Was Hotels beim Umgang mit Kreditkartendaten beachten müssen

„Ihre Kreditkarte wurde aufgrund unge­wöhn­licher Trans­aktio­nen gesperrt“.

Diese Information teilte mir meine Bank mit, als ich letzten Sommer auf dem Weg in den Urlaub war. Durch weitere Infor­matio­nen zum Ein­satz der Kredit­karte konnte ich den Dieb­stahl auf eine Buchung eines Hotels über die Buchungs­webseite booking.com zurückführen. Die Reak­tionen von booking.com und dem Hotel auf meinen Hinweis zu einer mög­lichen Sicherheits­lücke waren leider sehr ernüch­ternd und zeug­ten von großem Unverständnis. Booking.com teilte mir sogar mit, dass von ihrer Seite aus alles sicher sein muss, da meine Kreditkartendaten ja verschlüs­selt wären. Dies stimmt zwar für den Transport der Kredit­karten­daten von meinem Rechner zum booking.com-Server. Von dort werden Kredit­karten­daten aber meis­tens unver­schlüsselt, per Fax an das Hotel zusammen mit den restlichen Buchungs­infor­mationen weiter­geleitet. Es ist wahr­scheinlich, dass dieses Fax im Hotel in die falschen Finger geraten ist. So sind mir das Hotel und booking.com statt mit einem schönen Strand­urlaub mit Nerv raubenden Telefon­anrufen zum Auf­klären eines Kredit­karten­daten­dieb­stahls im Gedächt­nis geblieben.

Hotels im Visier von Kriminellen

Diese Geschichte zeigt, dass Hotels im Visier von Krimi­nellen sind. Diese haben es auf die Viel­zahl an Per­sonen- und Fi­nanz­da­ten abge­sehen, die in der Hotel­lerie anfallen. Die Meldungen über IT-Sicher­heits­vorfälle in Hotels häufen sich. Erst vor Kurzem, am 27.Juni 2016, musste das Hard Rock Hotel in Las Vegas seine Gäste über einen massen­haften Dieb­stahl von Kredit­karten­daten unter­richten. Daran sieht man, dass selbst große Hotel­ketten neu­artigen IT-Risiken nicht dieselbe hohe Priorität einräumen, die zum Bei­spiel der Brand­schutz schon seit langem in der Hotel­lerie genießt.

Hotels müssen PCI-DSS-konform sein

Dabei unterliegen eigentlich seit Ende 2013 alle Hotels, die Kredit­karten akzep­tieren, den Regel­ungen des Payment Card Industry Data Security Standard (PCI DSS). Dieser Standard regelt die Sicherheits­vorkehr­ungen, die Kredit­karten­akzeptanz­stellen der wichtig­sten Kredit­karten­gesell­schaften wie Visa und Master Card erfüllen müssen. Im Falle der Nicht­einhal­tung der Stand­ards können Straf­gebühren verhängt und die Akzeptanz von Kredit­karten untersagt werden.

PCI-DSS-Konformität externer Dienstleister muss überprüft werden.

Viele Hotels verwenden an der Rezeption Kredit­karten­termi­nals eines Zahlungs­anbieters und haben die Buchungs­ma­schine eines exter­nen An­bieters eingebunden. Auch in diesen Fällen unter­liegen sie grund­sätzlich den PCI-DSS-Regu­larien. Der Um­fang der Sicher­heits­maß­nahmen, die ein­ge­halten und durch einen Frage­bogen (dem Self Asses­ment Questio­nare SAQ) nach­ge­wiesen werden müssen, unter­scheidet sich aller­dings nach der Art der Kredit­karten­daten­ver­arbeitung. Je nachdem, ob Kredit­karten­daten nur auf Papier vorliegen oder auch digital abge­speichert werden, gelten unter­schiedlich strenge Vor­gaben. Typischer­weise müssen Hotels den SAQ-B mit 38 Fragen oder den SAQ-B-IP mit 62 Fragen beant­worten. Details zu den hotel­typischen An­forder­ungen an diese Frage­bögen enthält der PCI-Leit­faden des Hotel­verbandes IHA. Sobald aller­dings Kredit­karten­daten elek­tronisch gespei­chert werden (zum Beispiel in E-Mails oder als Scans) müssen Hotels die Vor­schriften des umfang­reichsten Fragebogen SAQ-D mit 241 Fragen erfüllen. Zusätz­lich ist der Hotelier in der Pflicht, sich die PCI-DSS-Kon­formität seiner Kredit­karten-Dienst­leister nach­weisen zu lassen. Dies betrifft zum Beispiel Channel Manager, Gutschein-Shops und Online Booking Engines.

Typische Gefahren beim Umgang mit Kreditkartendaten

Zuletzt wollen wir noch vor einigen häufig anzu­treffenden Fehler beim Umgang mit Kredit­karten­daten in Hotels warnen. Diese bringen einer­seits die Gefahr des Dieb­stahls der Kredit­kartendaten mit sich und verstoßen anderer­seits gegen die PCI-Vor­schriften.

Digitale Speicherung von Kreditkartendaten

Nur weil man als Hotel von Gästen keine Kredit­karten­daten per E-Mail verlangt, heißt das nicht, dass Gäste diese nicht trotzdem un­aufge­fordert senden. Werden diese E-Mails nicht sofort und um­fassend gelöscht, würde das Hotel in den PCI-DSS-An­forder­ungen in die höchste Gefahren­klasse SAQ-D fallen. Aber auch die Be­hand­lung von Fax-Nach­richten darf nicht ver­gessen werden. Diese kommen heut­zutage auch als E-Fax auf elek­tronischem Weg. Wenn diese, wie in der ein­gangs ge­schil­derten Ge­schichte der booking.com Buchungs­bestätigung, Kredit­karten­daten ent­halten, kommt zum Schaden durch den eigent­lichen Kredit­karten­diebstahl schnell eine Unter­suchung wegen eines mög­lichen Verstoßes gegen PCI-Regeln hinzu.

Unsichere Buchungsstrecken

Eine zweite Schwach­stelle, die wir häufig beo­bachten, tritt bei der Reali­sierung von Buchungs­strecken auf Hotel-Web­seiten über die Internet Booking Engine (IBE) eines externen Anbieters auf. Die Buchungs­maschine wird dabei meistens mittels eines soge­nannten https-iframe eingebunden. Dadurch wird die Kredit­karten-Trans­aktion prinzip­iell per TLS ver­schlüs­selt auf dem Server des IBE-An­bie­ters durch­geführt. Eine Sicher­heits­lücke ent­steht aber dann, wenn die Hotel-Web­seite, in der die IBE eingebunden ist, unver­schlüs­selt per http ausgeliefert wird. Hier­durch können Krimi­nelle mit einem soge­nannten Man-in-the-Middle-Angriff den Inhalt der Webseite manipulieren und damit auch das eigentlich sichere Iframe durch eine Kopie aus­tauschen, die die Kredit­karten­daten der Hotel­gäste mit­liest. Beson­ders delikat wird das Ganze im Fall des Hotels, bei dem der Man-in-the-Middle-An­griff auf die Hotel-Web­seite durch ein un­sicher­es Hotel-WLAN aus dem eigenen Haus heraus er­möglicht wird. Das ist aber eine Ge­schichte für einen anderen Blog-Beitrag.

Wenden Sie sich an uns, falls Sie Zweifel haben, in welche SAQ-Kate­gorie zum Nachweis der PCI-DSS-Compliance Ihr Hotel fällt oder wie Sie die ge­for­derten Sicher­heits­maß­nahmen um­setzen können. Die Berater von aramido haben neben dem not­wendigen IT-Sicher­heits-Know-How operative Er­fahrung in der Hotellerie und können Sie so optimal bei allen Frage­stellungen beraten. Ver­einbaren Sie jetzt Ihr kosten­loses Erst­gespräch!