Was Hotels beim Umgang mit Kreditkartendaten beachten mĂŒssen

„Ihre Kreditkarte wurde aufgrund unge­wöhn­licher Trans­aktio­nen gesperrt“.

Diese Information teilte mir meine Bank mit, als ich letzten Sommer auf dem Weg in den Urlaub war. Durch weitere Infor­matio­nen zum Ein­satz der Kredit­karte konnte ich den Dieb­stahl auf eine Buchung eines Hotels ĂŒber die Buchungs­webseite booking.com zurĂŒckfĂŒhren. Die Reak­tionen von booking.com und dem Hotel auf meinen Hinweis zu einer mög­lichen Sicherheits­lĂŒcke waren leider sehr ernĂŒch­ternd und zeug­ten von großem UnverstĂ€ndnis. Booking.com teilte mir sogar mit, dass von ihrer Seite aus alles sicher sein muss, da meine Kreditkartendaten ja verschlĂŒs­selt wĂ€ren. Dies stimmt zwar fĂŒr den Transport der Kredit­karten­daten von meinem Rechner zum booking.com-Server. Von dort werden Kredit­karten­daten aber meis­tens unver­schlĂŒsselt, per Fax an das Hotel zusammen mit den restlichen Buchungs­infor­mationen weiter­geleitet. Es ist wahr­scheinlich, dass dieses Fax im Hotel in die falschen Finger geraten ist. So sind mir das Hotel und booking.com statt mit einem schönen Strand­urlaub mit Nerv raubenden Telefon­anrufen zum Auf­klĂ€ren eines Kredit­karten­daten­dieb­stahls im GedĂ€cht­nis geblieben.

Hotels im Visier von Kriminellen

Diese Geschichte zeigt, dass Hotels im Visier von Krimi­nellen sind. Diese haben es auf die Viel­zahl an Per­sonen- und Fi­nanz­da­ten abge­sehen, die in der Hotel­lerie anfallen. Die Meldungen ĂŒber IT-Sicher­heits­vorfĂ€lle in Hotels hĂ€ufen sich. Erst vor Kurzem, am 27.Juni 2016, musste das Hard Rock Hotel in Las Vegas seine GĂ€ste ĂŒber einen massen­haften Dieb­stahl von Kredit­karten­daten unter­richten. Daran sieht man, dass selbst große Hotel­ketten neu­artigen IT-Risiken nicht dieselbe hohe PrioritĂ€t einrĂ€umen, die zum Bei­spiel der Brand­schutz schon seit langem in der Hotel­lerie genießt.

Hotels mĂŒssen PCI-DSS-konform sein

Dabei unterliegen eigentlich seit Ende 2013 alle Hotels, die Kredit­karten akzep­tieren, den Regel­ungen des Payment Card Industry Data Security Standard (PCI DSS). Dieser Standard regelt die Sicherheits­vorkehr­ungen, die Kredit­karten­akzeptanz­stellen der wichtig­sten Kredit­karten­gesell­schaften wie Visa und Master Card erfĂŒllen mĂŒssen. Im Falle der Nicht­einhal­tung der Stand­ards können Straf­gebĂŒhren verhĂ€ngt und die Akzeptanz von Kredit­karten untersagt werden.

PCI-DSS-KonformitĂ€t externer Dienstleister muss ĂŒberprĂŒft werden.

Viele Hotels verwenden an der Rezeption Kredit­karten­termi­nals eines Zahlungs­anbieters und haben die Buchungs­ma­schine eines exter­nen An­bieters eingebunden. Auch in diesen FĂ€llen unter­liegen sie grund­sĂ€tzlich den PCI-DSS-Regu­larien. Der Um­fang der Sicher­heits­maß­nahmen, die ein­ge­halten und durch einen Frage­bogen (dem Self Asses­ment Questio­nare SAQ) nach­ge­wiesen werden mĂŒssen, unter­scheidet sich aller­dings nach der Art der Kredit­karten­daten­ver­arbeitung. Je nachdem, ob Kredit­karten­daten nur auf Papier vorliegen oder auch digital abge­speichert werden, gelten unter­schiedlich strenge Vor­gaben. Typischer­weise mĂŒssen Hotels den SAQ-B mit 38 Fragen oder den SAQ-B-IP mit 62 Fragen beant­worten. Details zu den hotel­typischen An­forder­ungen an diese Frage­bögen enthĂ€lt der PCI-Leit­faden des Hotel­verbandes IHA. Sobald aller­dings Kredit­karten­daten elek­tronisch gespei­chert werden (zum Beispiel in E-Mails oder als Scans) mĂŒssen Hotels die Vor­schriften des umfang­reichsten Fragebogen SAQ-D mit 241 Fragen erfĂŒllen. ZusĂ€tz­lich ist der Hotelier in der Pflicht, sich die PCI-DSS-Kon­formitĂ€t seiner Kredit­karten-Dienst­leister nach­weisen zu lassen. Dies betrifft zum Beispiel Channel Manager, Gutschein-Shops und Online Booking Engines.

Sie sind unsicher, welche PCI-Klassi­fizier­ung auf Sie zu­trifft? Wir klĂ€ren mit Ihnen in einem kosten­losen Erst­gesprĂ€ch Ihre Einstu­fung.

Typische Gefahren beim Umgang mit Kreditkartendaten

Zuletzt wollen wir noch vor einigen hĂ€ufig anzu­treffenden Fehler beim Umgang mit Kredit­karten­daten in Hotels warnen. Diese bringen einer­seits die Gefahr des Dieb­stahls der Kredit­kartendaten mit sich und verstoßen anderer­seits gegen die PCI-Vor­schriften.

Digitale Speicherung von Kreditkartendaten

Nur weil man als Hotel von GĂ€sten keine Kredit­karten­daten per E-Mail verlangt, heißt das nicht, dass GĂ€ste diese nicht trotzdem un­aufge­fordert senden. Werden diese E-Mails nicht sofort und um­fassend gelöscht, wĂŒrde das Hotel in den PCI-DSS-An­forder­ungen in die höchste Gefahren­klasse SAQ-D fallen. Aber auch die Be­hand­lung von Fax-Nach­richten darf nicht ver­gessen werden. Diese kommen heut­zutage auch als E-Fax auf elek­tronischem Weg. Wenn diese, wie in der ein­gangs ge­schil­derten Ge­schichte der booking.com Buchungs­bestĂ€tigung, Kredit­karten­daten ent­halten, kommt zum Schaden durch den eigent­lichen Kredit­karten­diebstahl schnell eine Unter­suchung wegen eines mög­lichen Verstoßes gegen PCI-Regeln hinzu.

Unsichere Buchungsstrecken

Eine zweite Schwach­stelle, die wir hĂ€ufig beo­bachten, tritt bei der Reali­sierung von Buchungs­strecken auf Hotel-Web­seiten ĂŒber die Internet Booking Engine (IBE) eines externen Anbieters auf. Die Buchungs­maschine wird dabei meistens mittels eines soge­nannten https-iframe eingebunden. Dadurch wird die Kredit­karten-Trans­aktion prinzip­iell per TLS ver­schlĂŒs­selt auf dem Server des IBE-An­bie­ters durch­gefĂŒhrt. Eine Sicher­heits­lĂŒcke ent­steht aber dann, wenn die Hotel-Web­seite, in der die IBE eingebunden ist, unver­schlĂŒs­selt per http ausgeliefert wird. Hier­durch können Krimi­nelle mit einem soge­nannten Man-in-the-Middle-Angriff den Inhalt der Webseite manipulieren und damit auch das eigentlich sichere Iframe durch eine Kopie aus­tauschen, die die Kredit­karten­daten der Hotel­gĂ€ste mit­liest. Beson­ders delikat wird das Ganze im Fall des Hotels, bei dem der Man-in-the-Middle-An­griff auf die Hotel-Web­seite durch ein un­sicher­es Hotel-WLAN aus dem eigenen Haus heraus er­möglicht wird. Das ist aber eine Ge­schichte fĂŒr einen anderen Blog-Beitrag.

Wenden Sie sich an uns, falls Sie Zweifel haben, in welche SAQ-Kate­gorie zum Nachweis der PCI-DSS-Compliance Ihr Hotel fĂ€llt oder wie Sie die ge­for­derten Sicher­heits­maß­nahmen um­setzen können. Die Berater von aramido haben neben dem not­wendigen IT-Sicher­heits-Know-How operative Er­fahrung in der Hotellerie und können Sie so optimal bei allen Frage­stellungen beraten. Ver­einbaren Sie jetzt Ihr kosten­loses Erst­gesprĂ€ch!

Armin Harbrecht

Am 01.07.2016 in der Kategorie Datensicherheit veröffentlicht.