Suche

Treueprogramme im Visier von Cyberkriminellen

Cyberkriminelle greifen immer häufiger die Kunden-Treueprogramme von Hotels und Restaurants an. Sie stehlen persönliche Daten und Passwörter der Kunden sowie Treuepunkte, die anschließend im Darknet eingetauscht oder verkauft werden können. Ursache sind meist Credential-Stuffing-Angriffe, deren Zahl weltweit inzwischen in die Milliarden geht. Doch wie kann sich das Gastgewerbe dagegen schützen? Elmar Witte, Security Specialist bei Akamai, gibt Auskunft.
TheDigitalWay, Pixabay
Anzeige

Viele Hotel- und Restaurantketten haben sich in den letzten Jahren zu Marken mit umfangreichen Treueprogrammen entwickelt. Neben dem Betreiben von Hotels oder Restaurants fokussieren sie sich immer stärker auf ihr wertvollstes Gut, ihren Kundenstamm und dessen Aktivierung. Mit den Treueprogrammen sollen Kunden enger an die Unternehmen gebunden werden, wodurch in der Hotellerie bis zu zehn Prozent mehr an direkten Buchungen erzielt werden können. Und da der Kunde die Vorteile des Treueprogramms nur genießen kann, wenn er direkt bei einem Hotel bucht, können externe Buchungs- und Reiseplattformen umgangen und damit verbundene finanzielle Mehraufwände vermieden werden. Treueprogrammen für das Gastgewerbe, aber auch für den Handel und die Reisebranche, wird daher eine wachsende Bedeutung beigemessen.

Angriffe gehen in die Milliarden

Persönliche Daten der Endanwender zu schützen, ist eine der Kernaufgaben einer jeden Organisation. Doch laut Sicherheitsbericht „State of the Internet“ – Betrug im Einzelhandel und Gastgewerbe“ wurden zwischen Juli 2018 und Juni 2020 mehr als 100 Milliarden Credential-Stuffing-Angriffe registriert. Bei dieser Art von Cyberattacke versuchen Bots sich mit Hilfe von gestohlenen Logins unautorisierten Zugriff auf Nutzerkonten zu verschaffen. Die Bots werden beispielsweise programmiert, um für eine Account-Übernahme anfällige Konten ausfindig zu machen, diese zu kompromittieren und Kundendaten zu stehlen.

Zusätzlich dazu greifen Cyberkriminelle Server direkt an, wobei hauptsächlich SQL-Injection (SQLi) und Local-File-Inclusion (LFI)-Angriffe verwendet werden. SQL-Injection nutzt Sicherheitslücken in einer SQL-Datenbank aus. Der Angreifer versucht über das Einschleusen von Datenbankbefehlen Zugriff auf die Kunden-Datenbank zu erhalten. Sein Ziel ist es, Daten zu analysieren oder zu verändern, die Kontrolle über den Server zu erhalten oder anderweitigen Schaden anzurichten. Bei Local File Inclusion schleust der Hacker schädlichen Programm-Code in den Webserver ein. Hier stellte Akamai zwischen Juli 2018 und Juni 2020 mehr als vier Milliarden Web-Angriffe auf den Einzelhandel, das

Reise- und Gastgewerbe fest, was 41 Prozent des gesamten Angriffsvolumens auf alle Branchen entspricht.

Gerade bei Treueprogrammen setzen viele Kunden sehr schwache Passwörter ein oder nutzen ein Passwort, das bereits bei anderen Logins zum Einsatz kommt. Auch das Gastgewerbe selbst leistet Kriminellen nicht genug Widerstand. Selbst große Marken verlangen oft nur eine Handynummer oder ein numerisches Passwort zur Identifizierung ihrer Kunden für das jeweilige Treueprogramm. Die ungenügende Absicherung macht aus solchen Konten leichte Angriffsziele mit hoher Erfolgsquote. Hacker sammeln und verkaufen die gestohlenen Kundendaten, handeln mit ihnen und stellen sogar umfangreiche Profile zusammen, um damit Straftaten wie Identitätsdiebstahl zu begehen.

Wie kann das Gastgewerbe sich und seine Kunden schützen?

Bei Treueprogramme sollten für die Einrichtung von Konten und für den Anmeldevorgang nur sichere Passwörter zugelassen werden. Außerdem ist den Kunden dringend zu empfehlen, einen Passwortmanager zu nutzen und Passwörter nicht mehrfach zu verwenden. Wenn diese recht einfach umzusetzenden Sicherheitsvorkehrungen zusätzlich mit einer Zwei-Faktor-Authentifizierung kombiniert werden, dann haben Credential-Stuffing-Angriffe kaum noch eine Chance und die Daten der Treueprogramme sowie die damit verbundene Kundenloyalität bleiben gesichert.

Grundsätzlich sollten Kundendaten nicht auf lokalen Servern gespeichert werden. Hier sind Cloud-Lösungen gepaart mit Tools von Sicherheitsanbietern die weitaus bessere Wahl. Die Security-Maßnahmen sind somit immer auf dem neuesten Stand und können beispielsweise verhindern, dass Webanwendungen Distributed Denial-of-Service (DDoS)-Angriffen ausgesetzt sind. Diese fürchtet jedes Unternehmen, denn wenn der Online-Shop unter dem Ansturm von Millionen Datenpaketen zusammenbricht und längere Zeit nicht verfügbar ist, kann das schnell zu hohen Umsatzeinbußen und zur Abwanderung von Kunden führen. Zwischen Juli 2019 und Juni 2020 sah sich der Handel täglich durchschnittlich 125 DDoS-Angriffen ausgesetzt, 90 Prozent davon im Einzelhandel, der Rest im Reise- und Gastgewerbesektor. Spezielle DDoS-Schutzlösungen aus der Cloud können auch größte DDoS-Attacken im Vorfeld abwehren, in der Regel, ohne dass die betroffene Webanwendung ausfällt.

Investitionen in sinnvolle Security-Maßnahmen sind ihr Geld wert, da Cyberangriffe eine ständige Gefahr darstellen und sich in den nächsten Jahren intensivieren werden. Das zu unterschätzen wäre fatal, denn Datenverlust schädigt die über viele Jahre aufgebaute Marke eines Hotels, da Kunden mit einem gehackten Konto das Vertrauen verlieren und sich Wettbewerbern zuwenden könnten.

Weitere Artikel zum Thema

hocus-focus | iStockphoto
Bin ich zu teuer? Bin ich zu günstig? Was passiert gerade in meinem Marktsegment? Als Hotelier oder Reiseveranstalter hat man alle Hände voll zu tun, um sich im Markt preislich optimal zu positionieren. Rudolf Hengefeld,[...]
lobostudiohamburg | Pixabay
Digitale Kommunikation mit den Gästen ist nicht nur jetzt, sondern auch in Zukunft unerlässlich. Informationen, Angebote, Bewertungen, Buchungen und das Beantworten von Fragen sind allgemeine Themen, die permanent kommuniziert werden. Für alle Anliegen gibt es[...]
Anton Schmaus in seinem New York inspiriertem Sticky FIngers.Florian Hammerich
Seit dem vergangenen Jahr steht der Sternekoch Anton Schmaus aus Regensburg bei der deutschen Fußball-Nationalmannschaft am Herd. Während des gesamten Turniers ist er für die Versorgung der Spieler und des gesamten Teams verantwortlich. Im Exklusiv-Interview[...]
Ressourcen- und Ablaufplanung für die DSGVO im GastgewerbeIsmailciydem, iStockphoto
Ohne einen effektiven und professionellen Datenschutz birgt die rasant anwachsende Digitalisierung ein nahezu unkalkulierbares wirtschaftliches Risiko für Kunden, Partner und Mitarbeiter. Der Unternehmer muss durch Transparenz und Risikominimierung in der Datenverarbeitung Vertrauen in den eigenen[...]
izzetugutmen | iStockphoto
Während sich das gastronomische Leben in Deutschland erst nach und nach von der monatelangen Lockdown-Lähmung erholt, tobte es auf der anderen Seite der Welt schon wieder: In Australien hatten Restaurants, Bars und Cafés bereits für[...]
Unser Newsletter

Bleiben Sie auf dem Laufenden mit regelmäßigen Informationen zum Thema Gastgewerbe. Ihre Einwilligung in den Empfang können Sie jederzeit widerrufen.