Thought Leadership
In den Osterferien nutzen Kurzentschlossene gern noch schnell die Möglichkeit, bequem von zuhause aus Unterkünfte zu recherchieren, Preise zu vergleichen und online zu buchen. Doch das Internet hat nicht nur das Reisebüro ins Wohnzimmer gebracht, sondern auch Cyberkriminelle, die das saisonale Buchungshoch zu Ostern veranlasst aktiv zu werden.
Wie so oft gilt, wo es Licht gibt, gibt es auch Schatten, denn mit den neuen Möglichkeiten gehen auch Risiken einher: Massive Datensicherheitsprobleme scheinen in der Reisebranche zuzunehmen. So häuften sich in den letzten Jahren spektakuläre Hacking-Vorfälle wie etwa bei Expedia, British Airways, booking.com und Marriott. Das saisonale Buchungshoch in den Osterferien dürfte nach Meinung von Vectra, Experte für IT-Sicherheit auf Grundlage künstlicher Intelligenz, die Cyberkriminellen erneut auf den Plan rufen.
Angriffe erkennen, wenn sie sich schon nicht vermeiden lassen
„Grundsätzlich gibt es nichts Besonderes, was in der Reisebranche falsch läuft. Sobald jedoch ein Hacker ein Unternehmen ins Visier genommen hat, ist es nur noch eine Frage der Zeit, bis er zuschlägt“, erklärt Gérard Bauer, Vice President EMEA bei Vectra. „Mit dem erforderlichen Wissen auf Aufwand finden versierte Hacker nahezu immer einen Weg ins Netzwerk. Entscheidend ist deswegen, wie schnell ein Unternehmen davon erfährt, dass es kompromittiert wurde, und wie schnell es darauf reagiert.“
Im Fall Expedia wurde die Website gehackt. „Sobald die Angreifer sich Zugang verschafft haben, bringen sie ihre Software auf die Website und beginnen dann, Informationen zu extrahieren, während die Nutzer die Angebote durchklicken und buchen. Vom Web-Server aus können die Hacker auch tiefer in andere vernetzte Systeme einsteigen, wo viele vertrauliche Kundendaten vorgehalten werden. Beim Expedia-Hack arbeiteten sie sich vor zu Hotels, Mietwagenfirmen und Kreuzfahrtveranstaltern, wo jede Menge wertvolle Daten zu finden sind.“
Oft verschaffen sich die Cyberkriminellen Zugang ins fremde Netzwerk, indem sie eine Schwachstelle in der Website ausnützen. „Sobald ihnen dies gelungen ist, dreht sich alles darum, wie lange sie unbemerkt verweilen können“, sagt Bauer. „Es ist so, als würde jemand in Ihr Haus einbrechen. Wie lange würde es dauern, bis sie es bemerken, und wie lange, bis die Polizei kommt und die Einbrecher stellt?“
Was passiert mit den gestohlenen Daten?
„Kreditkartendaten landen häufig auf dem Schwarzmarkt, normalerweise im Darknet, wo sie sofort verkauft werden“, erläutert Bauer. Dies liegt daran, dass der Wert der Daten von der Lebensdauer abhängt. Kreditkartendaten sind wertvoll, wenn sie noch „frisch“ sind, bevor der Hack bemerkt wird und die rechtmäßigen Kartenbesitzer ihre Kartennummern ändern.
Es gibt jedoch auch andere Arten von Daten, an denen Hacker interessiert sind. „Der Marriott-Hack ist ein Beispiel, wie mit staatlich initiierten Hacks versucht wurde, die Bewegungen von Politikern zu verstehen“, erklärt der Experte von Vectra. „Es ist eine Sache, die Kreditkartendaten von jemandem abzugreifen, dahinter steckt finanzielles Interesse. Etwas ganz anderes ist es, in Erfahrung zu bringen, wo sich bestimmte Personen aufhalten werden, in welche Länder sie reisen und wann. Das ist dann Cyberspionage.“
Ein weiterer Trend ist, dass es Hacker auf Fluggesellschaften und Hotels abgesehen haben, um Flugmeilen oder Belohnungspunkte zu stehlen. Diese lassen sich weiterverkaufen oder selbst nutzen. American Airlines und United gaben beide zu, dass sie in den letzten 18 Monaten kompromittiert wurden, wobei die Täter die Meilen von 10.000 Belohnungskonten gestohlen haben. „Gemeldet werden nur Vorfälle, wenn persönliche Informationen oder Kreditkartennummern gestohlen werden. Wenn Flugmeilen oder Bonuspunkte abhandenkommen, fällt es meist niemandem auf“, so Bauer.
Wie können sich Verbraucher bei der Urlaubsbuchung schützen?
In der heutigen digitalen Gesellschaft ist die Nutzung des Internets zur Bezahlung von Waren oder Dienstleistungen oft unvermeidlich. Es gibt jedoch einige Maßnahmen, wie sich Verbraucher besser schützen können. „Versuchen Sie, die Nutzung Ihrer Kreditkarte zu minimieren“, empfiehlt Bauer. „Nutzen Sie Zahlungsanwendungen von Drittanbietern wie Paypal, wo immer es möglich ist.“
Allerdings ist eine Kreditkarte einer Debitkarte vorzuziehen, denn wenn jemand unbefugte Zahlungen auf der fremden Kreditkarte tätigt, ist der rechtmäßige Karteninhaber versichert. So können Verbraucher Ihr Geld zurückfordern vom Kreditkartenanbieter.
Das Bewusstsein für verdächtige Aktivitäten auf dem eigenen Konto ist ebenfalls wichtig. Hierzu empfiehlt sich eine regelmäßige Überprüfung der eigenen Bankkonten. „Es geht weniger darum, die Kompromittierung zu stoppen, denn das lässt sich nicht beeinflussen. Was jedoch möglich ist, ist wachsam zu bleiben. Dies bedeutet, einen Betrug möglichst bald zu bemerken und die Karte zu sperren, bevor der Schaden immer höher wird“, so Bauer.
Zudem empfiehlt es sich, die Passwörter regelmäßig zu ändern und jedes Jahr eine neue Kreditkarte zu beantragen. Wenn ein großer Reiseanbieter wie Expedia gehackt wird, besteht eine größere Chance, dass dann die alten Daten auf der Website gespeichert sind.
Drei grundlegende Sicherheitsmaßnahmen
Es gibt drei wichtige Dinge, auf die Urlauber unterwegs achten sollten:
Erstens, ist Vorsicht geboten bei der Nutzung öffentlicher WLAN-Hotspots. „Es ist in Ordnung, zu Starbucks zu gehen und dort über das WLAN die Nachrichten zu überfliegen oder sich Restaurantbewertungen und Sightseeing-Tipps anzusehen. An einem WLAN-Hotspot auf das Bankkonto zuzugreifen, ist riskant, denn Cyberbetrüger könnten Daten abgreifen“, warnt Bauer.
Zweitens, gibt es immer wieder sogenannte Skimmer an Geldautomaten, kleine Geräte, die Karteninformationen aufzeichnen. Dies kann häufiger vorkommen, wenn man in Länder reist, in denen die Behörden weniger wachsam sind. „Versuchen Sie, vertrauenswürdige Orte aufzusuchen, um Geld abzuheben, wie zum Beispiel eine Bankfiliale, und nicht einen Geldautomaten, der an der nächsten Straßenecke steht“, sagt Bauer.
Drittens, ist es kritisch zu werten, dass Urlauber ihre Erlebnisse in Echtzeit in sozialen Medien teilen. Dies könnte auch jemand sehen, der Interesse daran hat, dass das Haus leer ist. Hier könnte etwas, das in der Cyberwelt passiert, das physische, reale Verbrechen erleichtern. Wer dieses unnötige Risiko vermeiden will, teilt seine schönsten Urlaubsfotos erst zuhause wieder.
Was zu tun ist bei Verdacht
Vectra rät: Wenn Verbraucher verdächtige Aktivitäten auf ihrem Bankkonto bemerken, sollten sie sich sofort an ihre Bank wenden und ihre Passwörter ändern. Vorbeugend ist es ratsam, wo immer möglich, eine Zwei-Faktor-Authentifizierung zu verwenden. Eine Website sollte bei der Anmeldung oder bei der Buchung nach zusätzlichen Informationen fragen, neben dem Passwort. Leider bieten Buchungsplattformen dies nicht oft als Option an, denn hier geht es nicht primär um Sicherheit, sondern um Effizienz. Die Buchung soll so einfach, bequem und schnell wie möglich erfolgen. Bis Unternehmen – nicht nur in der Reisebranche – lernen, Sicherheit als eine ernsthafte Priorität zu betrachten, wird es noch viele Sicherheitsvorfälle geben.
www.vectra.ai
