«Cyberattacken gehören leider zum Alltag der Reisebranche»

Für Kevin Brandes, CEO des Software- und IT-Dienstleisters Tourdata, ist die Situation eindeutig: «Die Bedrohungslage ist heute so hoch wie nie. Cyberattacken gehören inzwischen zum Alltag – leider auch in der Reisebranche». Mit der zunehmenden Digitalisierung wachse die Angriffsfläche: Schnittstellen zu Buchungssystemen, Zahlungsplattformen und Cloud-Diensten werden immer komplexer – und damit auch anfälliger.

Besonders die neuen Möglichkeiten von künstlicher Intelligenz erschweren die Abwehrarbeit: KI-gestützte Phishing-Versuche und personalisierte Angriffe auf Mitarbeiter nehmen deutlich zu. Kevin Brandes betont, dass sich jedes Unternehmen aktiv schützen müsse.

Cloud-Dienste: Segen und Risiko zugleich

Die jüngsten Angriffe auf Vietnam Airlines und Qantas zeigen: Oft sind externe Technologieanbieter betroffen, die Cloud-Dienste verwalten. Doch sind Clouds tatsächlich unsicher? Brandes differenziert: «Grosse Cloud-Anbieter wie Microsoft investieren enorme Summen in die Sicherheitsinfrastruktur – weit mehr, als einzelne Firmen leisten könnten. Eine Cloud ist aber für einen potenziellen Angreifer auch ein interessantes Ziel, da viele Daten an einem Ort gespeichert sind.»

Auch Martin Krpan, Chief Information Security Officer (CISO) bei Umbrella, teilt diese Einschätzung – und ergänzt einen entscheidenden Punkt: «Cloud-Dienste an sich sind nicht unsicher. Entscheidend sind korrekte Konfigurationen. Vorfälle entstehen durch Fehlkonfigurationen oder schwache Zugangskontrollen – nicht durch die Cloud als Technologie».

Umbrella führe wiederkehrende Penetrationstests sowie kontinuierliches Vulnerability-Management, inklusive automatisierter Schwachstellen-Scans durch.

Sicherheitsarchitektur als kontinuierlicher Prozess

Tourdata setzt auf ein mehrstufiges Sicherheitskonzept, das technologische und organisatorische Massnahmen kombiniert. Dazu gehören unter anderem:

• Mehrfaktor-Authentifizierung wenn immer möglich
• Schwachstellenanalyse durch externen Partner
• Überwachung der Systeme, um verdächtige Aktivitäten frühzeitig zu erkennen
• Regelmässige Schulung und Überprüfung der Mitarbeitenden, um Social Engineering und Phishing zu verhindern
• Mehrstufiges Backupkonzept mit regelmässigen Wiederherstellungstests
• Regelmässige Neu-Investitionen in IT-Infrastruktur, um auf dem neusten Stand zu sein

Ähnlich geht man bei Umbrella vor. Das Unternehmen ist PCI DSS-zertifiziert – ein Standard für den Schutz von Zahlungsdaten – und arbeitet derzeit an der ISO/IEC 27001-Zertifizierung, einem international anerkannten Informationssicherheitsstandard. Martin Krpan erklärt: «Beides zielt darauf ab, Kunden- und Zahlungsdaten konsequent zu schützen».

Umbrella unternehme Sicherheitsmassnahmen auf verschiedenen Ebenen, etwa die Verschlüsselung «in Transit» und «at Rest», Monitoring, Mitarbeiterschulungen und wiederkehrende Sicherheits-Tests.

Amadeus verstärkt seine Abwehr

Auch die globale Technologie- und Vertriebsplattform Amadeus reagiert auf die wachsenden Risiken. Sprecher Klaus Ennen betont: «Die Sicherheit der Systeme und Daten unserer Kunden hat bei Amadeus höchste Priorität, und unsere Systeme und Prozesse werden dahingehend ständig überprüft.»

Weiter sagt er: «Wir beobachten in unserer Branche eine wachsende Zahl von schädlichen Angriffen im Bereich der Cybersicherheit. Daher verstärken wir weiterhin die Präventivmassnahmen und Kontrollen, um unsere Sicherheit zu erhöhen. Darüber hinaus arbeiten wir mit unseren Kunden zusammen, indem wir sie mit einer Reihe von praktischen, leicht umsetzbaren Sicherheitskontrollen und -massnahmen begleiten.»

Reisebüros und Veranstalter: Was sie jetzt tun sollten

Die grössten Risiken liegen häufig nicht in der Technologie selbst, sondern im menschlichen Verhalten. Die grösste Gefahr ist oft der Mensch – mangelnde Aufmerksamkeit, veraltete Passwörter oder fehlende Reaktion auf verdächtige E-Mails, ist im Expertengespräch zu erfahren.

Die Empfehlungen von Kevin Brandes an Reiseunternehmen lauten:

• Starke Passwörter und Multifaktor-Authentifizierung verwenden.
• Regelmässige Updates – veraltete Systeme sind eine der grössten Schwachstellen.
• Mitarbeiterschulungen – die grösste Gefahr ist oft der menschliche Faktor.
• Sicherheitskopien – regelmässige Backups, getrennt vom Live-System gespeichert.
• Plan für den Ernstfall, damit schnell reagiert werden kann.

Martin Krpan empfiehlt Reisebüros dringend, starke Passwörter und Multifaktor-Authentifizierung zu nutzen, dazu regelmässige Schulungen zur Sicherheitsförderung durchzuführen, etwa Phishing-Training. Und die Zugriffsrechte sollten minimal gehalten werden.

Auch Reisende tragen Verantwortung

Nicht nur Unternehmen, auch Reisende selbst können einen Beitrag zur Datensicherheit leisten. Krpan empfiehlt, offizielle Apps und Webseiten zu nutzen und Geräte stets aktuell zu halten. Ebenso sollten Reisende auf starke Passwörter und Multi-Faktor-Authentifizierung achten, «und Vorsicht bei Links und Absender in E-Mails», warnt er zudem.

Brandes rät Reisenden: «Keine sensiblen Logins über öffentliches WLAN, keine Passwörter oder Kreditkartendaten unverschlüsselt weitergeben, Multifaktor-Authentifizierung aktivieren und Buchungsbestätigungen auf Echtheit prüfen. Ein gesundes Mass an Skepsis ist der beste Schutz – vor allem, wenn ein Angebot zu gut klingt, um wahr zu sein.»

Datensicherheit ist Teamarbeit

Die Reisebranche steht unter massivem Druck, ihre Sicherheitsstandards zu erhöhen – nicht nur wegen regulatorischer Anforderungen, sondern vor allem, um das Vertrauen der Kunden zu bewahren. Cyberkriminelle werden smarter, aber die Gegenwehr wächst mit: moderne Sicherheitssysteme, konsequente Schulungen und internationale Standards wie ISO 27001 oder PCI DSS schaffen eine solide Grundlage.

Oder wie Kevin Brandes es formuliert: «Wer die Basics konsequent umsetzt, reduziert sein Risiko deutlich.»