Schlagwortarchiv für: Cybersicherheit

Um die Relevanz für Cyber-Security in Hotels zu verdeutlichen, erfolgt zunächst eine grundsätzliche Betrachtung. Hotels gibt es in unterschiedlichen Größen und Ausstattungen. Oft bieten sie Beherbergung für über tausend Gäste und ein umfangreiches Serviceangebot. Eine große Anzahl von Mitarbeitern ist verantwortlich für die entsprechende Dienstleistungserbringung. Die jährlichen Umsätze liegen schnell im zwei- bzw. dreistelligen Millionenbereich, wodurch viele Hotels zu den Großbetrieben gehören.

Die Digitalisierung hat auch in Hotels Einzug gehalten. Dabei werden Prozesse effizienter gestaltet und Personal eingespart. Grundsätzlich ist ein Hotel aufgebaut wie jedes andere Unternehmen. Es besteht aus operativen Systemen, welche die Wertschöpfungskette abbilden. Diese werden durch Planungs- und Kontrollsysteme gesteuert. Für den reibungslosen Betrieb tauschen alle Systeme ihre Informationen in digitaler Form vertikal sowie horizontal über die Hoteldateninfrastruktur, deren Schnittstellen und gemeinsam genutzten Datenbanken aus.

CYBER-SECURITY IM HOTEL IST CHEFSACHE!, IT Sicherheit, iAP

Cyber-physische Systeme und Cyber-Attacken​

Designer und Architekten haben seit jeher versucht der Hotelkundschaft besonderen Komfort unter Zuhilfenahme von neuen Technologien zu bereiten. Dazu zählt heutzutage, neben anderen, die zunehmende automatisierte Ausstattung der Hotelgebäudetechnik mit smarten Cyber-Physischen Systemen, auch, um z.B. Zugänge zu Stockwerken, Garagen, Zimmern und Aufzügen, Tagungsräumen, Restaurants sowie Wellness-Bereichen zu kontrollieren bzw. berührungslos freizugeben oder zu sperren.

Das hoteleigene Netzwerk muss neben internen zusätzlich unterschiedliche Arten externer Schnittstellen vorhalten, z.B. für die Kommunikation und den Datenaustausch mit Lieferanten, Logistikpartnern, Reisebüros und Privatkunden. Der Grad der Digitalisierung und Vernetzung schreitet also auch in Hotels unaufhaltsam voran. Allerdings wächst damit ebenfalls die Bedrohungslandschaft, welche vermehrte Angriffsfläche für Cyber-Attacken bietet, und somit neue Herausforderungen für die Gewährleistung der Sicherheit des Hotels und seiner Gäste entstehen.

Sensible Daten und Info-Displays

Jedes Hotel hält nicht nur eigene, sondern auch vertrauliche sowie sensible Daten seiner Gäste, Mitarbeiter und Geschäftspartner vor. Dazu gehören z.B. persönliche Informationen (Name, Anschrift, Nationalität, Geburtsdatum, KFZ-Kennzeichen), Kreditkarteninformationen, Firmennamen und Zahlungskonditionen. Die Gäste können umfangreiche Dienstleistungen über das WLAN, die hoteleigene App, oder interaktive Terminals bzw. Info-Displays buchen sowie bezahlen. Hotels waren für gewisse Kriminelle schon immer ein Tummelplatz, um sich durch verschiedenste Art und Weise am Hotel und seinen Gästen zu bereichern.

Die Schwerpunkte und der Umfang von Sicherheitsmaßnahmen verschieben sich im Zeitalter der Digitalisierung enorm, denn durch sie ergeben sich auch neue Möglichkeiten für kriminelle Handlungen. Ransomware-Angriffe auf Hoteldatenbanken und IT-Anwendungen, DDOS und Bot-Net-Angriffe auf die IT-Infrastruktur, Einschleusen von Schadsoftware über Wechseldatenträger und externe Hardware z.B. durch Gäste und interne oder externe Mitarbeiter, Infektionen mit Schadsoftware über das Internet oder Intranet, Einbruch über Fernwartungszugänge der Gebäudeautomatisierung, menschliches Fehlverhalten oder Sabotage, Identitäts- und Kreditkartendatendiebstahl sind nur einige der neuen immateriellen Szenarien.

CYBER-SECURITY IM HOTEL IST CHEFSACHE!,, Internet-Security, iAP

Die Schadensfolgen von Cyber-Attacken können für jedes Hotel schnell existenzgefährdend werden und sind deshalb unbedingt unter Kontrolle zu halten.

  • Der Verlust von Performance und Verfügbarkeit der Dienstleistungsprozesse,
  • der Verlust von Vertraulichkeit durch Abfluss sensibler Gästedaten,
  • mangelhafte Integrität durch Datenverlust oder Manipulation,
  • das Fehlen von Authentizität durch gefälschte Quellnachweise,
  • physische Schäden bzw. Zerstörung der Hotelanlagen,
  • das Auslösen von Safety-Prozeduren,
  • die Bereinigung und Systemwiederherstellung nach Attacken und
  • der Verlust der Hotelreputation

sind nur wenige Beispiele möglicher Auswirkungen von Primär- und Folgeangriffen. Zum Schutz vor Sicherheitsvorfällen empfiehlt sich eine strukturierte und organisierte Herangehensweise z.B. durch den Aufbau eines Informationssicherheitsmanagementsystems. Mit entsprechenden technischen und organisatorischen, als auch rechtlichen Konzepten wird die Hotelsicherheit analysiert, proaktiv gefestigt und damit Resilienz erzeugt.

Digitalisierung und Herausforderungen

Wie andere Unternehmen, haben auch Hotels im Zuge der Digitalisierung mit den Herausforderungen zu kämpfen ihre sicherheitsstrategischen Ziele sowie Sicherheitsprozesse praktisch anwendbar zu definieren bzw. zu gestalten, um Cyber-Angriffe von innen und außen zu vermeiden. Es besteht bei den verantwortlichen Mitarbeitern ein unzureichendes Bewusstsein über die möglichen Angreifer, ihre Angriffsarten, Ziele und damit verbundene Risiken. Meistens mangelt es an Klarheit für die gewünschte Baseline durch insuffizientes Verständnis über den Reifegrad der Ist- und Soll-Zustände. Die Strukturanalyse inklusive der Aufnahme und Beschreibung der IT-Assets ist oft bereits unzureichend.

Unternehmens- und Bedrohungsdaten werden dürftig prozess- und risikobezogen erfasst sowie bewertet, mit der Folge, das organisatorische sowie technische Sicherheitsmaßnahmen nicht an die tatsächlichen Bedürfnisse des Hotels angepasst werden können und damit niemals ein angemessenes Schutzniveau besteht. Budget sowie fähiges bzw. erfahrenes Personal wird in allen Ebenen benötigt, auch um die Auswahl, Integration und Anwendung passender Sicherheitswerkzeuge effizient zu realisieren und somit unnötige Kosten zu vermeiden.

iAP – Independent Consulting + Audit Professionals GmbH bietet externe IT-Prüfungen und Zertifizierungen sowie Beratung mit umfassender Expertise an. Das Portfolio der iAP deckt die Bereiche des Governance Risk & Compliance Management, der IT-Security & Resilienz, IT-Beratung & Data  , Nachhaltigkeit & ESG sowie Datenschutz nach der DSGVO vollumfänglich ab.

 

 

Fotos: iStock.com/da-vooda,  iStock.com/anyaberkut, iStock.com/Tijana Simic

Vor dem Hintergrund der stetig zunehmenden Gefahren durch Cyberangriffe stehen Unternehmen und Organisationen vor folgenden Fragen:

  • Ist mein Unternehmen ausreichend gegen Cyberangriffe abgesichert?
  • Welche nicht bekannten Lücken und Schwachstellen schlummern in der Unternehmens-IT und gefährden meine Geschäftsprozesse oder stellen ein signifikantes Risiko für mein Unternehmen dar?
  • Wie kann ich die Informationssicherheit in meinem Unternehmen möglichst ohne zusätzliche Kosten erhöhen und auf den Stand der Technik bringen?

Gerade mittelständische und kleinere Unternehmen (KMU) haben oft aufgrund geringer personeller IT-Kapazitäten, fehlender Expertise für IT-Security und begrenzten Budgets Schwierigkeiten, das Thema ganzheitlich anzugehen und die Informationssicherheit durchgängig auf ein angemessenes Schutzniveau zu bringen.

Die Auslagerung von Teilen oder aller wesentlichen Aufgaben für Informationssicherheit an einen externen Spezialisten – ein sogenanntes Security Operation Center (SOC) oder Cyber Defense Center (CDC) – bietet hier einen Lösungsansatz, der flexibel an die Anforderungen jedes Unternehmens angepasst werden kann.

Ein SOC/CDC ist dabei ein auf Informationssicherheit spezialisierter Dienstleister, der an die IT des Unternehmens angebunden ist und als eine Art Sicherheitsleitstelle große Teile oder auch nur selektiv bestimmte Security-Services übernimmt, die normalerweise durch die IT-Abteilung im Unternehmen abgedeckt werden müssten:

  • Sicherheitsbezogene Überwachung der Unternehmens-IT
  • Proaktive Adressierung von Bedrohungslagen durch Threat Intelligence
  • Erkennung und Beseitigung von Schwachstellen in den IT-Systemen und -Prozessen
  • Erkennung und Alarmierung bei Cyber-Angriffen
  • Abwehrmaßnahmen und Schadenbegrenzung
  • Kundenbezogene Unterstützung und Reporting zu Sicherheitsthemen

In den Räumlichkeiten des SOC/CDC-Dienstleister arbeiten dafür im 24×7 Betrieb hochspezialisierte Experten für Cybersecurity, u.a. Security Architekten, Analysten, Forensiker, die wie in einem Kommandostand in realtime auf Bildschirmen sämtliche sicherheitsbezogene Informationen angezeigt bekommen und bei Auffälligkeiten sofort reagieren können.  Die Arbeitsweise ist dabei durch optimale und integrierte Toolunterstützung, hohen Automatisierungsgrad der Analysen als auch durch die optimale Teamstruktur und Kommunikation des SOC-Teams gekennzeichnet.

Je nach konkreter Anforderungslage eines Kunden können verschiedene Service-Modelle der Zusammenarbeit definiert werden, die es ermöglichen, nur bestimmte Teile, oder nahezu alle Sicherheitsleistungen an den SOC/CDC-Dienstleister auszulagern. Die Vorteile der Nutzung eines SOC/CDC liegen dabei klar auf der Hand:

  • Schnelle und wirksame Reaktion durch Automatisierung und Einsatz von Spezialisten
  • Schutz gegen die aktuelle Bedrohungslage
  • Kontinuierliche Dokumentation und Nachvollziehbarkeit
  • Kein Aufbau von internem Personal erforderlich
  • Ganzheitliches Absicherungskonzept und maßgeschneiderte Lösungen möglich je nach Kundenanforderungen
  • Nachweisbare Einhaltung der gesetzlichen Vorgaben und Compliance

Insbesondere für kleinere Unternehmen und Mittelständler (KMU) eröffnet die Auslagerung wesentlicher Leistungen für IT-Sicherheit an einen externen Spezialisten die Möglichkeit zur Erreichung eines hohen Schutzniveaus und IT-Security nach Stand der Technik. Durch die unterschiedlichen Servicemodelle und großer Flexibilität können die Leistungen eines SOC-Dienstleisters ideal auf die Kundenanforderungen zugeschnitten werden. Ein Aufbau zusätzlicher interner Ressourcen bzw. Experten für Informationssicherheit ist in der Regel nicht erforderlich.

Für manche Unternehmen sind höhere Investitionen in die Cybersicherheit möglicherweise nur ein Tropfen auf den heißen Stein. Das liegt oft daran, dass die Strukturen der Organisation zu komplex sind, um sie adäquat absichern zu können. Diese Komplexität der Strukturen entsteht oftmals erst im Laufe der Zeit. Gründe dafür sind z.B. Wachstum, Fusionen, Übernahmen und vor allem aber die Einführung neuer Technologien. Damit einhergehend kommt die Verzahnung von Compliance und Governance oft zu kurz.

Ein weiterer Punkt ist das Risikoniveau im Unternehmen, das durch Komplexität entsteht, z.B. durch komplexe Multi-Vendor-Umgebungen wie Cloud, neuartige technologische Lösungen oder Interoperabilität und Dateninfrastruktur.

Eine Vereinfachung oder Verschlankung von Datenstrukturen und Prozessen sind allein schon eine große Herausforderung. Komplexität führt zu Trägheit, da Entscheidungsträger eine Transformation aufschieben oder Schwierigkeiten haben, eine Dringlichkeit zu erkennen und Priorisierung vorzunehmen, obwohl den Unternehmen bewusst ist, dass Komplexität in den Prozessen auch Schwachstellen schafft. Diese Schwachstellen können von Ransomware und anderen Bedrohungstools ausgenutzt werden.

Die Folgen betrieblicher Komplexität sind neben finanziellen Verlusten, Datenschutzverletzungen und erfolgreiche Cyber-Angriffe (die auch wiederum Reputationsverluste bedeuten können). Es besteht das Risiko einer fehlenden Cyber-Resilienz (also einer mangelnden betriebliche Belastbarkeit), sich nach einem Cyberangriff oder einem Technologiefehler zu erholen. Unternehmen sind dann unfähig, schnell und angemessen zu agieren, um am Markt weiterhin bestehen zu können.

Komplexität wird also gerne ausgenutzt und sind bevorzugte Ziele von Cyber-Angriffen. Die Kunst besteht darin, die Risiken zu identifizieren, zu priorisieren und entsprechend mit wirksamen Maßnahmen zu begegnen. Insbesondere auch, wenn die diese Cybersicherheitsrisiken durch verbundene Unternehmen (Dienstleister und Lieferanten) entstehen. Hier muss man besonders auf die Schnittstellen schauen, welche Angriffsziele darstellen können. Drittanbieter (Third-Parties) sind alle Organisationen oder Personen, zu denen eine Geschäftsbeziehung besteht. Hier besteht sowohl ein Informations- als auch Datenabtausch und damit auch Risiken bei Schnittstellen die gezielt angegriffen werden können. Hier sollte auch auf eine Harmonisierung der Betrachtung von Third-Parties im Unternehmen erfolgen, damit nicht jede Abteilung eine eigene Vorgehensweise hat. Eine Synchronisierung der Sicherheitsmaßnahmen und damit eine ganzheitliche Betrachtung der Lieferkette und Third-Party Management sind unumgänglich, um eine höhere Cybersicherheit zu erreichen.

Komplexität von Strukturen und Prozessen können somit für die Cybersicherheit eine Falle sein. Monitoring cybersicherheitsrelevanter Events sind ein wichtiger Bestandteil, um das Cybersicheitsrisiko zu minimieren, Angriffe frühzeitig zu erkennen und mit erprobten Krisenplänen entgegenzutreten.

Der unbefugte Zugriff auf Ihre Daten kann verheerende Folgen haben. Neben einem Reputationsschaden gehen finanzielle und rechtliche Schäden einher. Datenverletzungen pro Angriff können schnell in die Millionen gehen. Wenn ein Incident vertrauliche Informationen enthält, kann dies Ihrem Unternehmen finanziellen Schaden zufügen. Independent Consulting + Audit Professionals GmbH hat sich mit Cybersicherheit intensiv beschäftigt und versteht die Herausforderung, vor der sich viele kleine und mittelständische Unternehmen sehen, um realistische und wirksame Schutzmaßnahmen zu etablieren.

Mit unseren Cybersicherheits-Dienstleistungen können Sie die Informationen und Informationssysteme Ihres Unternehmens vor unbefugtem Zugriff, Verwendung, Offenlegung, Unterbrechung, Änderung oder Zerstörung schützen und deren Verfügbarkeit, Vertraulichkeit und Integrität sicherstellen. Unser Beratungsansatz ermöglicht es, IT-Investitionen an Ihre Geschäftsanforderungen anzupassen. Nur durch ein ausgeglichenes Verhältnis zwischen adäquaten Investitionen zur Informationssicherheit und einem Verständnis für akzeptable Risiken ergibt sich der Mehrwert, den die Informationssicherheit bieten kann.

Wir arbeiten eng mit Ihnen zusammen, um das gesamte Ausmaß Ihres Cyber-Risikos zu verstehen, angefangen bei den spezifischen Risikofaktoren Ihrer Branche, bis hin zu den spezifischen Sicherheitsrichtlinien, die Sie eingeführt haben.

Independent Consulting +Audit Professionals bietet eine breite Palette von Funktionen für Cybersicherheitsrisiken und -bewertungen. Wir unterstützen Sie bei allen Governance und Compliance Anforderungen.

Darüber hinaus unterstützen wir Sie bei der Entwicklung oder Verbesserung vorhandener Richtlinien, Verfahren und Kontrollen. Wir überprüfen vorhandene Gerätekonfigurationen und ermitteln für Sie die wirtschaftlichen Auswirkungen Ihres aktuellen Cybersicherheitsrisikos.  Bei der Bewertungsmethodik bedienen wir uns Standardrahmen wie ISO, COBIT, NIST, ITIL und COSO oder wir verfolgen spezifischen Anforderungen ihres Unternehmens.

Folgende Dienstleistungen bieten wir diesbezüglich an:

  • Überprüfung des Sicherheitskonzepts
  • Sanierung der Infrastruktur
  • Bewertung der Cyber-Risiken
  • Penetrationstests, Schwachstellenbewertungen
  • Bewertung von Webanwendungen und Webdiensten
  • Bewertung von Mobilanwendungen
  • Social Engineering- und Facility-Breach-Übungen IT-Risikobewertungen
  • IT-Audit- und Compliance
  • Entwicklung von Cybersicherheitsstrategien und Architektur Cybersecurity Awareness und Education
  • Incident Response
  • Unterstützung für digitale Forensik

 

Durch unseren ganzheitlichen Ansatz im Rahmen der Cybersicherheit tragen wir dazu bei, dass sich Ihr Unternehmen gegenüber den Risiken des digitalen Zeitalters gewappnet ist.