Gastgewerbebetriebe speichern, übermitteln und überprüfen ständig Zahlungen – und jede dieser Transaktionen ist ein potenzielles Betrugsziel. Hotels speichern Kundenkarten für Zimmerupgrades, Minibar-Rechnungen und späte Check-outs. Restaurants verarbeiten täglich Tausende von Kartentransaktionen, häufig auf Terminals, die über mehrere Standorte hinweg verbunden sind. Spas und Resorts akzeptieren Anzahlungen Monate im Voraus. Diese Transaktionen bieten Kriminellen die Möglichkeit, Kartendaten abzulesen, Transaktionen abzufangen oder Schwachstellen im Reservierungssystem eines Unternehmens auszunutzen.

Erfolgreiche Versuche dieser Art kosten das Unternehmen Geld, führen zu Complianceproblemen und schaden dem Markenimage und der Kundentreue. Ein US-amerikanisches Unternehmen im Gastgewerbe zahlte beispielsweise einen Vergleich in Höhe von 52 Millionen USD im Jahr 2024, nachdem Datenschutzverletzungen aufgetreten waren, von denen mehr als 300 Millionen Kundinnen und Kunden weltweit betroffen waren.

Im Folgenden erläutern wir die Risiken, mit denen Gastronomiebetriebe konfrontiert sind, und wie man mit ihnen umgeht, bevor sie zu einem Problem werden – und wie man Zahlungsdaten sperrt, ohne das Gasterlebnis zu beeinträchtigen.

Worum geht es in diesem Artikel?

• Warum ist Zahlungssicherheit für das Gastgewerbe so wichtig?
  
• Was sind die größten Bedrohungen für Zahlungsdaten im Gastgewerbe?
  
• Wie können Gastgewerbebetriebe Zahlungssysteme sichern?
  

Warum ist Zahlungssicherheit im Gastgewerbe so wichtig?

Das Gastgewerbe steht in Bezug auf die Zahlungssicherheit vor besonderen Herausforderungen. Von der Buchung eines Zimmers über das Hinterlegen einer Kreditkarte in einer Bar bis hin zum Auschecken aus einem Resort ist jede Transaktion Teil des Gasterlebnisses. Anders als im Einzelhandel oder E-Commerce sind Zahlungen im Gastgewerbe oft an längere Aufenthalte, hohe Transaktionswerte und verschiedene Arten von persönlichen Daten geknüpft.

Hier erfahren Sie, warum das Thema Zahlungssicherheit für Unternehmen im Gastgewerbe von besonderer Bedeutung ist.

Erweitertes Zahlungsfenster

Wenn Gäste in ein Hotel einchecken, bleibt ihre Karte tagelang (manchmal länger) hinterlegt, was nur wenige andere Branchen verlangen. Dies schafft ein längeres Zeitfenster für potenzielle Datenschutzverletzungen.

Zahlungsinformationen werden in mehreren Kanälen gespeichert

Hotels und Resorts akzeptieren persönliche Kartenzahlungen an der Rezeption, sie können aber auch Anzahlungen online akzeptieren, Nebenkosten während eines Aufenthalts abwickeln, Rechnungen über Apps begleichen und Prämienprogramme verwalten, die Kartendaten speichern. Jeder zusätzliche Zahlungskanal stellt eine weitere Angriffsfläche dar.

Höhere Transaktionswerte schaffen ein größeres Ziel

Ein Fast-Food-Restaurant, das Bestellungen im Wert von 10 USD bearbeitet, hat normalerweise nicht das gleiche Betrugsaufkommen wie ein Luxushotel, das Reservierungen im Wert von 5.000 USD bearbeitet. Cyberkriminelle gehen dorthin, wo das Geld ist. Dabei sind Gastgewerbebetriebe – insbesondere solche, die Premiumbuchungen, Firmenkonten oder längere Aufenthalte abwickeln – lukrative Ziele. Eine einzige Sicherheitsverletzung kann eine große Menge an Zahlungsdaten auf einmal offenlegen – manchmal über mehrere Standorte hinweg, wenn die Systeme nicht ausreichend segmentiert sind.

Kriminelle können es auch auf persönliche Daten abgesehen haben

Zahlungssicherheit im Gastgewerbe geht über den Schutz von Kartennummern hinaus. Sie umfasst den Schutz des gesamten Gastprofils: Name, E-Mail-Adresse, Telefonnummer, Privatadresse, Reisepassdaten und manchmal sogar Reisegewohnheiten. Diese Art von persönlichen Daten ist eine Goldgrube für Identitätsdiebstahl. Selbst wenn Angreifer/innen eine gestohlene Kreditkartennummer nicht verwenden können, können sie die persönlichen Daten von Gästen für Betrug oder Phishing-Betrug verkaufen.

Reputationsschäden lassen sich nur schwer beheben

Das Gastgewerbe basiert auf Vertrauen. Der Aufenthalt in einem Hotel oder Resort und die persönliche Interaktion mit dem Personal schaffen ein persönlicheres Kundenerlebnis als der Online-Kauf. Eine Sicherheitsverletzung kann das Kundenvertrauen auf eine Weise erschüttern, die durch Rabatte und PR-Kampagnen nicht immer behoben werden kann.

Was sind die größten Bedrohungen für Zahlungsdaten im Gastgewerbe?

Im Gegensatz zum E-Commerce, bei dem Zahlungen meist online und automatisiert abgewickelt werden, beruht das Gastgewerbe auf einer Mischung aus menschlicher Interaktion, veralteter Technologie und langfristigen Zahlungszurückhaltungen. Diese Elemente schaffen Schwachstellen, die von Kriminellen ausgenutzt werden können. Hier sind einige der häufigsten Taktiken, die Cyberkriminelle anwenden, um sich Zugang zu Gastgewerbebetrieben zu verschaffen.

Sicherheitsverletzungen in Buchungssystemen von Drittanbietern

Selbst wenn ein Hotel sein eigenes Zahlungssystem komplett sichert, ist das System oft mit Plattformen von Drittanbietern für Reservierungen, Spa-Leistungen, Restaurants oder Concierge-Anfragen verbunden. Jede Integration ist eine potenzielle Schwachstelle. Angreifer/innen könnten feststellen, dass der einfachste Einstiegspunkt ein kleinerer, übersehener Anbieter mit schwächerer Sicherheit ist.

Manipulation des Personals

Das Gastgewerbe verzeichnet eine hohe Fluktuationsrate, saisonal besetztes Personal und eine Belegschaft, die möglicherweise eher auf Kundenservice als auf Sicherheit geschult ist. Cyberkriminelle können dies durch Social Engineering ausnutzen, indem sie sich als Hotelführungskräfte, IT-Support oder sogar Gäste ausgeben, um Mitarbeiter/innen dazu zu bringen, Anmeldeinformationen preiszugeben oder Sicherheitsprotokolle zu umgehen.

Insiderbetrug

In Restaurants, Bars und Hotels haben die Mitarbeiter/innen teilweise direkten Zugriff auf Zahlungsterminals. Das bedeutet, dass Insider mit bösen Absichten Kundenzahlungsdaten abrufen und ein schwerwiegenderes Betrugsschema ausführen können, indem sie die Daten von Tausenden Kundinnen und Kunden auf einmal stehlen.

Angriffe am Point of Sale (POS)

Viele Gastronomiebetriebe verlassen sich auf POS-Systeme, die über mehrere Standorte hinweg miteinander verbunden sind. Wenn Malware ein Terminal infiziert, kann sie sich schnell auf jedes andere POS-System im Netzwerk ausbreiten. Diese Angriffe sind besonders gefährlich, weil sie nicht nur Daten an einem Ort stehlen, sondern jede Kasse in ein potenzielles Leck verwandeln. Im Jahr 2015 entdeckte beispielsweise ein US-amerikanisches Hotelunternehmen, dass sein Zahlungsabwicklungssystem mit Malware infiziert war, um Kreditkartendaten zu stehlen, was möglicherweise Hunderte seiner Hotels betraf.

Wie können Gastgewerbebetriebe Zahlungssysteme sichern?

Die üblichen Ratschläge zur Verbesserung der Zahlungssicherheit – z. B. die Verschlüsselung von Transaktionen oder die Einhaltung des Payment Card Industry Data Security Standard (PCI DSS) – sind wichtig, reichen für Gastgewerbebetriebe jedoch nicht aus. Hotels oder Restaurants, die nur Compliance-Checklisten befolgen, sind immer noch anfällig. Echte Sicherheit bedeutet, Zahlungsabläufe so zu gestalten, dass Risiken und Schwachstellen reduziert und Kriminelle von vornherein behindert werden – und das alles, ohne das Kundenerlebnis zu beeinträchtigen oder auf Komfort zu verzichten.

So sieht das in der Praxis aus.

Zahlungsdaten verbergen, bevor Kriminelle sie stehlen können

Tokenisierung ersetzt sensible Zahlungsdaten durch eine zufällige Zeichenfolge, die als „Token“ bezeichnet wird. Wenn Angreifer/innen in Ihr System eindringen, finden sie keine Kreditkartennummern, sondern nur nutzlose Token. Die Tokenisierung stellt sicher, dass Kriminelle selbst nach einem erfolgreichen Einbruch nichts Wertvolles stehlen können. Verwenden Sie einen Zahlungsanbieter, der die integrierte Tokenisierung anbietet.

Begrenzen, wer (und was) Zahlungsdaten berührt

Sicherheitsverletzungen passieren, weil Angreifer/innen eine Schwachstelle an anderer Stelle als dem Kernsystem der Zahlungsabwicklung finden, zum Beispiel ungeschützte Mitarbeiteranmeldedaten, eine alte Integration oder einen Drittanbieter mit unzureichender Sicherheit. Gastgewerbebetriebe können ihr Risiko wie folgt reduzieren:

• Beschränken der Berechtigungen auf das, was jede Rolle tatsächlich benötigt

• Verhindern, dass ihr POS-System ein Netzwerk mit dem Gast-WLAN teilt

• Kein Speichern von Zahlungsdaten in demselben System wie Kundenbindungsinformationen

• Überprüfen der Sicherheitsmaßnahmen von Drittanbietern

Intelligente Systeme entwickeln, um Mitarbeiterfehler zu vermeiden

Egal, ob Sie auf eine Phishing-E-Mail klicken oder auf einen Anruf von Hackern hereinfallen, die sich als IT-Support ausgeben, menschliches Versagen ist manchmal der einfachste Weg für Angreifer/innen. Anstatt nur Mitarbeiter/innen zu mehr Sorgfalt zu schulen, entwerfen Sie Systeme, die Fehler von vornherein erschweren:

• Verwenden Sie die Zwei-Faktor-Authentifizierung (2FA) für die Anmeldung bei Zahlungen. Selbst wenn ein Mitarbeiterpasswort gestohlen wird, blockiert 2FA den Zugriff.

• Beschränken Sie den E-Mail-Zugriff auf POS-Systeme. Wenn Rezeptionscomputer oder Restaurantterminals keine E-Mails abrufen können, werden Phishing-Versuche weniger problematisch.

Veraltete Hardware ersetzen, bevor Kriminelle sie ausnutzen

Im Gastgewerbe ist Hardware genauso anfällig wie Software. Hotels und Restaurants nutzen POS-Terminals, Kartenlesegeräte und Schlüsselkartensysteme, die alle ständig aktualisiert werden müssen. Veraltete Hardware erleichtert es, Kartendaten abzulesen, Malware zu installieren oder schwache Verschlüsselung zu umgehen. Ziehen Sie Folgendes in Betracht:

• Rüsten Sie POS-Terminals auf Modelle mit End-to-End-Verschlüsselung (E2EE) und EMV-Unterstützung (Chipkarte) auf.

• Ersetzen Sie Kartenlesegeräte oder Check-in-Automaten, für die in letzter Zeit keine Firmware-Updates mehr durchgeführt wurden.

• Akzeptieren Sie Tap to Pay und mobile Zahlungen (z. B. Digital Wallets), um die Abhängigkeit von physischen Karten zu verringern, die leichter kompromittiert werden können.