Prostay
Demo buchen
Hotel Technology & Innovation

Cybersicherheit in Hotels im Jahr 2026: Was NIS2 und Ransomware wirklich erfordern

Ransomware ist der häufigste Grund, warum ein unabhängiges Hotel eine Woche Umsatz verliert, und NIS2 hat aus einem eher unbedeutenden IT-Problem eine rechtliche Verpflichtung auf Vorstandsebene gemacht, die mit persönlicher Haftung für Führungskräfte verbunden ist. So sieht die Situation im Jahr 2026 für Betreiber – nicht für Techniker – aus: ob NIS2 für Sie gilt, wie ein Sicherheitsvorfall über die Rezeption und einen Anbieter bis ins PMS gelangt, welche Meldefristen Sie einhalten müssen, welche Kontrollmaßnahmen das Risiko tatsächlich mindern und wie ein 30-Tage-Bereitschaftsplan aussieht.

Mika Takahashi
Mika TakahashiRedaktion

Veröffentlicht 19. Juni 2026

24 Min. Lesezeit

A cel-shaded editorial illustration of a night auditor standing at a dim hotel front desk during a security incident: the reception monitor shows a red padlock and a ransom-style lock screen over the property management system, the keyboard is pushed aside, the auditor holds a desk phone to one ear while reading a printed incident-response runbook held in the other hand, a router with a blinking amber light sits behind the desk, and a small wall clock reads just past 3 a.m., conveying the human reality of a hotel ransomware attack rather than abstract code, all rendered in the warm cream, taupe, sage, terracotta and deep navy palette.

Warum Hotels leichte Ziele sind und kein Kollateralschaden

Ein Hotel ist ein ungewöhnlich attraktives Ziel, und den meisten Betreibern wurde nie erklärt, warum. Sie verfügen über umfangreiche personenbezogene Daten von Tausenden von Fremden: Namen, Wohnadressen, Scans von Reisepässen und Ausweisen, Reisedaten, Zahlungsdetails, manchmal auch Angaben zu Gesundheit und Ernährungsgewohnheiten. Sie betreiben ein Gebäude voller Gastgeräte in Ihrem Netzwerk. Sie sind rund um die Uhr im Einsatz, mit einer Rezeption, deren Mitarbeiter darauf geschult sind, Fremden hilfsbereit zu begegnen – genau diesen Instinkt nutzt ein Social-Engineer aus. Und Sie sind auf eine Reihe von ständig aktiven Systemen angewiesen – das Property-Management-System, das die Abrechnung verwaltet und Gästedaten speichert, den Channel-Manager, die Türschlösser, die Kassensysteme –, die keine Ausfallzeiten vertragen, ohne dass der Geschäftsbetrieb zum Erliegen kommt. Angreifer wissen all das. Sie stoßen nicht zufällig auf Hotels; sie wählen sie gezielt aus. Die Systeme, in denen die Daten Ihrer Gäste gespeichert sind – angefangen beim Property-Management-System –, sind die Kronjuwelen, auf die es einem Angreifer tatsächlich abgesehen ist.

Jahrelang wurde Cybersicherheit als Problem der IT-Abteilung betrachtet – oder, in einem unabhängigen Hotel ohne IT-Abteilung, als niemandes Problem, bis etwas kaputtging. Diese Haltung ist im Jahr 2026 aus zwei sich überschneidenden Gründen nicht mehr haltbar. Der erste Grund ist Ransomware, die sich zu einem Dienstleistungsgeschäft entwickelt hat, das mittelgroße Betreiber mit wertvollen Daten und schwachen Abwehrmaßnahmen überproportional trifft – genau das Profil eines unabhängigen Hotels. Der zweite Grund ist NIS2, die EU-Richtlinie zur Netz- und Informationssicherheit, die Cybersicherheit von einer freiwilligen IT-Ausgabe zu einer gesetzlichen Verpflichtung mit persönlicher Haftung für die Geschäftsleitung gemacht hat. Selbst Ihr Zahlungsablauf ist Teil des Gesamtbildes: Die Art und Weise, wie Sie Kartendaten über Ihr Zahlungssystem verarbeiten, entscheidet darüber, wie viele verwertbare Daten ein Angreifer tatsächlich stehlen kann – nicht „ob“, sondern „wann“ er in das System eindringt.

Ich schreibe für Prostay, und unser Team beschäftigt sich intensiv mit der Schnittstelle zwischen den von uns entwickelten Hotelsystemen und den Sicherheitsverpflichtungen, denen unsere Kunden nun unterliegen. Daher stammen die unten aufgeführten Bedrohungsmuster, behördlichen Fristen und Kontrollprioritäten aus dem veröffentlichten NIS2-Rahmenwerk, den von Sicherheitsfirmen gemeldeten Vorfallzahlen im Gastgewerbe sowie der praktischen Erfahrung bei der Unterstützung von Betrieben bei der Wiederherstellung, wenn etwas schiefgeht. Dieser Artikel richtet sich an Geschäftsführer und Eigentümer, nicht an Sicherheitsingenieure. Er erläutert, ob NIS2 für Sie gilt, wie ein Sicherheitsvorfall in einem Hotel tatsächlich abläuft, welche Meldefristen Sie einhalten müssen, welche wenigen Kontrollmaßnahmen das Risiko tatsächlich verringern und enthält einen 30-Tage-Plan, um von einer ungeschützten zu einer gut geschützten Situation zu gelangen. Dafür ist kein Informatikstudium erforderlich. Vor allem müssen Sie sich bewusst machen, dass dies nun Ihre Aufgabe ist – denn rechtlich und praktisch gesehen ist es genau das.

Was NIS2 eigentlich ist und ob es für Ihr Hotel gilt

NIS2 ist die zweite Fassung der EU-Richtlinie über Netz- und Informationssicherheit. Die erste NIS-Richtlinie (2016) betraf einen engen Kreis kritischer Betreiber: Energie, Wasser, große digitale Infrastruktur. NIS2, das die Mitgliedstaaten bis zum 17. Oktober 2024 in nationales Recht umsetzen mussten, erweitert den Geltungsbereich erheblich, erhöht die Anforderungen an die Sicherheitsmaßnahmen, verschärft die Meldepflichten bei Vorfällen und sieht – was entscheidend ist – konkrete Strafen sowie die persönliche Haftung der Führungskräfte vor. Es handelt sich nicht um ein speziell auf das Gastgewerbe zugeschnittenes Gesetz, was genau der Grund dafür ist, dass so viele Hoteliers nicht erkannt haben, dass es auch für sie gelten könnte.

Ob es gilt, hängt von drei Faktoren ab: Ihrer Branche, Ihrer Größe und der Umsetzung in Ihrem Land. Hotels stehen nicht wie die Energie- und Gesundheitsbranche auf der Liste der „systemrelevanten“ Sektoren, sodass ein einzelnes Hotel in den meisten Ländern nicht automatisch unter die Regelung fällt. Doch die Grenzen sind unschärfer, als diese Zusammenfassung vermuten lässt: Die Größenschwellen betreffen größere Betriebe und Konzerne direkt, und die Bestimmungen zur Lieferkette reichen weit über den formalen Geltungsbereich hinaus. Das Ergebnis ist eine Situation, in der einige Hotels direkt unter die Regelung fallen, viele weitere indirekt über Partner gebunden sind und fast keines wirklich von der zugrunde liegenden Erwartung ausgenommen ist, Cyberrisiken zu managen.

Systemrelevante vs. wichtige Einrichtungen und der Größentest

NIS2 unterteilt regulierte Organisationen in zwei Stufen. Wesentliche Einrichtungen sind die Betreiber mit der höchsten Kritikalität und unterliegen der strengsten Aufsicht. Wichtige Einrichtungen bilden eine größere Gruppe, die zwar ebenfalls die Sicherheits- und Meldepflichten erfüllen muss, jedoch einer weniger strengen Aufsicht unterliegt – in der Regel erst nach einem Vorfall und nicht proaktiv. Diese Unterscheidung ist vor allem entscheidend dafür, wie stark eine Aufsichtsbehörde auf Sie einwirkt und wie hoch die maximalen Bußgelder ausfallen.

Hinzu kommt ein Größenfilter. Die Verpflichtungen der Richtlinie gelten für mittlere und große Organisationen, im Allgemeinen solche mit 50 oder mehr Mitarbeitern oder einem Jahresumsatz und einer Bilanzsumme von über 10 Millionen Euro, die in den erfassten Sektoren tätig sind. Ein kleines Hotel am Meer mit 18 Mitarbeitern liegt in der Regel unter dieser Schwelle und fällt nicht direkt unter die Richtlinie. Ein städtisches Konferenzhotel mit 250 Zimmern oder eine Verwaltungsgesellschaft, die ein Dutzend Immobilien betreibt, kann diese Schwelle leicht überschreiten und fällt damit direkt in den Geltungsbereich. Entscheidend für die Planung ist, dass die Größe auf der Ebene der juristischen Person und manchmal auch der gesamten Unternehmensgruppe bewertet wird; daher kann eine kleine Immobilie, die einem größeren Betreiber gehört, Verpflichtungen übernehmen, die sie allein nicht tragen würde. Klären Sie Ihre konkrete Situation mit einem lokalen Berater ab, da die Einzelheiten der Umsetzung und die genaue Zuordnung zu den Branchen je nach Mitgliedstaat variieren.

Die Lieferkettenklausel, die kleine Hotels mit einbezieht

Hier liegt der Punkt, der unabhängige Betreiber unvorbereitet trifft. NIS2 macht die Sicherheit der Lieferkette und der Lieferanten zu einer ausdrücklichen Verpflichtung der betroffenen Unternehmen. Eine regulierte Hotelgruppe, eine Reiseplattform, ein Einkäufer für Geschäftsreisen oder eine Verwaltungsgesellschaft muss die Sicherheit ihrer Lieferanten und Partner gewährleisten, und der sauberste Weg, dieser Pflicht nachzukommen, besteht darin, die Anforderungen vertraglich an die nachgelagerten Ebenen weiterzugeben. Ein unabhängiges Hotel mit 40 Zimmern, das Geschäftsreisegäste von einem regulierten Unternehmen beherbergt, unter einer Franchise-Marke betrieben wird oder an eine regulierte Plattform angeschlossen ist, wird daher zunehmend einen Sicherheitsnachtrag erhalten: Setzen Sie MFA durch, führen Sie regelmäßig getestete Backups durch, melden Sie Vorfälle innerhalb von X Stunden an uns und lassen Sie sich von uns prüfen. Man erfüllt die NIS2-konformen Kontrollmaßnahmen nicht, weil eine Aufsichtsbehörde an die Tür geklopft hat, sondern weil der Verlust des Vertrags keine Option ist.

Deshalb ist die Einstellung „Wir sind zu klein für NIS2“ die falsche Herangehensweise im Hinblick auf das Jahr 2026. Die realistische Frage ist nicht, ob die Richtlinie Ihr Unternehmen namentlich erwähnt, sondern wann die Kontrollmaßnahmen Sie erreichen – sei es durch direkte Benennung, über Ihren Konzern oder über den Vertrag eines Partners – und ob Sie diese lieber jetzt in aller Ruhe umsetzen oder unter dem Druck einer von anderen auferlegten Frist hastig nachholen möchten. Im weiteren Verlauf dieses Artikels wird davon ausgegangen, dass Sie diese Maßnahmen benötigen werden, denn für die große Mehrheit der Betreiber mit geschäftlicher Tätigkeit wird dies der Fall sein.

Die Angriffsfläche eines Hotels, kartografiert

Um ein Hotel zu verteidigen, müssen Sie es mit den Augen eines Angreifers betrachten: als eine Reihe von Türen, von denen Sie bei den meisten vergessen haben, dass Sie sie offen gelassen haben. Die Angriffsfläche ist größer als der PC an der Rezeption, und die Benennung jedes einzelnen Teils ist der erste Schritt, um sie zu schließen.

A diagram of a hotel's cyber attack surface showing entry points feeding toward the property management system at the centre: a phishing email arriving at the front-desk inbox, an exposed Remote Desktop and VPN login, a third-party vendor connection such as a channel manager or maintenance contractor, the guest Wi-Fi network, and unpatched devices like door-lock controllers and the point-of-sale terminal, with arrows converging on the PMS and the stored guest data and payment records behind it.
Jedes vernetzte System ist eine Tür. Angreifer zählen die, die Sie vergessen haben abzuschließen, nicht die, die Sie abgeschlossen haben.

Die menschliche Rezeption. Das Personal an der Rezeption ist darauf geschult, zu vertrauen und zu helfen. Ein überzeugender Anruf („Hier ist die IT-Abteilung der Zentrale, Sie müssen bitte ein kurzes Update installieren“) oder eine geschickt formulierte E-Mail-Rechnung reichen oft schon aus. Phishing und Social Engineering sind branchenübergreifend der häufigste erste Einstiegspunkt, und die hilfsbereite Kultur im Gastgewerbe verschlimmert das Problem noch.

Fernzugriff. Jemand muss von außerhalb auf das PMS zugreifen: ein Eigentümer, ein Nachtdienstleiter, ein Softwareanbieter, der Support leistet. Allzu oft handelt es sich dabei um einen ungeschützten Remote-Desktop-Zugang, der direkt ins Internet hinausragt und nur durch ein wiederverwendetes Passwort geschützt ist. Das ist die Schwachstelle, die bei Ransomware-Angriffen auf kleine Unternehmen am zuverlässigsten ausgenutzt wird – Punkt.

Verbindungen von Drittanbietern. Ihr Channel-Manager, Ihre Buchungsmaschine, Ihr Zahlungsgateway, Ihr Türschlosssystem und Ihre Wartungsdienstleister sind alle mit Ihrer Umgebung verbunden. Jede dieser Verbindungen ist ein potenzieller Einfallstor, und eine Sicherheitslücke bei einem Anbieter kann zu einer Sicherheitslücke bei Ihnen werden. Das ist das Lieferkettenrisiko, auf das sich die NIS2-Richtlinie konzentriert – aus Ihrer Perspektive betrachtet.

Gäste- und Betriebsnetzwerke. Wenn das Gäste-WLAN, die Buchungssysteme, die Zahlungsterminals und die Backoffice-Rechner alle Teil eines einzigen flachen Netzwerks sind, kann der kompromittierte Laptop eines Gastes oder ein mit Malware infiziertes Gerät in der Lobby auf das PMS zugreifen. Flache Netzwerke verwandeln einen kleinen Einbruch in einen totalen.

Nicht gepatchte und vergessene Geräte. Der Türschloss-Controller mit zehn Jahre alter Firmware, das POS-Terminal, das niemand aktualisiert, der alte PC im Backoffice, auf dem noch ein Betriebssystem läuft, für das es keine Sicherheitspatches mehr gibt. Angreifer suchen genau nach solchen Schwachstellen und nutzen sie aus. Die Angriffsfläche eines Hotels ist keine einzige große Mauer, die es zu verteidigen gilt; es sind Dutzende kleiner Mauern, und der Angreifer braucht nur eine einzige, die Schwachstelle aufweist.

Wie sich ein Hackerangriff auf ein Hotel tatsächlich abspielt

Ransomware wird nicht in dem Moment ausgelöst, in dem jemand auf einen bösartigen Link klickt. Der Angriff vollzieht sich schrittweise über Stunden oder Tage hinweg, und wenn man den Ablauf versteht, weiß man, an welcher Stelle man noch die Chance hat, ihn zu stoppen.

Meistens beginnt alles mit dem ersten Zugriff: eine durch Phishing erlangte Zugangsdaten, ein offengelegtes RDP-Login, das durch Ausprobieren gängiger Passwörter geknackt wurde, oder ein Einstiegspunkt, der von einem kompromittierten Anbieter übernommen wurde. Der Angreifer befindet sich nun als ein Benutzer im System, oft ohne dass es jemand bemerkt. Als Nächstes folgen Eskalation und laterale Bewegung: Die Angreifer suchen nach einem Administratorkonto, bewegen sich vom Rechner an der Rezeption in Richtung der Server und verschaffen sich einen Überblick über Ihre Systeme. Dies ist die stille Phase, die manchmal Tage dauert, und in der eine gute Überwachung und Netzwerksegmentierung die Angreifer noch aufspüren und eindämmen können.

Dann folgt die Datenexfiltration: Moderne Ransomware-Gruppen stehlen eine Kopie Ihrer Gästedaten, bevor sie irgendetwas verschlüsseln, denn gestohlene Daten sind ein Druckmittel, selbst wenn Ihre Backups einwandfrei sind. Dies ist der Übergang zur sogenannten doppelten Erpressung. Erst ganz am Ende folgen die Verschlüsselung und die Lösegeldforderung: Dateien sind gesperrt, das PMS unbrauchbar, eine Forderung erscheint auf dem Bildschirm, und die Rezeption kann plötzlich niemanden mehr ein- oder auschecken. Der Grund, warum diese Abfolge wichtig ist, liegt darin, dass der auffällige, offensichtliche Teil (der Sperrbildschirm) der letzte Akt ist, nicht der erste. Wenn Sie ihn sehen, ist der Angreifer in der Regel schon eine Weile in Ihrer Umgebung und hat bereits mitgenommen, was er wollte. Abwehrmaßnahmen, die erst auf die Verschlüsselung reagieren, kommen zu spät; die entscheidenden Erfolge müssen früher erzielt werden, nämlich beim Zugriff und bei der lateralen Bewegung.

Die wirtschaftlichen Auswirkungen eines Ransomware-Angriffs auf ein Hotel

Betreiber fixieren sich auf die Höhe des Lösegelds, doch das Lösegeld ist selten der größte Kostenfaktor. Rechnet man zusammen, was ein schwerwiegender Vorfall einem Hotel tatsächlich anrichtet, ist die entscheidende Zahl der gesamte Betriebsausfall – nicht die Forderung auf dem Bildschirm.

Beginnen wir mit den Ausfallzeiten. Wenn das PMS verschlüsselt ist, greift die Rezeption, sofern möglich, wieder auf Stift und Papier zurück, der Channel-Manager synchronisiert nicht mehr, Online-Reisebüros verkaufen weiterhin Zimmer, die Sie nicht sehen können, und innerhalb weniger Stunden kommt es zu Doppelbuchungen und zur Umbuchung von Gästen. Ein mehrtägiger Ausfall während einer Hochsaison kann durch entgangene und falsch bearbeitete Buchungen höhere Kosten verursachen als jedes Lösegeld. Hinzu kommen die Wiederherstellungskosten: Spezialisten für die Reaktion auf Vorfälle, forensische Untersuchungen, die Wiederherstellung der Systeme aus sauberen Backups und die Überstunden der Mitarbeiter, die den Betrieb in der Zwischenzeit manuell aufrechterhalten müssen. Hinzu kommt die regulatorische und rechtliche Ebene: NIS2-Strafen für betroffene Unternehmen sind hoch (für systemrelevante Unternehmen können die Bußgelder bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes betragen, je nachdem, welcher Betrag höher ist), ein Verstoß gegen die DSGVO, falls Gästedaten kompromittiert wurden, sowie die Kosten für die Benachrichtigung und Betreuung betroffener Gäste.

Und schließlich die Kosten, die sich in keiner Tabellenkalkulation klar erfassen lassen: der Rufschaden. „Dieses Hotel hat meine Pass- und Kartendaten weitergegeben“ – das ist die Art von Geschichte, die einem Hotel über Jahre hinweg in Bewertungen und in der Presse nachhängt. Auch die Zahlung des Lösegelds behebt keines dieser Probleme zuverlässig; die von den Kriminellen bereitgestellten Entschlüsselungstools sind oft langsam oder unvollständig, die Zahlung kennzeichnet Sie als leichtes Ziel für die nächste Bande, und sie ändert nichts an den bereits gestohlenen Daten. Die wirtschaftlichen Argumente für Prävention sind gerade deshalb überwältigend, weil die Nachteile so viel größer und chaotischer sind, als die in den Schlagzeilen genannte Lösegeldsumme vermuten lässt. Ein paar Tausend in MFA, Backups und Segmentierung zu investieren, ist eine günstige Versicherung gegen einen schlechten Monat mit sechs- oder siebenstelligen Verlusten.

Die Meldefrist: 24 Stunden, 72 Stunden, ein Monat

Für betroffene Unternehmen verlangt die NIS2 nicht nur, dass Sie für Sicherheit sorgen, sondern schreibt auch vor, wie schnell Sie die Behörden informieren müssen, wenn dies nicht der Fall ist. Der Zeitrahmen ist enger, als die meisten Betreiber annehmen, und er beginnt in dem Moment, in dem jemand vor Ort erkennt, dass ein schwerwiegender Vorfall im Gange ist.

A horizontal incident-reporting timeline for NIS2 starting at the moment a hotel becomes aware of a significant incident: an early warning to the national authority or CSIRT due within 24 hours, a fuller incident notification within 72 hours, and a final report within one month, shown alongside a parallel track noting the GDPR 72-hour personal-data breach notification that runs at the same time.
Die Frist beginnt mit der Feststellung des Vorfalls, nicht mit dessen Behebung. Stunden, nicht Tage, bis zum ersten Anruf.

Innerhalb von 24 Stunden: die Frühwarnung. Sobald Sie Kenntnis von einem schwerwiegenden Vorfall haben, sind Sie Ihrer nationalen Behörde oder dem CSIRT eine schnelle Frühwarnung schuldig, noch bevor Sie vollständig verstehen, was passiert ist. Es geht um Schnelligkeit, nicht um Vollständigkeit; die Aufsichtsbehörde möchte frühzeitig wissen, dass etwas Ernstes im Gange ist.

Innerhalb von 72 Stunden: die Vorfallmeldung. Es folgt ein ausführlicherer Bericht mit einer ersten Einschätzung des Schweregrads, der Auswirkungen und etwaiger Anzeichen für eine Kompromittierung. Zu diesem Zeitpunkt sollten Sie bereits Ihr Incident-Response-Team eingeschaltet haben und sich ein konkretes Bild vom Ausmaß des Vorfalls gemacht haben.

Innerhalb eines Monats: der Abschlussbericht. Eine detaillierte Darstellung des Vorfalls, der Grundursache, der ergriffenen Maßnahmen und der Auswirkungen. Damit ist der Prozess mit der Aufsichtsbehörde abgeschlossen. Parallel dazu gilt – sofern personenbezogene Daten offengelegt wurden (was bei einem Datenleck in einem Hotel fast immer der Fall ist) – auch die 72-Stunden-Frist der DSGVO für die Benachrichtigung der Datenschutzbehörde, und Sie müssen möglicherweise betroffene Gäste direkt informieren. Es handelt sich um separate Verpflichtungen gegenüber verschiedenen Behörden, die sich zeitlich überschneiden – genau deshalb lässt sich während des Vorfalls selbst nicht klären, wer wen anrufen muss.

Die operative Lehre daraus ist klar: Die Entscheidungen zur Meldung müssen im Voraus getroffen werden. Wer meldet einen Vorfall, wer kontaktiert die Behörde, welche Behörde, mit welchen Informationen, unter welcher Nummer – all das gehört in einen schriftlichen Plan, den Sie um 3 Uhr morgens umsetzen können, ohne einen Anwalt auf der Kurzwahltaste zu haben. Ein Hotel, das sich darüber noch nie Gedanken gemacht hat, wird die 24-Stunden-Frist verpassen, einfach weil niemand wusste, dass es seine Aufgabe war, den Anruf zu tätigen.

Haftung der Geschäftsführung und warum der Geschäftsführer dies nicht delegieren kann

Die Änderung in der NIS2, die Eigentümer und Geschäftsführer am meisten beunruhigen sollte, ist keineswegs technischer Natur. Vielmehr legt die Richtlinie die Verantwortung für die Cybersicherheits-Governance eindeutig beim Leitungsgremium fest und macht diese Rechenschaftspflicht persönlich. Die Geschäftsführung muss die Maßnahmen des Unternehmens zum Cyber-Risikomanagement genehmigen, deren Umsetzung überwachen und kann bei Versäumnissen haftbar gemacht werden. Die Richtlinie erwartet zudem, dass Führungskräfte an Cybersicherheitsschulungen teilnehmen, damit sie die Risiken, für die sie die Verantwortung übernehmen, auch tatsächlich verstehen.

Im Klartext: Ein Geschäftsführer kann nicht mehr sagen „Das ist Aufgabe der IT-Abteilung“ und die Angelegenheit damit als erledigt betrachten. Man kann die Arbeit zwar an ein internes Team oder einen externen Dienstleister delegieren, doch die Verantwortung dafür, dass sie tatsächlich erfolgt, sowie die Konsequenzen bei Nichtumsetzung liegen weiterhin bei einem selbst. Die nationalen Umsetzungsgesetze untermauern dies mit der Androhung erheblicher Geldbußen und in einigen Fällen mit der Möglichkeit, Personen bei schwerwiegenden Versäumnissen vorübergehend von Führungsaufgaben auszuschließen. Das ist eine bewusste Entscheidung der EU: Die Erfahrung hat gezeigt, dass der Sicherheit zu wenig Ressourcen zugewiesen wurden, solange sie zwei Ebenen unterhalb derjenigen angesiedelt war, die über das Budget verfügten; daher hat NIS2 sie an die Spitze des Organigramms gehoben.

Für ein unabhängiges Hotel geht es hier weniger um Angst als vielmehr um Eigenverantwortung. Jemand mit Entscheidungsbefugnis muss die Verantwortung für Cyberrisiken genauso übernehmen wie für Brandschutz oder Lebensmittelhygiene: als namentlich festgelegte Aufgabe mit einem Budget, einem Plan und regelmäßigen Überprüfungen – und nicht als nachträglicher Einfall, der erst dann zum Vorschein kommt, wenn etwas schiefgeht. Die gute Nachricht ist, dass die Kontrollmaßnahmen, die dieser Verpflichtung gerecht werden, meist alltäglich und erschwinglich sind – genau darum geht es im weiteren Verlauf dieses Artikels. Die Verpflichtung ist ernst zu nehmen; ihre Erfüllung ist jedoch nichts Außergewöhnliches.

Die Kontrollmaßnahmen, die tatsächlich etwas bewirken

Das Cybersicherheits-Marketing will Ihnen eine Flut von Abkürzungen verkaufen. In Wahrheit ist es jedoch so, dass eine kleine Anzahl unscheinbarer Kontrollmaßnahmen den Großteil der tatsächlichen Angriffe auf Hotels abwehrt – und diese sind weitaus wichtiger als jedes einzelne Produkt. Hier sind diejenigen, denen Sie zuerst Ihre Aufmerksamkeit und Ihr Budget widmen sollten.

Identität, MFA und das RDP-Problem

Die meisten Sicherheitsverletzungen in Hotels sind nicht besonders raffiniert; sie beruhen auf einem gültigen Passwort, das an einer Stelle verwendet wurde, an der es eigentlich nicht hätte funktionieren dürfen. Zwei Maßnahmen neutralisieren den Großteil davon. Erstens: Setzen Sie die Multi-Faktor-Authentifizierung für jedes wichtige Konto durch: PMS-Anmeldungen, E-Mail, Fernzugriff, Administratorkonten – einfach alles. Mit MFA ist ein gestohlenes Passwort für sich genommen nutzlos. Zweitens: Schalten Sie den Remote-Desktop-Zugriff aus dem offenen Internet ab. Wenn Mitarbeiter oder Dienstleister Fernzugriff benötigen, leiten Sie diesen über ein VPN oder ein Zero-Trust-Gateway mit MFA und machen Sie RDP niemals direkt zugänglich. Kombinieren Sie dies mit grundlegender Passwort-Hygiene (keine gemeinsam genutzten Anmeldedaten, kein „Welcome2024“ für das Admin-Konto, ein Passwort-Manager, damit die Mitarbeiter starke, einzigartige Passwörter verwenden können), und Sie haben die Tür verschlossen, durch die die häufigsten Angriffe eindringen. Dies ist die Sicherheitsmaßnahme mit dem höchsten Nutzen, die ein Hotel ergreifen kann, und sie kostet nur sehr wenig.

Backups, aus denen Sie tatsächlich Daten wiederherstellen können

Backups entscheiden darüber, ob ein Ransomware-Angriff nur eine schlechte Woche oder das Ende des Unternehmens bedeutet. Was viele jedoch übersieht, ist, dass das Backup sowohl offline oder unveränderlich als auch getestet sein muss. Angreifer suchen gezielt nach verbundenen Backups und verschlüsseln diese, bevor sie die Ransomware auslösen; daher bietet ein dauerhaft an den Server angeschlossenes Backup-Laufwerk keinerlei Schutz. Sie benötigen Kopien, auf die der Angreifer keinen Zugriff hat: offline oder in einem unveränderlichen Cloud-Speicher, der innerhalb eines Aufbewahrungszeitraums weder verändert noch gelöscht werden kann. Und Sie müssen die Wiederherstellung regelmäßig testen, denn der schlechteste Zeitpunkt, um festzustellen, dass Ihre Backups beschädigt oder unvollständig sind, ist der Morgen, an dem Sie sie tatsächlich benötigen. Ein Backup, aus dem Sie noch nie Daten wiederhergestellt haben, ist eine Hoffnung, kein Plan.

Segmentierung von PMS, POS und Gäste-WLAN

Die Netzwerksegmentierung ist die Kontrollmaßnahme, die begrenzt, wie weit sich ein Angriff ausbreiten kann. Das Prinzip ist einfach: Systeme, die nicht miteinander kommunizieren müssen, sollten sich nicht im selben Netzwerk befinden. Das Gäste-WLAN muss von allen betriebsrelevanten Systemen isoliert sein, damit der infizierte Laptop eines Gastes das PMS nicht erreichen kann. Zahlungsterminals gehören in ein eigenes Segment. Die Backoffice- und PMS-Systeme sollten vom allgemeinen Surfverkehr der Mitarbeiter getrennt sein. Wenn der Rechner an der Rezeption kompromittiert wird, verhindert die Segmentierung, dass der Angreifer die Server und die Zahlungssysteme in einem Schritt erreichen kann. So wird aus einem potenziellen vollständigen Sicherheitsverstoß ein eingedämmter Vorfall, und es geht dabei hauptsächlich darum, die bereits vorhandenen Geräte richtig zu konfigurieren, anstatt neue anzuschaffen.

Zahlungsdaten, Tokenisierung und die Verringerung des Schadensumfangs

Die gefährlichsten Daten, die Sie speichern, sind diejenigen, die Sie gar nicht speichern müssen. Unverschlüsselte Kartennummern sind das deutlichste Beispiel dafür. Wenn Ihre Systeme vollständige Kartendaten speichern oder auch nur kurzzeitig verarbeiten, werden diese bei einem Sicherheitsvorfall offengelegt, und Sie tragen ein erhebliches Haftungsrisiko. Die Lösung ist die Tokenisierung: Ihr Zahlungsabwickler bewahrt die echten Kartendaten in seinem gesicherten Tresor auf und übermittelt Ihrem PMS ein bedeutungsloses Token, das die Karte repräsentiert, ohne dass es im Falle eines Diebstahls verwendet werden kann. Bei korrekter Umsetzung befinden sich die sensiblen Kartennummern niemals in Ihrem Netzwerk.

Das ist die Sicherheitslogik hinter PCI DSS, und deshalb ist eine moderne, tokenisierte Zahlungsinfrastruktur ebenso eine Sicherheitsmaßnahme wie eine Erleichterung beim Zahlungsverkehr. Wenn ein Angreifer eindringt und nach Kartendaten sucht, die er stehlen kann, gibt es nichts Verwertbares zu entwenden. Diese eine architektonische Entscheidung entfernt die attraktivste und am strengsten regulierte Datenkategorie vollständig aus Ihrem Risikobereich. Das macht Sie zwar nicht unbesiegbar, da der Rest der Gästedaten (Reisepässe, Adressen, Aufenthaltsverlauf) nach wie vor wertvoll ist und weiterhin geschützt werden muss, aber es nimmt die Kronjuwelen vom Tisch. Jedes Hotel, in dem vollständige Kartennummern noch immer mit dem PMS in Berührung kommen oder in einer Tabellenkalkulation gespeichert sind, sollte die Behebung dieses Problems als Notfall und nicht als einen Punkt auf der Roadmap behandeln.

Anbieter, der Channel-Manager und Risiken durch Drittanbieter

Ihre Sicherheit ist nur so stark wie der schwächste Anbieter, der eine Verbindung zu Ihren Systemen hat – und davon gibt es in einem Hotel viele. Der Channel-Manager, die Buchungsmaschine, das Zahlungsgateway, die Türschloss-Plattform, die Marketing-Tools, der IT-Support-Anbieter: Jeder von ihnen verfügt über Zugriffsrechte oder Daten, und eine Sicherheitslücke bei einem dieser Anbieter kann zu einer Sicherheitslücke bei Ihnen führen. NIS2 formalisiert dies als Pflicht zum Management von Lieferantenrisiken, aber es ist einfach nur vernünftig – unabhängig davon, ob Ihre Einrichtung in der Richtlinie namentlich genannt wird.

Dafür brauchen Sie keine Beschaffungsabteilung. Es reicht aus, Ihren wichtigsten Anbietern eine kurze, gezielte Reihe von Fragen zu stellen und entsprechend den Antworten zu handeln. Wo werden unsere Daten gespeichert, und sind sie verschlüsselt? Setzen Sie beim Zugriff auf unsere Umgebung eine Multi-Faktor-Authentifizierung (MFA) durch? Hatten Sie bereits eine Sicherheitsverletzung, und wie sind Sie damit umgegangen? Welche Zertifizierungen oder unabhängigen Sicherheitsbewertungen können Sie mir vorlegen? Wie schnell würden Sie uns informieren, wenn Sie kompromittiert wurden? Ein seriöser Anbieter beantwortet diese Fragen bereitwillig und legt Ihnen möglicherweise von sich aus einen Sicherheitsüberblick oder eine anerkannte Zertifizierung vor. Ein Anbieter, der sich defensiv verhält oder vage antwortet, vermittelt Ihnen damit eine wichtige Botschaft. Bevorzugen Sie Partner, die Sicherheit als ein Merkmal betrachten, auf das sie stolz sind, und nicht als eine Frage, die sie als lästig empfinden – denn in einer vernetzten Infrastruktur wird deren Sicherheitshygiene zu Ihrem Risiko.

Erstellung eines Incident-Response-Plans, den ein Nachtprüfer umsetzen kann

Das einzige Dokument, das einen kontrollierten Vorfall von einem chaotischen unterscheidet, ist ein schriftlicher Reaktionsplan, den ein nicht-technischer Mitarbeiter auch zur ungünstigsten Zeit befolgen kann. Angriffe halten sich nicht an Geschäftszeiten; sie erfolgen oft nachts und an Feiertagen, gerade weil die Notbesetzung am wenigsten darauf vorbereitet ist. Daher muss der Plan von jedem genutzt werden können, der gerade Dienst hat – nicht nur von dem IT-Mitarbeiter, der gerade schläft.

Halten Sie ihn konkret. Der Plan sollte die ersten drei Schritte benennen, die jeder unternehmen kann: Betroffene Geräte vom Netzwerk trennen (Kabel abziehen, WLAN deaktivieren), um die Ausbreitung zu stoppen, ohne sie auszuschalten – was forensische Beweise zerstören könnte; den benannten Ansprechpartner für Vorfälle anrufen; und ein einfaches schriftliches Protokoll darüber anlegen, was wann beobachtet wurde. Er sollte auflisten, wen man anrufen muss, mit echten Namen und Telefonnummern: den internen Verantwortlichen, den IT-Anbieter oder den beauftragten Incident-Response-Dienstleister, die Hotline des Cyber-Versicherers und die zuständige Behörde für die polizeiliche Anzeige. Er sollte die Mitarbeiter daran erinnern, was sie nicht tun dürfen: nichts bezahlen, nicht verhandeln, keine Geräte löschen, nicht mit der Presse sprechen. Außerdem sollte es die Aufrechterhaltung des Betriebs abdecken: wie man Gäste manuell ein- und auscheckt, wie man Zahlungen entgegennimmt, wenn das System ausgefallen ist, und wie man verhindert, dass Online-Reisebüros (OTAs) Zimmer überbuchen, die man nicht mehr sehen kann.

Dann tun Sie das, was fast niemand tut: Proben Sie es. Eine 30-minütige Tabletop-Übung, bei der Sie das Rezeption-Team durch den Fall „Das PMS ist gesperrt und es gibt eine Lösegeldforderung – was nun?“ führen, deckt Lücken auf, solange diese noch kostengünstig behoben werden können. Ein Plan, der noch nie laut vorgelesen wurde, ist ein Plan, der bei dem einen Ereignis, für das er geschrieben wurde, ungelesen gefunden wird. Drucken Sie ihn aus. Legen Sie eine Kopie an der Rezeption aus. Stellen Sie sicher, dass das Nachtpersonal weiß, dass es ihn gibt und wo er zu finden ist.

Ein 30-Tage-Plan zur Cyber-Bereitschaft

Ein Monat reicht aus, um ein typisches unabhängiges Hotel ohne Berater und ohne großes Budget von einem ungeschützten in einen wirklich gut geschützten Zustand zu versetzen. Ein Manager mit Entscheidungsbefugnis kann das vorantreiben und den IT-Anbieter für die technischen Schritte hinzuziehen.

Tage 1 bis 5: Ermitteln Sie Ihren Bestand. Listen Sie jedes System auf, das Gästedaten enthält oder mit Zahlungen zu tun hat, jedes Konto mit Fern- oder Administratorzugriff sowie jeden Anbieter mit einer Verbindung zu Ihrem System. Was Sie nicht inventarisiert haben, können Sie nicht schützen, und diese Liste bildet zudem die Grundlage für die von NIS2 geforderte Risikobewertung. Notieren Sie, auf welchen Rechnern Software läuft, für die keine Sicherheitsupdates mehr bereitgestellt werden.

Tage 6 bis 12: Schließen Sie die gängigen Einfallstore. Aktivieren Sie die Multi-Faktor-Authentifizierung (MFA) überall dort, wo sie verfügbar ist, beginnend mit E-Mail, Fernzugriff und dem PMS. Entfernen Sie RDP aus dem offenen Internet. Beenden Sie gemeinsam genutzte Anmeldungen und setzen Sie schwache Administratorpasswörter zurück. Allein in dieser Woche werden die am häufigsten ausgenutzten Schwachstellen beseitigt, und dabei handelt es sich größtenteils um Konfigurationsmaßnahmen, nicht um Anschaffungen.

Tag 13 bis 18: Backups in Ordnung bringen. Vergewissern Sie sich, dass Sie über Backups des PMS und kritischer Systeme verfügen, die offline oder unveränderlich sind, und testen Sie dann tatsächlich eine Wiederherstellung. Wenn das einzige Backup ein an den Server angeschlossenes Laufwerk ist, beheben Sie das zuerst. Dokumentieren Sie die Wiederherstellungsschritte, damit sie auch unter Druck befolgt werden können.

Tage 19 bis 23: Segmentieren und Patches installieren. Trennen Sie das Gäste-WLAN von den Betriebssystemen, verlegen Sie den Zahlungsverkehr in ein eigenes Segment und installieren Sie ausstehende Sicherheitsupdates auf den Systemen, die diese vertragen. Planen Sie den Austausch aller Komponenten, auf denen Software am Ende ihres Lebenszyklus läuft, die nicht gepatcht werden kann.

Tage 24 bis 28: Erstellen Sie den Vorfallplan und überprüfen Sie die Lieferanten. Entwerfen Sie den einseitigen Reaktionsplan mit echten Namen und Nummern und senden Sie Ihren wichtigsten Lieferanten den kurzen Sicherheitsfragebogen. Entscheiden Sie, ob eine Cyberversicherung für Ihre Unternehmensgröße und Ihr Risiko sinnvoll ist.

Tage 29 bis 30: Verantwortlichkeiten zuweisen und üben. Benennen Sie die für Cyberrisiken verantwortliche Person, tragen Sie eine vierteljährliche Überprüfung in den Kalender ein und führen Sie eine 30-minütige Tabletop-Übung mit dem Empfangsteam durch. Am Ende des Monats werden Sie nicht unangreifbar sein – das ist niemand –, aber Sie werden die Einfallstore geschlossen haben, die echte Angriffe nutzen, und Sie werden einen Plan für den Fall haben, dass doch einmal ein Angriff durchkommt. Das ist die realistische Definition von „fertig“.

Wo Prostay ins Spiel kommt – kurz und ehrlich

Ich schreibe für Prostay, daher hier die unverblümte Version. Ein Property-Management-System steht im Mittelpunkt dieses Szenarios, da es die von Angreifern begehrten Gästedaten enthält und es das System ist, dessen Ausfall den Geschäftsbetrieb lahmlegt. Daher ist die Sicherheitslage Ihres PMS-Anbieters Teil Ihres Risikos, ob Sie das nun so sehen oder nicht. Prostay läuft als Cloud-Plattform mit den Sicherheitsmaßnahmen, die man von einem seriösen Anbieter erwarten würde: Verschlüsselung von Daten während der Übertragung und im Ruhezustand, MFA beim Zugriff, tokenisierte Zahlungen, sodass Rohdaten von Kreditkarten niemals in die Umgebung der Unterkunft gelangen, geprüfte Infrastruktur und verwaltete Backups – so wird ein Großteil der oben genannten Belastung von der Plattform getragen und nicht der Rezeption überlassen. Nichts davon ist einzigartig bei Prostay; seriöse Cloud-PMS-Anbieter wie Mews und Cloudbeds gehen ähnliche Verpflichtungen ein, und Sie sollten ihnen allen dieselben kritischen Fragen aus dem obigen Abschnitt über Anbieter stellen.

Das stichhaltige Argument für eine moderne Cloud-Plattform gegenüber einem veralteten On-Premise-Server im Backoffice ist, dass dadurch ein Großteil der schwierigsten Sicherheitsaufgaben (Patches, Absicherung der Infrastruktur, Backups, Umgang mit Zahlungsdaten) an einen Anbieter verlagert wird, der sich vollzeitlich damit befasst – genau das, was ein Hotel mit 40 Zimmern ohne eigene IT-Abteilung allein nicht gut bewältigen kann. Das entbindet Sie jedoch nicht von Ihren Verpflichtungen; Sie sind weiterhin selbst für die MFA Ihrer Konten, Ihren Notfallplan, die Schulung Ihrer Mitarbeiter und Ihr Lieferantenmanagement verantwortlich. Aber es verringert den Umfang der Aufgaben, die Sie persönlich bewältigen müssen. Wenn Sie sehen möchten, wie das Prostay PMS mit Gästedaten und Zahlungen umgeht, finden Sie hier die Produktdetails. Und wenn Sie es vorziehen, dass unser Team Ihre aktuelle Systemlandschaft anhand der oben genannten Bereitschaftscheckliste durchgeht, buchen Sie eine Demo – wir gehen dann auf die wirklich wichtigen Fragen ein, anstatt Ihnen ein durch Ängste motiviertes Upgrade zu verkaufen.

Häufig gestellte Fragen

Fünf Fragen, die unabhängige Hoteliers am häufigsten zum Thema Cybersicherheit und NIS2 stellen – beantwortet unter Berücksichtigung der Richtlinie und der tatsächlichen Abläufe von Angriffen, statt mit Panikmache der Anbieter.

FAQ

Häufig gestellte Fragen

  • Fällt ein kleines, unabhängiges Hotel tatsächlich in den Anwendungsbereich von NIS2?
    Möglicherweise direkt, sehr wahrscheinlich jedoch indirekt. NIS2 legt eine größenabhängige Untergrenze fest: Die Verpflichtungen gelten ausdrücklich für mittlere und große Organisationen, im Wesentlichen solche mit mindestens 50 Mitarbeitern oder einem Jahresumsatz und einer Bilanzsumme von über 10 Millionen Euro, in den von der Richtlinie aufgeführten Branchen. Viele unabhängige Hotels liegen unter dieser Grenze und sind nicht direkt betroffen. Zwei Faktoren betreffen jedoch auch kleinere Betriebe. Erstens haben die Mitgliedstaaten NIS2 nach ihrem eigenen Zeitplan in nationales Recht umgesetzt, und einige haben den Anwendungsbereich über die EU-Mindestanforderungen hinaus ausgeweitet, sodass der genaue Schwellenwert vom jeweiligen Land abhängt, in dem Sie tätig sind. Zweitens, und in der Praxis noch wichtiger, macht NIS2 die Sicherheit der Lieferkette zu einer ausdrücklichen Pflicht der größeren Unternehmen, die in den Geltungsbereich fallen. Wenn Ihr Hotel Teil einer Gruppe, eines Franchise-Systems oder einer Managementgesellschaft ist oder über Partner verkauft, die selbst reguliert sind, werden diese die Sicherheitsanforderungen vertraglich an Sie weitergeben. So muss selbst ein unabhängiges Hotel mit 30 Zimmern oft NIS2-konforme Kontrollmaßnahmen umsetzen, weil ein Partner dies verlangt – und nicht, weil eine Aufsichtsbehörde das Hotel direkt benannt hat. Die realistische Planungsannahme für 2026 lautet, dass diese Kontrollmaßnahmen auf die eine oder andere Weise auf Sie zukommen werden.
  • Was ist die wirksamste Maßnahme, die ein Hotel ergreifen kann, um das Ransomware-Risiko zu verringern?
    Setzen Sie bei jeder Fern- und Administratoranmeldung die Multi-Faktor-Authentifizierung (MFA) durch und sperren Sie anschließend den direkten Remote-Desktop-Zugriff (RDP) aus dem Internet. Die überwiegende Mehrheit der Ransomware-Vorfälle in Hotels beginnt mit einem gestohlenen oder erratenen Passwort, das an einem ungeschützten Fernzugriffspunkt wiederverwendet wird – häufig bei einem offen gelassenen RDP-Zugang, damit ein Anbieter oder ein Manager außerhalb des Standorts auf das PMS zugreifen kann. Durch die Einführung von MFA reicht ein gestohlenes Passwort allein nicht mehr aus, und die Umleitung des Fernzugriffs über ein VPN oder ein Zero-Trust-Gateway beseitigt die Sicherheitslücke vollständig. Das ist weder glamourös noch teuer, aber wenn Sie in diesem Quartal nur eine Maßnahme ergreifen, dann sollte es diese sein. Die zweitwirksamste Maßnahme sind offline gespeicherte, getestete Backups, denn sie entscheiden darüber, ob ein Angriff nur eine schlechte Woche oder das Aus für das Unternehmen bedeutet; doch MFA in Verbindung mit der Sperrung des RDP-Zugangs verhindert von vornherein, dass der häufigste Angriff erfolgreich ist.
  • Wenn wir in einen Unfall verwickelt werden, wie schnell müssen wir das laut Gesetz melden?
    Im Rahmen der NIS2-Richtlinie ist der Zeitdruck für betroffene Einrichtungen groß. Sie sind verpflichtet, Ihrer nationalen Behörde oder Ihrem CSIRT innerhalb von 24 Stunden nach Bekanntwerden eines schwerwiegenden Vorfalls eine Vorwarnung zu übermitteln, innerhalb von 72 Stunden eine ausführlichere Meldung des Vorfalls einzureichen und innerhalb eines Monats einen Abschlussbericht vorzulegen. Unabhängig davon gilt bei einer Verletzung des Schutzes personenbezogener Daten zusätzlich die 72-Stunden-Meldepflicht gemäß DSGVO gegenüber der Datenschutzbehörde, und Sie müssen möglicherweise betroffene Gäste informieren. Diese Verpflichtungen gelten parallel zueinander und nicht gegenseitig ersetzend, und die 24-Stunden-Frist für die Frühwarnung nach NIS2 ist kürzer, als viele Betreiber erwarten. Die praktische Konsequenz: Die Entscheidung, wer die Aufsichtsbehörde wann benachrichtigt, kann nicht um 3 Uhr morgens während des Vorfalls improvisiert werden. Sie muss im Voraus in einem Vorfallreaktionsplan festgehalten werden, einschließlich Namen und Telefonnummern, da die Meldefrist in dem Moment beginnt, in dem jemand in der Einrichtung feststellt, dass etwas ernsthaft nicht in Ordnung ist.
  • Bedeutet die Abwicklung von Kartenzahlungen über einen konformen Zahlungsdienstleister, dass wir im Falle einer Datenschutzverletzung nicht haftbar sind?
    Dies verringert Ihr Risiko erheblich, hebt Ihre Verantwortung jedoch nicht auf. Wenn Ihre Zahlungsabwicklung Kartendaten tokenisiert, sodass die reine Kartennummer niemals in Ihrem PMS oder in Ihrem Netzwerk landet (der Zahlungsabwickler speichert sie, Sie verfügen über ein bedeutungsloses Token), werden bei einem Sicherheitsverstoß in Ihren Systemen keine verwertbaren Kartendaten offengelegt – und genau das ist der Sinn der Tokenisierung und das Ziel hinter dem PCI DSS. Dadurch wird der Schadensumfang drastisch verringert. Sie sind jedoch weiterhin der Datenverantwortliche für den Rest des Gästedatensatzes: Namen, Adressen, Scans von Reisepässen und Ausweisen, Treuedaten, Aufenthaltshistorie sowie Daten besonderer Kategorien wie Hinweise zur Barrierefreiheit oder zu Ernährungsbedürfnissen. Eine Ransomware-Bande, die keine Kartennummern stehlen kann, wird stattdessen gerne diese personenbezogenen Daten stehlen und Sie damit erpressen. Daher sind konforme, tokenisierte Zahlungen unerlässlich und entfernen die gefährlichsten Daten aus Ihrem Netzwerk – doch sie stellen nur eine Schutzebene dar und sind kein Haftungsschutz für den gesamten Gästedatensatz.
  • Wir haben unsere IT an eine kleine lokale Firma ausgelagert. Ist die Cybersicherheit nun deren Problem?
    Nein. Sie können die Arbeit auslagern, aber nicht die Verantwortung, und die NIS2 legt ausdrücklich fest, dass Governance und Risikomanagement in der Verantwortung der Unternehmensleitung liegen. Gemäß der Richtlinie müssen die Leitungsgremien die Maßnahmen zum Schutz vor Cybersicherheitsrisiken genehmigen und können bei Versäumnissen persönlich zur Verantwortung gezogen werden; außerdem wird von ihnen erwartet, dass sie entsprechende Schulungen absolvieren. Ein kompetenter IT-Anbieter ist ein Teil der Lösung, aber Sie müssen dennoch wissen, wofür Sie ihn bezahlen, sich vergewissern, dass Backups getestet und offline gespeichert sind, sicherstellen, dass die Multi-Faktor-Authentifizierung (MFA) durchgesetzt wird, und über einen Plan zur Reaktion auf Vorfälle verfügen, der festlegt, was der Anbieter und was das Hotel im Falle eines Angriffs zu tun hat. Das Schlimmste ist, wenn man während eines Vorfalls feststellt, dass alle davon ausgegangen sind, dass jemand anderes für die Reaktion zuständig sei. Behandeln Sie Ihr IT-Unternehmen als Partner, den Sie anhand einer Checkliste aktiv steuern, und nicht als eine Aufgabe, die Sie einfach abgehakt haben.
Weiterlesen

Prostay testen

Betreiben Sie Ihr Hotel auf der Plattform, über die wir schreiben.

Bringen Sie Ihre Daten und Ihre Arbeitsabläufe mit. Wir zeigen Ihnen eine vergleichbare Prostay-Einrichtung auf Basis Ihrer letzten 30 Tage.

Demo anfordernPMS entdecken

Über diesen Beitrag

Kategorie: Hotel Technology & Innovation. Veröffentlicht am 19. Juni 2026 von Mika Takahashi.