetzt werden, dann verwenden diese ein geschlossenes System für die Transaktion.
Sobald jedoch auf das bestehende Hotel-/Resterauntnetzwerk zurückgegriffen wird, dann muss man sich über die PCI DSS
technische Regelungen Gedanken machen. Der ultimative Verantwortliche ist übrigens die Bank/Provider, über die die
Transaktionen laufen, denn der muss hier eine klare Ansage machen: In-Scope of PCI / Nict in Scope PCI!
Als Zahlungsterminals dürfen ausschließlich zertifizierte Geräte zum Einsatz kommen, also PCI PTS & ZKA approved.

Hier herrscht leider sehr viel Unwissenheit in Deutschland, auf der einen Seite die PCI QSA Dienstleister, die immer
wieder darauf hinweisen, sobald man Kreditkarte akzeptiert, dann ist man im PCI Fokus (falsch!). Sondern man muss sich
das immer im jeweiligen Kontext vorher ansehen und am Besten immer seine Hausbank fragen, worüber die Transaktionen laufen,
oder den Service Provider, worüber der Dienst eingekauft wird!

Grüße,
Gerald

Kundendaten im Hotelumfeld:

Da ich sehr häufig in Hotels unterwegs bin und langjähriger Security Tester, interessieren
mich natürlich immer mal wieder die einschlägigen Hotel WLAN/LAN Anschlüsse für Gäste.

Generell ist zu sagen, es ist in den letzten 1-3 Jahren deutlich besser geworden, da die meisten
Hotel(ketten) auf einschlägige Hotspot Service Provider zurückgreifen und somit meist ein komplett
geschlossenen Zugang zum Internet, inkl. Voucher/Bezahlverfahren.

Kritisch wird es immer dann, wenn über das interne Hotelnetzwerk Gästezugang ermöglicht wird und
darüber hinaus, irgendwelche total schrägen Captive-Portale (zentrale Web Portale, worüber dann
der Zugang freigeschaltet wird) zum Einsatz kommen.

Hier gibt es immer wieder einfache Möglichkeiten, das Portal auszunutzen, sei es mit falschen
MAC-Addressen zu arbeiten die bereits authentifiziert wurden, oder eben das Portal selbst auszutricksen,
um eine Session freizuschalten.

Was ich viel kritischer sehe, sind die bestehenden Hotelsysteme an sich. Wir reden hier von Datenbanksystemen
(ERP, CRM) mit sehr sensiblen Kundendaten, welche natürlich noch mit einer Vielzahl an eigenen Attributen
angereichert werden (Vorlieben des Gastes, gespeicherte Kreditkartendaten für schnelle Zahklungsabwicklung etc).

Diese mögen vielleicht getrennt vom restlichen Gästezugang sein, jedoch die Basis Endgerätesdicherheit im
Hotelumfeld, lässt doch sehr zu wünschen übrig. Einfache gezielte Email -Angriffe (Spear-Phishing) auf Mitarbeiter
im Hotel Controlling Umfeld, oder Rezeption (ja, deren Rechner ist gekoppelt mit der zentralen Kunden-/Reservierungsverwaltung),
kann massive Auswirkung haben. Manchmal bin ich sehr,sehr verwundert, warum nicht mehr passiert, den diese Art von Kundendaten
sind „Gold“ wert für den einschlägigen Internetkriminellen!

Im Ausland kommt es tagtäglich zu derlei Einbrüchen und in Deutschland hält man sich wie immer sehr bedeckt „was niemand
weis, macht niemand heiss“. Siehe nachfolgende Links:
http://datalossdb.org/
http://hackmageddon.com/

Gerne auch mal bei meinem Blog vorbeischauen, hier gibt es einige hilfreiche Infos:
https://ssl.zerohat.eu/blog

Hallo Gerald,

vielen lieben Dank für deine wirklich hilfreichen tollen Infos. Ich denke das dürfte für einigen Gedankenanstoss sorgen, wenn ein richtiger Profi sich mal dazu äußert…)) Interessant zu wissen für mich, dass du auch im Hotelumfeld tätig warst? Sehr spannend! Sprich wenn ich das richtig verstehe, hast du dann auch Penetrationstests durchgeführt? Ja ich wohne meistens ja auch in Kettenhotels und kann das bestätigen, dass in diesem Umfeld häufig professionelle Provider verwendet werden. Denke das ist auch der Hauptgrund warum WLAN häufig nicht kostenlos angeboten wird, was aber die Kunden heut zu Tage erwarten. Für viele ist es auch mit dass Hauptargument in der Auswahl des Hotels. Ich sehe das zum heutigen Zeitpunkt auch als extrem kritisch an, wenn das Netzwerk nicht segmentiert wird. Sprich das Gästenetz nicht vom Hotelnetz getrennt ist. Ist dann wie wenn ich das Auto in einem Parkhaus offen abstelle. Wundert mich dass derzeit nicht mehr passiert an Web Angriffen. Aber nicht nur bei diesem Thema stellen wir häufig fest, dass grade bei Inhaber geführten kleineren Hotels, es entweder am Budget oder an der häufig falschen Beratung oder in der Kombination beider liegt, eine professionelle Security aufzubauen. Aber der Trend kippt so langsam, da e immer mehr medial präsent wird.
Aber schließe mich ganz deiner Meinung an. Das wirklich gefährliche ist die Tatsache, dass wenn es jemand schafft sich Zugang zum Haus zu verschaffen, der nächste Weg zu den „Property Management Systemen“ (PMS) dann wirklich nicht mehr weit weg ist. Sollte jemand Zugang zu den Gästekarteien bekommen, dann sind natürlich alle personalisierten Daten auch die der Kreditkarten in Gefahr.

Dann auch vielen Dank für die wertvollen Links auch für deinen Blog. Wusste ich gar nicht…))) Sehr spannend!
Grüße Ansgar

zum Verständnis für mich. Bei mir ist die Information so angekommen, das ein Unternehmen am Ende der Wertschöpfungskette immer für PCI Complaince verantwortlich ist, der er rechtlich als Händler gilt? Dies in Bezug auf deine Aussage:sobald man Kreditkarte akzeptiert, dann ist man im PCI Fokus (falsch!). Was sind die Voraussetzungen bzw. deine persönlichen Empfehlungen um ein geschlossenes System einzusetzen? Mit der Hausbank ist natürlich auch ein sicherlich hilfreicher Ansatz.

Hier muss man unterscheiden zwischen Händler (PCI-Chargon: Merchant) und Service Provider (alles was Kreditkartentransaktionen anbieter, ob klassischer Payment Provider wie Arvato oder Paypal Web Service, wo ein entsprechende API-Call in seinen eigenen Websites eingebunden wird).

Händler hat (meistens) den Vertrag mit den Kreditkartenanbietern selbst, jedoch die Bank muss hier die Einstufung des Merchant Levels vornehmen (welches Transaktionsvolumen der jeweilige Merchant hat).

PCI unterscheidet von verschiedenen Merchant Levelen und den entsprechenden Umfang der Sicherheitsarchitektur. Wer hier vertieft Einblicke bekommen möchte, sei die offizielle PCI Council Webseite zu empfehlen, ausgezeichnete Infos!

https://www.pcisecuritystandards.org/security_standards/documents.php

So long, zerohat

ok vielen Dank verstehe. Ich denke das dürfte für reichlich Aufklärung sorgen in der Branche. Bin halt immer wieder erstaunt wie wenig Wissen über das sensible Thema überhaupt vorhanden ist. Gestehe aber auch, es ist schon extrem komplex und ohne Fachmann denke ich mal, kaum eine Chance es juristisch wasserdicht umzusetzen.

Hinterlasse einen Kommentar

Dein Kommentar:

This blog is kept spam free by WP-SpamFree.

Kategorien