Böse Überraschung für Gäste eines österreichischen Hotels: Diese kamen mit ihren Key Cards nicht mehr in ihre Zimmer, weil Ransomware das System befallen hatte. Der Betreiber war gezwungen zu zahlen und stellt jetzt seine System um.
Anzeige
Die Story geht aktuell im Internet rum – als erstes hat es die englischsprachige Site thelocal.at berichtet. Getroffen hat es wohl das Romantik Seehotel Jägerwirt, an der Turacher Höhe in Kärnten.
Beim Seehotel Jägerhof handelt es sich wohl um ein 4 Sterne Luxus-Ressort, direkt am Ufer des Turracher Sees. Cyber-Kriminellen ist es wohl gelungen, in das moderne IT-System des Hotels einzudringen und dieses mit Ransomware zu infizieren. Über das IT-System wird aber auch der Zugang der Gäste zu ihren Zimmern mittels Key Cards verwaltet. Das ist zwischenzeitlich bei modernen Hotels Standard, niemand setzt mehr auf altmodische Schlüssel.
Laut Hotelbetreiber gab es wohl drei Cyber-Angriffe, wobei einer so erfolgreich war, dass auch das System zur Verwaltung der Schlüsselkarten betroffen war. Plötzlich waren die Gäste nicht mehr in der Lage, mittels der Schlüsselkarten auf ihre Zimmer zu gelangen. Und neue Schlüsselkarten (Key Cards) ließen sich nicht mehr programmieren.
Anzeige
Das Ganze fand zu einem ungünstigen Zeitpunkt, an einem langen Wochenende, als das Hotel war mit 180 Gästen voll ausgebucht war. Der Cyber-Angriff führte dazu, dass alle IT-Systeme, einschließlich des Reservierungssystems und der Kassensysteme ausfielen. Der absolute GAU für den Hotelbetreiber. Der Hotelbetreiber Christoph Brandstätter sagte:
"Das Haus war mit 180 Gästen vollständig ausgebucht. Weder Polizei noch Versicherung halfen in diesem Fall weiter."
Daher entschloss sich der Hotelbetreiber auf das Angebot der Cyber-Kriminellen einzugehen und die geforderte Lösegeldsumme von 1.500 EUR in Form von Bitcoin zu zahlen. Nach Zahlung der geforderten Summe wurden die Systeme von den Kriminellen wohl entsperrt.
Bereits im Sommer war ein Cyber-Angriff erfolgreich – die Restaurierung der Systeme kostete den Hotelbetreiber tausende Euro – die Versicherung zahlte wohl nicht. Aus dieser Sicht war es für den Hotelbetreiber günstiger, auf das Erpressungsangebot einzugehen, auch wenn es schmerzte. Der Betreiber gibt an, dass andere Hotels wohl auch schon angegriffen wurden. Daher entschloss man sich, mit dem Fall an die Öffentlichkeit zu gehen.
Interessant ist an diesem Fall, dass die Kriminellen einmal nach Zahlung des Lösegelds die Sperren aufhoben (was durchaus nie sicher ist). Zweitens beließen die Cyber-Gangster eine Hintertür auf dem System und versuchten einen weiteren Cyber-Angriff. Allerdings war dieser Angriff nicht mehr erfolgreich, denn die Hotelleitung hatte die Systeme teilweise austauschen und auf den "neuesten Sicherheitsstandard" bringen lassen. Zudem waren einige Systeme im Netzwerk entkoppelt worden.
Kleiner Nachtrag: Das Seehotel Jägerwirt existiert nun schon 111 Jahre – und als "Innovation" zur Hackerabwehr wird bei der nächsten Renovierung wieder auf das alte System mit einem Schlüssel für die Türen umgestellt. Es lebe der Fortschritt, aber manchmal ist die Jahrhunderte verwendete Schließtechnik mit Schloss und Schlüssel dann doch die sicherere im Hinblick auf Cyberangriffe. Details finden sich in diesem englischsprachigen Beitrag.
Nachtrag: Von AVAST liegen mir weitere Informationen vor. So war das Hotel vor dem dritten Angriff drei Wochen lang geschlossen und in dieser Zeit fand keine Datensicherung statt. Durch den Ransomware-Angriff gingen alle Dokumente und Reservierungen verloren und das Hotel- und Reservierungssystem samt den Systemen zur Ausgabe der Key Cards war nicht mehr bedienbar.
Anzeige
Bei Sicherheit durch "Schloss und Schlüssel" muss ich an Bump Keys denken…
1. Wieso sollte die Versicherung helfen oder zahlen? Welch Arroganz von den Bereibern.
2. Wieso zurück zu Schlüsseln (auch wenn ich persönlich für die beste Entscheidung halte)?
Gibt soch bestimmt duale Schließsysteme?
Oder man entkoppelt das Schließsystem vollständig (auch physisch) vom Rest und setzt entsprechende Sicherheitssystem drauf (Hardwaresicherheit, Softwaresicherheit, Netzwerksicherheit).
Zu 1: Es kommt auf die Art der Versicherung an – imho lässt sich auch das Risiko von Computersabotage im Rahmen von Betriebsausfällen versichern. Hat wenig mit Arroganz zu tun.
Zu 2: Ich denke, "weniger ist mehr" – die alten, mechanischen Schließsysteme, haben durchaus ihre Vorteile. Um da final urteilen zu können, müsste man die Kalkulation des Hoteliers kennen. Da fließen ja nicht nur die Kosten für das reine Schließsystem an den Türen ein, sondern auch Absicherung, Verwaltung der Key Cards u.s.w.
Ich würde mich hüten, da vorschnell ein Urteil zu fällen – speziell, wenn es um "Sicherheitssysteme" geht. Das ist immer noch ein Hotel, dessen Kerngeschäft die Beherbung von Gästen und den Betrieb der Gastronomie/Hoteleinheit ist – und da ist keine IT-Sicherheitsabteilung angeschlossen. Das wird i.d.R. an eine ausführende Firma vergeben und dann von einem externen Dienstleiste gewartet.
Zu dem letzten Punkt:
Sorry, aber wer entsprechende System betreibt und/oder nutzt, der muss sich entweder damit auskennen oder einen Dienstleister beauftragen sich damit auszukennen. Vor allem wenn es sich um ein derart kritisches System handelt.
Es gibt genug IT-Dienstleister und -Berater die sich mit IT-Sicherheit auskennen. Es sollte wohl vor dem Systemeinsatz bzw. -aufbau möglich sein sich dazu beraten zu lassen.
Für mich sieht das einfach nach nicht gemachten Hausaufgaben aus.
Oder anders: Wie sah denn der Plan aus, wenn die Entsperrung via Lösegeldzahlung nicht geklappt hätte?
Sehe ich ähnlich. Hinterher haben es alle wieder mal besser gewusst. Das Sicherheitskonzept des Hotels ist unbekannt, ebenso die Ransomware.
Immerhin hat das Hotel jetzt indirekte Publicity erhalten für Unentschlossene.