Gastgewerbe im Visier: Warum Hacker Hotels und Restaurants lieben

Schweizer Hotels und Restaurants sind für Cyberkriminelle besonders attraktive Ziele. Sie speichern grosse Mengen sensibler Gästedaten, verarbeiten täglich Kreditkartenzahlungen, betreiben offene WLAN-Netzwerke und beschäftigen oft saisonales Personal mit wechselnden Zugriffsrechten. Diese Kombination macht die Gastrobranche zu einem der verwundbarsten Sektoren im KMU-Bereich.

Laut dem Schweizer Bundesamt für Cybersicherheit (BACS) verzeichnete das Gastgewerbe 2024 einen Anstieg von 38 Prozent bei gemeldeten Cyberangriffen gegenüber dem Vorjahr. Gäste-WLAN, Point-of-Sale-Systeme (POS) und Buchungsplattformen waren die häufigsten Einfallstore. Für Hotels und Restaurants mit weniger als 250 Mitarbeitenden gilt das neue nDSG (Datenschutzgesetz) uneingeschränkt – Verstösse können zu erheblichen Reputationsschäden und behördlichen Konsequenzen führen.

Nachfolgend: die konkreten Bedrohungen für die Schweizer Gastrobranche und die Massnahmen, die wirksam schützen.

Die grössten Cyberbedrohungen für Hotels und Restaurants

1. Property-Management-Systeme (PMS) als Hauptziel

Das Herzstück jedes Hotels ist das Property-Management-System: Es verwaltet Check-ins, Reservierungen, Gästepräferenzen, Zahlungsdaten und oft auch Zutrittskontrollen für Zimmerschlüsselkarten. Genau deshalb ist es das primäre Angriffsziel.

Angreifer, die Zugang zu einem PMS erhalten, können:

  • Kreditkartendaten Tausender Gäste stehlen
  • Buchungen manipulieren oder löschen
  • Zimmerpreise verändern
  • Schadsoftware in angeschlossene Zahlungsterminals einschleusen
  • Zugangskarten für beliebige Zimmer generieren

Bekannte PMS-Systeme wie Oracle OPERA, Protel oder Apaleo werden gezielt auf ungepatchte Schwachstellen gescannt. Ein Schweizer Vier-Sterne-Hotel in der Zentralschweiz musste 2024 den Betrieb für 36 Stunden einstellen, nachdem Ransomware das gesamte PMS verschlüsselt hatte – der Schaden überstieg CHF 180’000.

Massnahmen: PMS regelmässig aktualisieren, Netzwerksegmentierung zwischen PMS und Gäste-WLAN einrichten, Zwei-Faktor-Authentifizierung für alle PMS-Zugänge aktivieren.

2. POS-Systeme und Zahlungssicherheit

In Restaurants, Hotelbars und Hotelrestaurants verarbeiten POS-Systeme rund um die Uhr Kartenzahlungen. Skimming-Malware – Software, die Kartendaten beim Bezahlvorgang abfängt – ist eine der rentabelsten Angriffsmethoden für Cyberkriminelle.

2024 wurden weltweit über 4,5 Millionen Kreditkartendatensätze durch POS-Malware in Gastronomiebetrieben gestohlen. Auch Schweizer Betriebe sind betroffen: Das BACS berichtet von mehreren bestätigten Fällen, in denen Kassensysteme kleinerer Schweizer Restaurants über Monate kompromittiert waren, ohne dass es bemerkt wurde.

Die häufigsten Angriffsvektoren auf POS-Systeme:

  • Unsichere Remote-Desktop-Verbindungen (RDP) für Fernwartung
  • Standardpasswörter auf POS-Terminals, die nie geändert wurden
  • Infizierte USB-Sticks für vermeintliche Software-Updates
  • Kompromittierte Drittanbieter (Kassensoftware-Lieferanten)

Massnahmen: PCI-DSS-Konformität sicherstellen, POS-Netzwerk vom restlichen Betriebsnetz isolieren, Fernwartungszugänge absichern und protokollieren.

3. Gäste-WLAN: Offene Tür für Angreifer

Kostenloses WLAN gehört zur Grundausstattung jedes Hotels und vieler Restaurants. Doch dieses Service-Angebot birgt erhebliche Sicherheitsrisiken – sowohl für die Gäste als auch für den Betrieb selbst.

Das grösste Risiko: Wenn Gäste-WLAN und internes Betriebsnetz nicht sauber getrennt sind, kann ein Angreifer über das Gäste-WLAN ins interne Netz vordringen. Viele kleinere Hotels betreiben noch immer ein einziges, flaches Netzwerk für Gäste, Mitarbeiter und Betriebssysteme – ein eklatantes Sicherheitsdefizit.

Typische Angriffe über Gäste-WLAN:

  • Evil-Twin-Angriffe: Ein Angreifer richtet einen gefälschten WLAN-Hotspot mit dem Namen des Hotels ein und fängt Gästekommunikation ab
  • Man-in-the-Middle-Angriffe: Abfangen von unverschlüsseltem Datenverkehr im selben Netz
  • Lateral Movement: Vom Gäste-WLAN ins Betriebsnetz vordringen

“Wir sehen in unseren Penetrationstests regelmässig, dass Hotels zwar in schöne Lobby-Designs investieren, aber das Gäste-WLAN seit Jahren nicht aktualisiert haben. In drei von vier Fällen können wir vom Gäste-WLAN aus PMS-Systeme erreichen.” – Sicherheitsexperte, Schweizer IT-Sicherheitsunternehmen

Massnahmen: Striktes Netzwerk-Segmenting (VLAN für Gäste, Betrieb, Management), WPA3-Verschlüsselung, regelmässige WLAN-Sicherheitsaudits, Captive Portal mit Nutzungsbedingungen.

4. Online-Buchungssysteme und Drittanbieter

Hotels und Restaurants sind über eine Vielzahl von Drittanbieter-Plattformen vernetzt: OTAs (Online Travel Agencies) wie Booking.com oder Expedia, Channel Manager, Restaurantreservierungsplattformen wie OpenTable oder TheFork, Lieferdienste und Bewertungsportale. Jede dieser Schnittstellen ist ein potenzieller Angriffsvektor.

Supply-Chain-Angriffe über Drittanbieter haben in den letzten Jahren stark zugenommen. Wenn ein Drittanbieter kompromittiert wird, sind alle angeschlossenen Betriebe potenziell gefährdet. Das Hotel oder Restaurant hat in solchen Fällen wenig direkte Kontrolle, kann aber durch konsequente API-Sicherheit und minimale Datenweitergabe das Risiko reduzieren.

Besonders kritisch: Viele Buchungssysteme übertragen Kreditkartendaten oder Vorautorisierungen. Wenn diese Verbindungen nicht verschlüsselt und abgesichert sind, entstehen erhebliche Datenschutzrisiken nach nDSG.

Massnahmen: Drittanbieter nach Datenschutzstandards auswählen und vertraglich verpflichten, API-Zugänge regelmässig überprüfen, minimale Datenweitergabe an Drittplattformen, Datenschutz-Folgenabschätzung nach nDSG.

5. Phishing gegen Hotelpersonal

Phishing-Angriffe sind die häufigste Eingangsroute für Cyberkriminelle in Gastronomiebetrieben. Die Gastrobranche ist besonders anfällig, weil:

  • E-Mails täglich in grosser Zahl eingehen (Buchungsanfragen, Lieferantenrechnungen, Beschwerden)
  • Mitarbeitende unter Zeitdruck stehen und E-Mails schnell bearbeiten
  • Saisonales und wechselndes Personal oft wenig Sicherheitstraining erhält
  • Frondesk-Mitarbeitende breiten Systemzugang haben

Gefährliche Phishing-Szenarien für Hotels:

  • Gefälschte Buchungsanfragen mit Malware im Anhang
  • Gefälschte Rechnungen von “Lieferanten” (CEO-Fraud)
  • Gefälschte Booking.com-Benachrichtigungen mit Phishing-Links
  • BEC-Angriffe (Business Email Compromise) gegen Buchhaltung

Massnahmen: Regelmässige Phishing-Schulungen für alle Mitarbeitenden, E-Mail-Filterung, klare Prozesse für Rechnungsfreigaben, Cybersecurity-Checkliste für KMU umsetzen.

Saisonales Personal: Das unterschätzte Sicherheitsrisiko

Ein Spezifikum der Gastrobranche ist der hohe Anteil an saisonalem und temporärem Personal. Wintersaison, Sommersaison, Aushilfen an Wochenenden und Feiertagen – der Personalkreisel dreht sich schnell. Dies schafft spezifische Sicherheitsprobleme:

Zugriffsmanagement: Ausgeschiedene Mitarbeitende behalten oft länger als nötig aktive Konten. In einer Untersuchung von Gastronomiebetrieben in der Deutschschweiz hatten 62 Prozent der Betriebe noch aktive Benutzerkonten von Mitarbeitenden, die das Unternehmen vor mehr als drei Monaten verlassen hatten.

Schulungsdefizite: Saisonale Mitarbeitende erhalten selten gründliches Sicherheitstraining. Sie kennen die Phishing-Risiken, die Passwortrichtlinien und die korrekten Verhaltensweisen im Umgang mit Systemen oft nicht.

Shared Accounts: Aus praktischen Gründen teilen sich in vielen Betrieben mehrere Mitarbeitende ein einziges Systemkonto – eine fatale Praxis, die Sicherheitsvorfälle unmöglich nachzuverfolgen macht.

Empfehlungen:

  • Onboarding- und Offboarding-Prozesse mit klarem Zugriffsmanagement etablieren
  • Individuelle Benutzerkonten für alle Mitarbeitenden, keine geteilten Accounts
  • Minimalprinzip: Mitarbeitende erhalten nur die Zugriffsrechte, die sie für ihre Aufgaben brauchen
  • Kurze, praxisorientierte Sicherheitsschulungen als Pflichtbestandteil des Onboardings

nDSG-Pflichten für die Gastrobranche

Das neue Schweizer Datenschutzgesetz (nDSG) gilt seit dem 1. September 2023 und betrifft alle Betriebe, die Personendaten verarbeiten – also praktisch jeden Hotelier und Gastronomen.

Konkret relevant für Gastronomiebetriebe:

Gästedaten: Namen, Adressen, Reisepassdaten (für Hotels), Kreditkartendaten, E-Mail-Adressen, Buchungshistorie und Präferenzen sind schützenswerte Personendaten. Sie müssen sicher gespeichert, auf das Notwendige beschränkt und auf Anfrage gelöscht werden können.

Auskunftsrecht: Gäste haben das Recht, Auskunft über ihre gespeicherten Daten zu verlangen. Betriebe müssen in der Lage sein, diese Auskunft innert 30 Tagen zu erteilen.

Datenschutzverletzungen melden: Sicherheitsvorfälle mit Personendaten müssen dem EDÖB (Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter) gemeldet werden, wenn sie ein erhebliches Risiko für die betroffenen Personen darstellen.

Datenschutz-Folgenabschätzung (DSFA): Bei besonders risikoreichen Verarbeitungen – etwa dem Einsatz von Gäste-Tracking-Systemen oder Profilbildung – ist eine DSFA Pflicht.

Eine detaillierte nDSG-Checkliste für KMU hilft dabei, den Überblick zu behalten.

Ransomware: Wenn das Hotel zum Stillstand kommt

Ransomware ist für Hotels und Restaurants eine existenzielle Bedrohung. Ein vollständiger Systemausfall bedeutet:

  • Keine Möglichkeit, Gäste einzuchecken
  • Keine Zimmerschlüsselkarten ausstellen (bei digitalen Systemen)
  • Keine Reservierungen einsehen oder bearbeiten
  • Kein Kassensystem in Restaurant und Bar
  • Kompletter Reputationsschaden durch Medienberichte

Der durchschnittliche Ransomware-Schaden für ein Schweizer KMU beläuft sich auf CHF 250’000 bis CHF 500’000, wenn alle Kosten eingerechnet werden: Ausfallzeiten, IT-Forensik, Systemwiederherstellung, allfällige Lösegeldzahlungen und Bussgelder.

“Ransomware-Gruppen wie LockBit oder ALPHV haben Hotels gezielt ins Visier genommen, weil diese kaum Ausfallzeiten tolerieren können. Der Druck zu zahlen ist enorm, wenn jede Stunde ohne Reservierungssystem direkte Umsatzeinbussen bedeutet.” – Incident-Response-Spezialist, Zürich

Kritisch für die Branche: Hotels operieren 24/7, 365 Tage im Jahr. Es gibt kein “Wartungsfenster”, in dem Systeme offline gehen können. Dies erschwert sowohl regelmässige Wartung als auch die Reaktion auf Vorfälle.

Schutzmassnahmen gegen Ransomware:

  • Regelmässige, getestete Backups (3-2-1-Regel: drei Kopien, zwei Medien, eine offline)
  • Netzwerksegmentierung, um Ausbreitung zu verhindern
  • Endpoint Detection and Response (EDR) auf allen Systemen
  • Incident-Response-Plan speziell für den 24/7-Betrieb

Praktische Massnahmenliste für Gastronomiebetriebe

Eine gründliche Cybersecurity-Checkliste für KMU deckt die Grundlagen ab. Spezifisch für Hotels und Restaurants gelten zusätzlich:

Netzwerksicherheit:

  • Gäste-WLAN strikt vom Betriebs- und Managementnetz getrennt (VLAN)
  • WPA3-Verschlüsselung auf allen WLAN-Netzen
  • Regelmässiger Passwortwechsel auf WLAN-Zugangspunkten
  • Firewall zwischen allen Netzwerksegmenten

PMS und POS:

  • Aktuelle Softwareversionen auf allen Systemen
  • Zwei-Faktor-Authentifizierung für PMS-Admins
  • PCI-DSS-Compliance für Zahlungssysteme
  • Fernwartungszugänge dokumentiert und abgesichert

Personal und Prozesse:

  • Individueller Login für jeden Mitarbeitenden
  • Sofortiger Zugangsentzug bei Austritt
  • Jährliche Sicherheitsschulung für alle Mitarbeitenden
  • Klarer Eskalationsweg bei Verdacht auf Sicherheitsvorfall

Datenschutz (nDSG):

  • Verzeichnis der Datenbearbeitungstätigkeiten
  • Datenschutzerklärung aktualisiert
  • Prozess für Gäste-Auskunftsanfragen etabliert
  • Aufbewahrungsfristen für Gästedaten definiert

Vergleich: Schutzmassnahmen nach Betriebsgrösse

MassnahmeRestaurant (< 20 MA)Boutique-Hotel (20–80 MA)Grosshotel (> 80 MA)
NetzwerktrennungEinfaches VLANVollständige SegmentierungSegmentierung + SOC
Backup-StrategieCloud-Backup täglich3-2-1-Backup + TestRedundante Systeme
SicherheitsschulungJährlich, 1 StundeHalbjährlich + Phishing-TestLaufend + Red Teaming
Incident ResponseExterne NotfallnummerExterner IR-DienstleisterEigenes IR-Team
DatenschutzGrundcheckliste nDSGDSFA + DatenschutzbeauftragterDPO + Compliance-Team

Schweizer Tourismus und die Cybersicherheitslage

Die Schweizer Tourismusbranche erwirtschaftet jährlich rund CHF 17 Milliarden und empfängt über 40 Millionen Logiernächte. Diese wirtschaftliche Bedeutung macht sie zu einem attraktiven Ziel für staatlich gesponserte Angreifer, Ransomware-Gruppen und opportunistische Kriminelle.

Besonders gefährdet sind:

  • Luxushotels mit hochkarätigen internationalen Gästen (politische Persönlichkeiten, Wirtschaftsführer)
  • Kongresshotels, die vertrauliche Geschäftstreffen und Verhandlungen beherbergen
  • Ferienregionen mit saisonalen Spitzenauslastungen, die wenig Zeit für Sicherheitsmassnahmen lassen

Das BACS empfiehlt allen Betrieben im Schweizer Gastgewerbe, die nationale Cybersecurity-Strategie als Orientierungsrahmen zu nutzen und einen verifizierten Sicherheitspartner beizuziehen.

Wie Red Teaming die Gastrobranche schützt

Standardmässige Sicherheitsmassnahmen sind notwendig, aber nicht hinreichend. Red Teaming geht weiter: Dabei simulieren zertifizierte Sicherheitsexperten echte Angriffe auf Hotel- oder Restaurantbetriebe – unter realen Bedingungen.

Ein Red-Team-Einsatz in einem Hotel prüft typischerweise:

  • Ob ein Angreifer vom Gäste-WLAN ins PMS vordringen kann
  • Ob Phishing-E-Mails an Frontdesk-Mitarbeitende erfolgreich sind
  • Ob POS-Systeme über Fernwartungszugänge kompromittiert werden können
  • Ob ausgeschiedene Mitarbeitende noch Systemzugang haben
  • Ob Backups wirklich funktionieren und Systeme wiederhergestellt werden können

Im Gegensatz zu einem einfachen Penetrationstest testet Red Teaming nicht nur technische Systeme, sondern auch Prozesse, Menschen und physische Zugänge – exakt die Bereiche, die in der Gastrobranche am verwundbarsten sind.

Die Kosten für Red Teaming in der Schweiz sind angesichts des möglichen Schadens eine sinnvolle Investition.

Fazit

Die Schweizer Gastronomie- und Hotelleriebranche steht vor einer doppelten Herausforderung: Sie muss einerseits ein einladendes, offenes Ambiente für Gäste bieten, andererseits hochsensible Daten und kritische Systeme schützen. PMS-Systeme, POS-Terminals, Gäste-WLAN und saisonales Personal sind die Hauptvektoren, über die Angreifer in Gastronomiebetriebe eindringen.

Die gute Nachricht: Mit einer klaren Strategie, konsequenter Netzwerksegmentierung, regelmässigen Schulungen und einer soliden Backup-Strategie lassen sich die grössten Risiken deutlich reduzieren. Das nDSG schafft zusätzlich einen verbindlichen Rahmen, der Betriebe zu einem Mindestschutzniveau zwingt.

Wer wissen will, wie gut sein Betrieb gegen reale Angriffe geschützt ist, sollte einen professionellen Sicherheitstest durchführen lassen. Unsere Red-Teaming-Dienstleistungen prüfen Hotels und Restaurants unter echten Angriffsbedingungen – und liefern konkrete Massnahmen zur Verbesserung.

Jetzt Red Teaming anfragen – ab CHF 11’900 – und erfahren Sie, ob Ihr Hotel oder Restaurant einem echten Angriff standhalten würde. Kontaktieren Sie uns für ein unverbindliches Erstgespräch.