In den letzten Jahren haben Hotelketten ihre Kunden aufgefordert, im Gegenzug für einen besseren Service mehr persönliche Daten denn je preiszugeben. Daher muss sichergestellt werden, dass diese Informationen so sicher wie möglich sind und vor Datenverstößen geschützt werden. SkiftX sprach kürzlich mit Aleksander Ludynia, Director of Security bei der Shiji Group, darüber, was Gastgewerbeunternehmen im kommenden Jahr in Bezug auf Datensicherheit und Datenschutz in Hotels beachten sollten.
Hinweis: Dieser Artikel wurde ursprünglich in Zusammenarbeit von Shiji und Skift's Branded Content Studio, SkiftX, erstellt.
SkiftX: Why is hotel customer data so attractive to hackers?
Aleksander Ludynia: Beginnen wir mit einer guten Nachricht: Das Gastgewerbe gehört nicht zu den Branchen, die am häufigsten ins Visier von Cyberkriminellen geraten, vor allem im Vergleich zum Finanz- und Gesundheitswesen. Einigen Berichten zufolge sind die Kosten für Datenschutzverletzungen im Gastgewerbe in den letzten fünf Jahren sogar zurückgegangen – wahrscheinlich als Ergebnis von Sicherheitsmaßnahmen, die nach schwerwiegenden Verstößen eingeführt wurden, und einer zunehmenden Konzentration auf den Datenschutz weltweit.
Aber die Fülle der verarbeiteten personenbezogenen Daten und Kreditkartendaten sowie der Wert dieser Daten machen diese Unternehmen für Cyberkriminelle attraktiv. Kreditkartendaten können von Hackern leicht zu Geld gemacht werden, und persönliche Daten können im Dark Web verkauft werden, um Betrügereien oder Identitätsdiebstahl durchzuführen. Gastgewerbliche Daten haben auch einen nachrichtendienstlichen Wert, der eine spezialisierte Gruppe von Cyberkriminellen anziehen kann, die nach dem Aufenthaltsort, den Vorlieben, den Mitreisenden oder anderen Details im Zusammenhang mit hochrangigen Gästen suchen.
Da es sich um massive Verstöße handeln kann, die Millionen von Kunden betreffen, werden sie oft in den Medien breitgetreten. Dadurch wird der Eindruck erweckt, dass die Branche weniger sicher ist als andere. Leider bedeutet die Gefährdung durch das Risiko und die wachsende Zahl aktiver Cyberkrimineller, dass es in der Branche zwangsläufig zu weiteren Datenschutzverletzungen kommen wird. All dies macht das Software-Engineering von Sicherheitsbereitstellungsprozessen komplexer.
SkiftX: How are consumers thinking about sharing their personal data with larger hotel companies?
Ludynia: Den Gästen ist klar, dass die Weitergabe einiger persönlicher Daten an die Hotels zum Geschäft gehört, und diejenigen, die an einem Treueprogramm teilnehmen, wissen in der Regel, dass ihre Daten verwendet werden, um den Service zu verbessern – je mehr Informationen sie weitergeben, desto besser ist der Service. Aber die Gäste wollen nicht, dass ihre Daten ohne triftigen Grund verkauft oder an Dritte weitergegeben werden. Die Hotels müssen auch abwägen, ob sie zu viele persönliche Vorlieben sammeln und sicherstellen, dass die Informationen zur Kundenzufriedenheit und nicht zur reinen Gewinnmaximierung verwendet werden.
Dank der DSGVO und anderer Vorschriften haben die Kunden hoffentlich mehr Vertrauen, dass die Hotels nichts Unerwünschtes mit ihren persönlichen Daten tun. Es ist unsere Aufgabe, dafür zu sorgen, dass dieses Vertrauen intakt bleibt.
SkiftX: The role of security used to primarily be about protecting systems or the company. Now, it’s about protecting the company’s customers, especially in hospitality. Why is this?
Ludynia: Bei der Sicherheit ging es schon immer um den Schutz von Informationen. Aufgrund der zunehmenden Verbreitung der digitalen Technologie, neuer Vorschriften, höherer Bußgelder und eines immer aufdringlicheren Marketings wird der Sicherheit personenbezogener Daten jedoch mehr Aufmerksamkeit gewidmet. Die Kunden wissen jetzt, wie wichtig es ist, zu kontrollieren, wer Zugang zu ihren persönlichen Daten hat. Sie erwarten, dass ihre Daten geschützt und nur für die vereinbarten Zwecke verwendet werden. Da die Unternehmen wissen, wie teuer ein Datenleck ein Unternehmen zu stehen kommen kann, übernehmen sie die Verantwortung für die Gewährleistung der höchsten Sicherheitsstufe zum Schutz der Kundendaten. Als Anbieter von Cloud-Diensten wissen wir, dass wir in dieser Verantwortungskette eine sehr wichtige Rolle spielen.
SkiftX: What are some of the pros and cons that GDPR has brought to enterprise hotel companies? How well do you think the industry has responded so far?
Ludynia: Die DSGVO legt fest, was Hotels mit den personenbezogenen Daten ihrer Gäste tun können und was nicht, und beseitigt damit jegliche Unsicherheit in Bezug auf Datenschutzregeln und -grundsätze. Es hat den Hotels geholfen, ihre Prozesse und internen Regeln im Zusammenhang mit personenbezogenen Daten zu vereinheitlichen. Dies hat sich über Europa hinaus ausgeweitet, da die Datenschutzgrundverordnung (GDPR) zum Standard geworden ist und ihre Grundsätze auch von Hotels und Aufsichtsbehörden in Nicht-EU-Ländern angewandt werden.
Eine der Herausforderungen, die die DSGVO mit sich brachte, war die Anpassung bestehender IT-Systeme an ihre Anforderungen. In einigen Fällen mussten die Hotels entscheiden, ob sie ihr Gesamtsystem aktualisieren oder sich auf die Einführung neuer Lösungen konzentrieren wollten. Ich glaube, dass Cloud-Lösungen, bei denen der Datenschutz bereits auf der Architekturebene berücksichtigt wird, ein perfekter Weg sind, um solche Probleme zu lösen. Außerdem verlagern sie die Verantwortung für künftige Anpassungen auf die Anbieter, was den IT-Mitarbeitern in den Hotels das Leben erleichtert.
Es ist nie einfach, neue Vorschriften in alte Systeme einzubauen, aber ich glaube, dass die Branche insgesamt positiv reagiert hat.
SkiftX: How should enterprise hotel companies be thinking about data sovereignty? Can you give an example of how the issue of data sovereignty might come into play for an enterprise hotel company?
Ludynia: Datenschutzgesetze wie die DSGVO sehen keine Anforderungen an die Datenlokalisierung vor – stattdessen regeln sie den grenzüberschreitenden Datentransfer. Diese Regeln sind relativ transparent und einfach. Einige Länder haben jedoch parallel zu den Datenschutzgesetzen ( >) einschlägige sektorale Gesetze entwickelt ( >), in denen festgelegt ist, wo die Daten gespeichert werden sollten.
Die Erfüllung der Anforderungen an die Datensouveränität, die sich aus den weltweiten Vorschriften ergeben, ist eine große Herausforderung für Unternehmenshotels. Da sie weltweit tätig sind, müssen sie unter Umständen mehrere Vorschriften befolgen, die in einigen Bereichen miteinander in Konflikt stehen können.
So könnte beispielsweise eine Rechtsvorschrift vorschreiben, dass eine Immobilie ihre Kundendaten in dem Land speichern muss, in dem sie tätig ist. Eine andere Rechtsordnung könnte vorschreiben, dass die Daten in dem Land gespeichert werden, dessen Staatsangehörigkeit der Gast besitzt. Das Hotel muss festlegen, welcher Speicherort für die Daten verwendet werden soll: der Standort des Hotels oder das Land, dessen Staatsangehörigkeit der Gast besitzt.
Die Datenhoheit erschwert auch die Vereinheitlichung von Gästeprofilen zu einem einzigen Profil. Es kann erforderlich sein, dass das Unternehmen mehrere Speicherorte für die Daten einrichtet und streng kontrolliert, wie die Daten übertragen werden. Aus diesem Grund haben wir unser Profilmanagementsystem so konzipiert, dass es sich an globale Ketten und internationale Vorschriften anpassen kann.
SkiftX: What can enterprise hotel companies do to protect themselves from data breaches?
Ludynia: Sie können sich selbst und die persönlichen Daten und Karteninhaberdaten ihrer Kunden schützen, indem sie ihre Risiken kennen und geeignete Sicherheitsmaßnahmen ergreifen. Sie sollten sich mit den wichtigsten Risiken befassen, indem sie ihre wertvollsten Ressourcen untersuchen, wer das Unternehmen ins Visier nehmen könnte und warum, welche Art von Angriffen stattfinden könnte und welche Auswirkungen solche Angriffe haben könnten. Sie müssen auch die Verfügbarkeit und Genauigkeit ihrer Geschäftssysteme sowie die Integrität der Daten in diesen Systemen sicherstellen – zum Beispiel die Daten und Informationen, die zur Bearbeitung von Reservierungen benötigt werden.
Komplexe Sicherheitslösungen sind zwar wichtig, aber grundlegende Sicherheitshygiene ist entscheidend. Dazu gehören die Pflege von System- und Datenbeständen, die regelmäßige Installation von Patches, die sichere Konfiguration der Systeme, die Verwaltung des Zugangs und die Begrenzung externer Angriffsflächen. Altsysteme sollten genau überwacht werden und müssen möglicherweise irgendwann durch neue Lösungen ersetzt werden, die den aktuellen Geschäfts- und Sicherheitsanforderungen entsprechen.
SkiftX: What can enterprise hotel companies improve upon when it comes to data security?
Ludynia: Eines der schwächsten Glieder in der Datensicherheit von Unternehmenshotels ist, dass die häufig verwendeten Altsysteme die Einführung neuer Sicherheitskontrollen erschweren. Hotels müssen sich auf neue Technologien und IT-Lösungen umstellen, bei denen Sicherheit und Datenschutz in der Kernarchitektur verankert sind und nicht erst bei Bedarf hinzugefügt werden. Für unsere Lösungen haben wir uns für die Cloud-Plattform von Amazon Web Services (AWS) entschieden, da sie neben Kosteneffizienz auch Geschwindigkeit und Sicherheit gewährleistet.
Ein weiterer Bereich, der verbessert werden muss, ist die Schulung der Mitarbeiter. Die Mitarbeiter müssen sich der Sensibilität der von ihnen verarbeiteten Daten, der Bedrohungen und Angriffe, denen sie ausgesetzt sein können, und der Verfahren, die sie zur Verhinderung von Verstößen anwenden müssen, bewusst sein. Ohne ein angemessenes, regelmäßiges Training können sie zu den schwächsten Gliedern werden. Es ist wichtig zu erkennen, dass das Thema Sicherheit nie abgeschlossen ist. Es wird immer Bereiche geben, die verbessert werden können, da sich die Technologie ändert und die Bedrohungen sich weiterentwickeln.
SkiftX: What are some advancements you expect to see in data security and privacy for hotel companies in 2021 and beyond?
Ludynia: Ich erwarte, dass wir Fortschritte in der Art und Weise sehen werden, wie Gastgewerbeunternehmen regionale Daten speichern und verwalten, und ich glaube, dass die Datensouveränität im Hinblick auf die Sicherheit und das Vertrauen der Gäste immer wichtiger werden wird. Ich sage auch voraus, dass sich der Umfang dessen, was wir als “private Informationen” betrachten, erweitern wird. Derzeit betrachten wir Informationen wie Name, Adresse und Telefonnummer als direkt identifizierbare personenbezogene Daten. Im Zuge des technologischen Fortschritts kann jedoch ein größeres Spektrum an Daten verwendet werden, um Informationen mit einer Person zu verknüpfen. Daher könnten Daten wie Verhaltensanalysen, Essensvorlieben oder Ausgaben unter Umständen ausdrücklich von Datenschutzbestimmungen erfasst werden. Schließlich schaffen alle neuen Technologien, die von Hotels eingesetzt werden, auch neue Risiken, mit denen sich die Sicherheitsteams befassen müssen.
SkiftX: Cloud platform technology vendors frequently claim that cloud is more secure than on premise technology. What are your thoughts on this?
Ludynia: Ich stimme zu, dass Cloud-Lösungen in der Regel sicherer sind als alte On-Premise-Systeme. Aufgrund technischer Einschränkungen bieten diese älteren Systeme möglicherweise kein ausreichendes Sicherheitsniveau, insbesondere in vernetzten Umgebungen. Es ist zu erwarten, dass dies mit zunehmender API-Nutzung zu einer immer größeren Herausforderung wird.
Es ist jedoch zu beachten, dass nicht alle Cloud-Lösungen gleich sicher sind. Ein System ist nicht unbedingt besser geschützt, nur weil es sich um eine Cloud-Lösung handelt. Die Anbieter von Cloud-Diensten teilen das Risiko und die Verantwortung mit ihren Partnern. Der Schlüssel liegt in der Wahl eines vertrauenswürdigen Cloud-Technologiepartners, der diese Risiken ernst nimmt und die alleinige Verantwortung für den Einsatz wirksamer Sicherheitsmaßnahmen übernimmt. Bei Shiji steht die Sicherheit des Kunden an erster Stelle, aber das ist nicht bei jedem Anbieter von Cloud-Sicherheit der Fall.
