Wie ein Cyberangriff die Sicherheit in diesem Hotel veränderte

Einführung Hallo, alle zusammen. Willkommen zurück zu einem weiteren Matt Talks. Diese Woche möchte ich über Cybersicherheit sprechen, ein Thema, das euch eigentlich am Herzen liegen sollte, es aber vielleicht nicht tut. Und ich hoffe, dass Josh uns für dieses spezielle Thema begeistern kann. Josh, danke, dass du dabei bist. Vielen Dank! Ich freue mich, hier zu sein. Du bist also ein Hotelier. Richtig? Du hast viele Jahre lang in der Hotellerie gearbeitet, um dorthin zu kommen, wo du heute bist. Kannst du uns vielleicht einen kleinen Hinweis auf all die Jobs geben, die du in Hotels gemacht hast? Auf jeden Fall. Also begann ich zweitausendsechzehn mit Accor zu arbeiten, für Novotel. Ich habe am Empfang als Empfangsmitarbeiter gearbeitet und bin dann in eine Art Hybridrolle zwischen Empfang und Speisen & Getränke gewechselt. Wir verwenden also ein PMS vor Ort, ein Kassensystem der alten Schule. Dann bin ich in den Verkauf gewechselt. Deshalb wurde ich Manager im Verkauf. Ich kümmere mich also wieder um Konferenzen und Veranstaltungen. Ein wirklich hartes System der alten Schule, auch dort. Nun, ich denke nur darüber nach. Entmachtet. Oh, wenn ich mich recht erinnere, war es Digi. Ich glaube, sie hieß. Ich habe dort nie mit dem gearbeitet. Das macht keinen Spaß. Aber dann ja. Zweitausendachtzehn bin ich dann natürlich zu Penta Hotels gewechselt. Dort hat er als Manager für den Service für Gäste angefangen. Du kümmerst dich also um alle Betriebsabläufe im Hotel. Ich habe mich um Speisen & Getränke, den Empfang, die Küche, das Housekeeping und die Instandhaltung gekümmert, was mir sehr viel Spaß gemacht hat. Zweiundzwanzig Jahre später zog ich dann in unser zentrales Support-Büro in Frankfurt um, allerdings von zu Hause aus in Großbritannien. Oh, das ist schön. Also, ja. Aber deine gesamte Architektur befindet sich heute in der Cloud. Wenn du von zu Hause aus arbeitest, gehe ich davon aus, dass du heute nur noch in Cloud-Systemen arbeitest? Meistens. Wir haben ein paar, die wir immer noch auslaufen lassen. Türschloss-Systeme oder wie was sind das für Systeme? Türschloss-Systeme, Finanz-ERP, die wir verschenken wollen. Ja, natürlich. Das ist die andere. Ja. Aber vor allem deshalb, weil wir letzte Woche den Rollout auf Mewsabgeschlossen haben, worüber ich mich sehr freue. Schön. Herzlichen Glückwunsch zu dieser Einführung. Es hat sehr lange gedauert, von den ersten Pilotprojekten bis zur Einführung der gesamten Hotelkette. Aber es war ein persönliches Herzensprojekt für mich, mich hier zu engagieren, und ich liebe die Energie, die ich von der Marke spüre, und wie ihr das, was wir euch gebracht haben, angenommen habt. Also danke, dass du das so erfolgreich gemacht hast. Ja. Trotzdem danke. Es waren wirklich aufregende drei Monate. Es war nicht einfach. Das ist es nie. Ja. Aber nein. Mit der richtigen Einstellung ist das alles möglich. Und ich glaube, jetzt fängt der Spaß erst richtig an, denn jetzt hast du das richtige System, um darauf aufbauend weiterzumachen. Und ich glaube wirklich, dass es von jetzt an nur noch besser wird. Ja. Ich glaube, das ist das Wichtigste, was die Hotels bemerkt haben. Es ist die Tatsache, dass wir sagen können: "Hey, wir können das so schnell ausbauen", im Gegensatz zu früher, wo wir sechs Monate warten mussten, wenn wir etwas entwickeln oder unseren PMS-Partner etwas hinzufügen lassen wollten. Ja. Weißt du, ich kann diese Integration in zehn Sekunden aktivieren. Verstehst du? Für sie ist es umwerfend. Es ist wirklich verrückt. Und deine Berufsbezeichnung ist Manager für Betriebsabläufe. Die meisten Hotels haben eine traditionelle IT-Abteilung, die die Drucker, Computer und Server verwaltet, aber deine Rolle klingt nach etwas anderem als einer IT-Rolle. Kannst du das vielleicht erklären? Ja. Wir haben also eine digitale Abteilung, die sich um alles kümmert, sozusagen die Kern-IT, also die eigentliche Hardware und den Netzwerkaspekt. Wir haben dann ein Systemteam zusammengestellt, das die wirklichen Experten sind, ich sage Experten, aber Experten auf dem Gebiet, weil wir uns mit all diesen Systemen wie PMS und Kassensystemen auskennen und wissen, wie man sie am besten einsetzt, weil wir sie gelebt und geatmet haben. Weißt du, ich benutze PMS, wie gesagt, schon seit zehn Jahren. Ja. Und ja, dann habe ich meine Kollegin bei mir und sie ist auch wirklich gut. Wir haben also diese Experten auf dem Gebiet, die genau wissen, wovon wir reden, und die diese Systeme wirklich anpacken und weiterentwickeln können. Schön. Im Vergleich zu einem typischen IT-Team, das vielleicht Netzwerkexperten ist, aber nicht so sehr ein Hotelexperte. Ja. Cloud-Software-Experten für die Cloud. Ja. Die verstehen, was in den Betriebsabläufen passiert und welche Systeme du brauchst, um das zu unterstützen. Kapitel Der Vorfall mit dem Cyberangriff Ja. Unser heutiges Thema dreht sich also um Sicherheit. Und ich erinnere mich, dass ihr ein Jahr später einen ziemlich schlimmen Cyberangriff hattet. Kannst du erzählen, was passiert ist? Ja. Es war also am siebten Oktober einundzwanzig, dem Tag, an dem mein Sohn. Jetzt erinnerst du dich für immer an dieses Datum, richtig? Ja. Es war der Tag, an dem mein Sohn geboren wurde. Das ist der Grund. Ja. Es war also ein toller Tag und ein schrecklicher Tag zugleich. Ich erinnere mich, dass ich im Krankenhaus war. Mein Sohn war gerade geboren worden. Alles war großartig. Und dann spielt plötzlich mein Telefon verrückt und ich denke: "Halt das Baby fest! Lass mich kurz einchecken, was hier los ist. Und dann habe ich gerade gesehen, hey. Wir sind gehackt worden. Alles funktioniert nicht. Alles ist runtergefahren. Und zu dieser Zeit arbeitete ich in einem der Hotels. Ich habe also nicht zentral gearbeitet, aber die Nachrichten kamen einfach von unserer zentralen Abteilung. Sie sagten: "Nehmt jedes Stück Hardware, das ihr habt, jeden Computer, jeden Laptop, werft alles in den Müll. Und wir fragten uns: Was um Himmels willen ist hier los? Zu dieser Zeit verwendeten wir ein PMS vor Ort. Wir fragten uns also, wie wir arbeiten können. Sie sagten: "Das kannst du nicht. Sie sagten: "Wir müssen aufhören zu arbeiten. Schalte alles ab. Schließe die Türen. Schmeiß alle raus. Erledigt. Wow. Es ist wie: Das ist verrückt. Wir fragten sie also, wie sie Zugang zu den Systemen bekommen hatten? Es war also ein MPLS-Setup der alten Schule. Also Multiprotokoll, Label Switching. Wir hatten also eine Netzwerktechnologie, bei der im Grunde alles übereinander läuft. Alle Netze haben sich also gegenseitig durchlaufen. Sobald sich die Hacker also Zugang zu einem Element unseres Systems verschafft hatten, hatten sie Zugang zu unserer gesamten Infrastruktur. Und von da an liefen sie einfach frei durch unser ganzes Netzwerk. Und sie haben nur den Zugang einer Person zu diesem Netzwerk geknackt? Oder wie sind sie reingekommen? Ja. Es war buchstäblich nur ein einziger Zugang. Und wie du schon sagtest, hatten sie von dort aus Zugang zu jedem Server, jeder virtuellen Maschine und jedem Computer. Sie haben unser Antivirusprogramm deaktiviert und dann die Ransomware eingeschleust. Das ist also verrückt. Und dann stelle ich mir vor, dass du als Hotelbetreiber kein System zum Einchecken der Leute hast. Wahrscheinlich wusstest du nicht einmal, wer die Gäste bei der Anreise sein würden, es sei denn, du hättest die Berichte über die Sicherung ausgedruckt. Ja. Zum Glück war das ein ziemlich strenges Protokoll, das wir im Service des Hotels hatten. Zumindest früher gehörten sie zu den Top-Cybersicherheitsmaßnahmen. Aber jetzt, wo ich zurückblicke, ist es verrückt. Aber, ja, ich meine, nur für diesen einen Tag hatten wir zumindest den Bericht über die Ankünfte. Aber ich erinnere mich, dass wir in die örtlichen Supermärkte gehen mussten, wir mussten Supermarkt-Laptops kaufen, wir mussten unsere Schlüsselkodierer mit VGA-Kabeln anschließen. Es konnte einfach nichts im Netzwerk verbleiben. Wir haben buchstäblich alles von wann bis wann verwaltet. Wie viele Tage? Wir haben das eine ganze Woche lang gemacht. Für die gesamte Hotelkette? Ja. Jedes einzelne Hotel in sechs verschiedenen Ländern. Sobald du also online bist, beginnst du mit einer Nachbereitung oder einem Postmortem, wir nennen das App News, bei dem wir uns fragen, wie das passiert ist, aber auch, wie wir es in Zukunft verhindern können. Was ist bei diesen Treffen herausgekommen? Was war die größte Strategieänderung, die ihr vorgenommen habt und die besagt, dass wir die Art und Weise, wie wir über Technologie denken, ändern müssen? Ja. Ich meine, wir haben alles komplett überarbeitet. Wir haben dann mit einem externen IT-Partner zusammengearbeitet und unser IT-Team von reinen IT-Leuten zu digitalen Experten gemacht. Wir mussten diese sechs Säulen aufbauen, und heute ist das ein sehr wichtiges Thema. Denn wir haben jetzt diese sechs Säulen: Schutz, Prävention, Aufdeckung, Reaktion, Wiederherstellung und Überprüfung. Und unter jeder dieser Kategorien gibt es etwa fünfundzwanzig verschiedene Schritte und Elemente, die wir eingeführt haben, um alles, was die Sicherheit betrifft, zu kontrollieren. Kapitel Aktuelle Sicherheitsmaßnahmen Es ist Und hast du das Gefühl, dass du heute viel besser aufgestellt bist, um zu verhindern, dass so etwas noch einmal passiert? Oh, ja. Das glaube ich jetzt auch. Wenn wir von Schutz sprechen, haben wir alles von Zugangskontrollen über IP-Restriktionen bis hin zu Filtern für Webinhalte. Dann haben wir die Erkennung Du verstehst vielleicht nicht, was du da gerade sagst. Was ist zum Beispiel eine IP-Restriktion? Wir sagen zum Beispiel, dass wir wissen, dass alle in unseren Hotels in Deutschland arbeiten, zum Beispiel. Wenn eine dieser Personen ihren Laptop aufnimmt und nach Kanada fliegt und dann versucht, sich einzuloggen, wird es nicht möglich sein. Denn wir müssen erkennen, wo etwas nicht üblich ist, wo etwas nicht normal ist. Und wenn wir das sehen, sagen wir: "Nein, du kannst nichts machen. Zuerst muss sie geprüft und genehmigt werden, um sicherzustellen, dass du arbeiten darfst. Wow. Welche anderen Dinge hast du eingeführt? Ich denke also, dass auch das Scannen und Überwachen von Netzwerken dazugehört. Wir haben jetzt also buchstäblich einen Drittanbieter, der das gesamte Netzwerk ständig überwacht. Jeder Benutzer, jeder Computer, alles, was auch nur im Entferntesten als gefährlich eingestuft wird, wird sofort abgeschaltet, und zwar das ganze Gerät oder der ganze Benutzer. Und passiert das oft, dass du jemanden von seinem Gerät ausschließt? Ich denke jetzt jeden Tag. Jeden Tag? Ja. Denn es ist unglaublich, wie viel jetzt passiert. Wir sehen das zum Beispiel bei großen Betrügereien, bei denen die E-Mail einer Person gehackt wird und der Geschäftsführer dann eine E-Mail verschickt, in der er dich auffordert, eine Million Euro zu überweisen. Es ist unfassbar. Ja. Aber siehst du, dass die Teammitglieder jetzt hyperbewusst sind, oder muss das ständig geschult werden? Ich denke, auf höherer Ebene ist es sehr bekannt, aber je weiter man nach unten geht, desto mehr Leute denken: "Oh, du hast die Zwei-Faktor-Authentifizierung aktiviert. Das ist so ärgerlich. Das dauert so lange, bis ich mich in mein System einloggen kann. Aber wenn du mal hinter die Kulissen schauen würdest, was wir tun und warum wir es tun, dann würdest du es verstehen, und das ist das Bewusstsein, das wir vermitteln wollen. Denn wie bringst du die Menschen auf diese Reise? Durch das Erzählen von Geschichten sagen die Leute: "Oh, okay. Es gibt hier also einen Verlauf. Es gibt einen Grund, warum wir das tun. Wie bringst du die Leute mit? Weil es so schwierig ist, Menschen für dieses Thema zu begeistern. Ja. Deshalb machen wir jedes Jahr eine Art traurigen Rückblick auf die Veranstaltung. Jeden siebten Oktober holen wir das Thema wieder hervor und sagen: "Hey, das ist passiert. Dies ist ein trauriger Moment in unserer Geschichte. Darüber hinaus haben wir auch typische Schulungen, aber wir versuchen, sie auf eine einbindendere Weise durchzuführen. Wir haben also einen wirklich coolen Partner, der eine viel einbindendere Schulungssoftware verwendet. Es ist also wie Multiple Choice. Die Quizfragen sind viel interessanter als die typischen Diashows. Ja. Und dann macht unsere IT-Abteilung auch noch einen fantastischen Phishing-Kampagnenversuch. Jede Woche oder alle zwei Wochen verschicken sie eine gefälschte E-Mail an alle. Wir sehen, wie viele Leute darauf klicken und wie viele Leute den Anhang öffnen. Es ist wirklich cool, diese Dinge zu sehen. Je weiter wir fortschreiten, desto weniger Menschen klicken diese Dinge an. Denn was würdest du empfehlen, wenn du eine kritische Veranstaltung in einundzwanzig Jahren hattest, die du in der ganzen Firma erzählen kannst, um das Bewusstsein dafür zu schaffen? Aber viele Hotels haben vielleicht nicht so eine wichtige Veranstaltung gehabt. Wie würdest du ihnen empfehlen, dieses Thema anzusprechen und die Leute über Sicherheitseinstellungen usw. ins Gespräch zu bringen? Ich denke, das Wichtigste, was sie bedenken sollten, ist nicht, dass sie von einem Erlebnis ausgehen, sondern was würden wir tun, wenn es tatsächlich passieren würde? Sie versuchen, sich in die Situation zu versetzen, dass wir morgen den Zugang zu allem verlieren. Jemand verschlüsselt alle unsere Daten und wir müssen ihn bezahlen oder er verlangt von uns, dass wir ihn bezahlen. Ja. Wie würden wir das handhaben? Und wenn sie sagen: "Oh, wir wissen es nicht", dann hast du ein Problem. Ja. Und dann musst du dich wirklich hinsetzen und trainieren. Als ob es ein gutes Rollenspiel wäre, mit dem Team zu sagen: Genau, wir befinden uns in einem Krisenszenario. Wir haben drei Stunden Zeit und in drei Stunden werden alle Zugänge abgeschnitten sein. Oder auch jetzt ist der Zugang abgeschnitten. Wie würdest du das in deiner Rolle spielen? Und es ist wirklich interessant zu sehen, wie die Leute darauf reagieren. Ich weiß noch, wie ich in Hotels gearbeitet habe und wir gefragt wurden: "Was würdest du tun, wenn du zum Manager ausgebildet würdest? Wir hatten Excel-Tabellen auf unseren Computern, mit denen wir alle Check-ins und Check-outs ein- und auscheckten. Und ich dachte, das ist verrückt. Das wird nie passieren. Aber es ist passiert. Und wenn es dann passiert, bist du sehr dankbar für diese Ausbildung. Oh, absolut. Ja. Wie gesagt, ich kann mich noch gut daran erinnern. Zum Glück war ich zu der Zeit in Vaterschaftsurlaub, aber ich habe immer noch viel von meinem Telefon aus gearbeitet und vom Team gehört, dass wir alles über WhatsApp machen und sie meinten, das sei einfach verrückt. Aber warum ist On Premise deiner Meinung nach weniger sicher als in der Cloud? Ich meine, du brauchst bestimmte Dinge, du brauchst bestimmte Einrichtungen wie VPNs und du musst diesen physischen Server in deinem Hotel installieren und bist dann dafür verantwortlich, alles zu warten, und das ist okay, wenn du eine große Firma bist. Du denkst nicht an Regelkonformität, wie ISO und SOC zwei. Du denkst nicht an die großen Dinge, wie wenn du eine kleine Hotelkette oder eine kleine Unterkunft bist. Wenn du also jemandem die Verantwortung übergibst, der alles für dich im Griff hat, solange es ein guter Rahmen ist, dann denke ich, ist das ein bisschen mehr Sicherheit für dich. Ja. Ich erinnere mich, dass ich mich oft mit Hoteliers getroffen habe und die Debatte über On Prem versus Cloud geführt wurde und die Reservierungsinhaber sagten: "Ja, aber wenigstens weiß ich, wo mein Server steht. Ich kann es kontrollieren. Ich dachte mir: "Ja, aber das bedeutet auch, dass andere, die etwas Böses tun wollen, wissen, wo dein Server steht und darauf zugreifen können. In der Cloud ist es so, als wären unsere Server von Microsoft und wahrscheinlich die am besten geschützten Server der Welt, im Gegensatz zu einem Back Office Zimmer mit einem Schloss daran. Und diese Einstellung versuchen wir zu überwinden, aber es ist eine wirklich schwierige Herausforderung, diese Gespräche zu führen. Ja. Nein. Das kann ich mir vorstellen. Manchmal gibt es sogar Serverräume, die kein Schloss haben. Wenn du dich daran gewöhnt hast, ist es, aber, ja, auch gut. Du solltest nicht dafür verantwortlich sein, dass du es manuell neu starten musst und dass es im Netzwerk liegt, das offen ist und Ja. Vor allem, wenn es heutzutage so viele Möglichkeiten gibt, es wirklich zu haben. Es gibt einfach keinen Grund. Ja. Auf dem wie, gehostet mit Azure oder ähnlichen Dingen dann. Und in den letzten Jahren haben wir eine Zunahme von Phishing-Angriffen auf das Gastgewerbe erlebt. Und das ist nicht nur gegen Mews. Sie richtet sich gegen jede Firma, die mit wirklich sensiblen Daten von Gästen arbeitet. Hast du schon etwas davon bei Penta gesehen oder wurdest du bisher gesegnet? Leider nicht. Kapitel Jüngste Phishing-Angriffe im Gastgewerbe Wir haben es gesehen, und zwar ziemlich oft in letzter Zeit. Wir haben eine Art Reservierungsinhaber-Firma, und leider wurde eine der E-Mail-Adressen veröffentlicht. Ja. Und damit geht es dann per E-Mail an alle: "Hey, ich brauche das, das und das. Und wenn es von dieser E-Mail-Adresse kommt, kannst du natürlich gerne sagen: "Okay, dann bearbeite ich diese Person. Es scheint in Ordnung zu sein. Und du wirst einfach tun, was von dir verlangt wird. Und du weißt, dass es nicht nur uns betrifft. Wir haben E-Mails von anderen Hoteliers oder anderen Anbietern erhalten, die das gleiche Problem haben. Und weil es einfach von der E-Mail-Adresse kommt, die du in den letzten drei Jahren vielleicht fünftausend Mal angemailt hast, denkst du nicht einmal darüber nach. Nein. Das tust du wirklich nicht. Du gehst einfach davon aus, dass es richtig ist. Und wir bekommen so viele E-Mails, dass du einfach davon ausgehst, alles anzuklicken. Und zum Glück hast du diese IT-Einrichtung, mit der du Phishing-Versuche fabrizierst, um zu sehen, ob du deine Mitarbeiter austricksen kannst, und das führt dann zu Schulungen. Und ich denke, das ist wahrscheinlich einer der besten Wege, um die Bildung zu fördern. Aber du bist so stark wie dein schwächstes Glied, und das ist wirklich wahr. Und die Einstellungen, wer auf was zugreifen darf, sind so wichtig, um wirklich zu prüfen, ob diese Leute administrative Rechte für das System brauchen oder ob sie auch ohne das auskommen? Und das ist eines der Dinge, bei denen du viel Gegenwind bekommst, weil die Betriebsabläufe sagen: Ja, ich brauche es, weil ich diese Dinge tun muss. Und du sagst: "Ich glaube nicht, dass du das wirklich tust, aber das ist ein schwieriges Gespräch, nehme ich an. Kapitel Die Bedeutung der Zugangskontrolle Ja. Es passiert ziemlich viel. Ich meine, wenn ich aus Erfahrung spreche, habe ich sogar heute Morgen drei verschiedene Anfragen bekommen. Hey, wir brauchen Zugriff auf diese Berechtigung oder diese Person braucht Zugriff auf diese Berechtigung. Und je mehr wir dir geben, desto mehr kannst du dich zeigen, weißt du? Wenn, wie du gesagt hast, diese eine Person Zugang zu ihrem Konto hat, dann kann sie umso mehr damit machen, je mehr Berechtigungen wir ihr geben. Ja. Und hast du schon erwähnt, dass du die Zwei-Faktor-Authentifizierung zu hundert Prozent nutzt? Willst du einen Passkey oder andere Methoden zum Schutz der Systeme verwenden? Ja. Wir hatten also eine ziemlich große Systemlandschaft, wenn ich von den letzten Jahren spreche. Wir verdichten es jetzt, was der Grund dafür war, dass wir in den letzten Monaten alles mit Mews gemacht haben. Aber ich glaube, wir hatten irgendwann fünfundsiebzig verschiedene Systeme oder Anwendungen in allen Abteilungen im Einsatz und der Versuch, Zwei-Faktor-Authentifizierung (2FA), SSO und all diese Dinge für alle zu aktivieren, war eine Menge Arbeit. Ja. Eine Sache, an der wir gerade arbeiten, ist ein Manager für Passkeys. Wir haben viele zentrale Benutzer, die ihn nutzen, aber wir wollen den Passwort Manager jetzt für alle Benutzer einführen. Das ist alles gut. Das bedeutet, dass du die Qualifikationen nur dann automatisch ausfüllen lassen kannst, wenn du auf der richtigen Website bist. Wenn du also aus Versehen Mews login googelst und auf Mews mit zwei s dot com gehst, wird dein Passwort nicht automatisch ausgefüllt und du wirst innehalten und denken: Hey, hier stimmt etwas nicht. Ja. Das ist also bereits in Arbeit und wir werden es auf jeden Fall einführen. Ja. Das Szenario, das du gerade beschrieben hast, erleben wir jeden Tag. Es gibt also diese Phishing-Farmen in Ländern, die weit im Osten liegen und nur darauf abzielen, Firmen anzugreifen. Und sie erstellen eine gefälschte Website, die nur einen Rechtschreibfehler in der URL hat. Und dann arbeiten sie mit Google zusammen, um ihre AdWords-Anzeige so zu schalten, dass sie hundertprozentig echt aussieht, wenn du sie anklickst. Und erst, wenn du darauf geklickt hast und auf die Website gehst, ist die URL etwas falsch. Aber die Anmeldeseite sieht genauso aus wie Mews. Ja. Und zum Glück, denn wenn du einen Passwort Manager hast, erkennt er die Website nicht und gibt dir daher das Passwort nicht. Aber viele Hotels haben diese Dinge nicht. Sie haben ihr Passwort auswendig gelernt und verwenden in allen Systemen das gleiche Passwort. In dem Moment, in dem sie dein Passwort erbeutet haben, können sie sich nun auch in alle anderen Systeme einloggen. Die Zwei-Faktor-Authentifizierung, Single Sign-On oder Passkey sind wunderbare Lösungen, die Hotels schützen. Aber es war ein Kampf. Als wir die Zwei-Faktor-Authentifizierung eingeführt haben, kannst du dir den Hass der Hoteliers vorstellen, die gesagt haben: "Ihr macht uns das Leben zur Hölle. Ich habe gesagt: "Nein. Zum Beispiel schützen wir die Daten deiner Gäste. Aber wir Hoteliers wollen uns einfach so schnell wie möglich in die Systeme einloggen. Ja, natürlich. Ich meine, ich sehe es sogar jetzt noch. Wie ich schon sagte, war ich in den letzten neun, zehn Wochen in der Unterkunft unterwegs, um Nachrichten zu verbreiten, und man sieht immer noch Leute, die Passwörter auf Post-it-Zettel schreiben. Und du fragst dich: "Was machst du da? Ja. Es ist unglaublich. Aber nein, ich denke, auch mit dem Mews Zugangsschlüssel versuchen wir, ihnen einige Informationen mitzugeben. Wenn du aber den Mews Zugangsschlüssel verwendest, ist die Anmeldung mit einem Klick erledigt. Du musst nicht mehr warten und deinen Code in deiner Authenticator-App suchen, aber es ist auch eine zusätzliche Schutzschicht. Kapitel Zugangsschlüssel Ich habe nie wirklich verstanden, was ein Zugangsschlüssel ist, bis ich angefangen habe, ihn zu benutzen, und er ist im Grunde ein biometrischer Login. Mit deinem Passwort Manager richtest du also eine biometrische Anmeldung ein. Jedes Mal, wenn du dich auf deinem Computer in das Protokoll einträgst, meldest du dich mit deinem Gesichtsscan oder deinem Fingerabdruck an, und das können sie nicht kopieren. Das ist unmöglich zu kopieren. Es ist also der sicherste Weg, um sich in alles einzuloggen. Und wir alle haben einen Passkey. Ich kenne niemanden, der kein Smartphone hat, auf dem diese Dinge installiert sind. Und es ist wirklich unglaublich. Und erst letzte Woche habe ich gesehen, dass WhatsApp jetzt sogar einen Zugangsschlüssel eingerichtet hat, und ich dachte mir, oh, die haben unsere Blogs beobachtet. Es ist wirklich schön, dass sie endlich begreifen, dass dies die Zukunft ist. Aber ich würde sagen, wenn du etwas tust, dann ist es, den Zugangsschlüssel zu erzwingen und sicherzustellen, dass die biometrische Anmeldung die einzige Möglichkeit ist. Ich hatte dieses Wochenende einen Erfolg, denn ich habe mit meiner Mutter und meinem Vater zu Mittag gegessen und ich habe meine Mutter endlich dazu gebracht, Apple Pay zu benutzen. Oh, wow. Und ich, weil ich dachte: "Das ist biometrisch. Jedes Mal, wenn du bezahlst, weiß das Gerät aufgrund deiner Gesichtserkennung, dass du es bist. Aber dagegen kämpfe ich schon seit ein paar Jahren. Das ist also mein großer Sieg diese Woche. Ja. Ich habe immer noch diesen Kampf, wenn ich oft nach Deutschland fahre. In Großbritannien gilt es sogar als verrückt, eine Wallet zu tragen. Ja. Als ob es nur Apple Pay oder Android oder Google Pay überall gäbe. Ja. Als ich das erste Mal nach Deutschland kam, stieg ich in ein Taxi und der Typ sagte: "Nur Bargeld oder PayPal, wenn du es wirklich nötig hast. Und ich war wie PayPal. Was ist hier los? Ich war in einem Laden und sie sagten: "Ja, das geht nur mit Bargeld oder du brauchst eine physische Karte. Wir nehmen Apple Pay nicht an. Ich dachte: "Das ist verrückt. So erzählt uns Penta Hotels jetzt vollständig in der Cloud mit Sicherheitseinstellungen aktiviert. Was kommt als Nächstes? Was ist das, was dich aus Sicht der Sicherheit am meisten aufregt? Kapitel Sicherheit in gemeinsam genutzten Umgebungen Ich denke, von hier aus geht es eher in die Höhe. Wie gesagt, so etwas Einfaches wie mit den Pass-Schlüsseln, das geht schon. Zum Beispiel, wenn jemand ein persönliches Gerät hat, richtig? Weil du eine Kamera an deinem Laptop hast oder einen Fingerabdruckscanner an deinem Laptop. Aber viele Hotels werden sich wahrscheinlich fragen: Was ist mit den Computern an der Rezeption, bei denen sich alle ein Login teilen? Es gibt keinen, wie auch immer, es gibt keinen Laptop. Es ist ein richtiger Computer. Ich denke, sie müssen denken, dass es eigentlich ganz einfach ist. Du kannst z.B. die Windows Hello Kameras kaufen, die du einfach auf deinen Computer klebst, einsteckst und schon hat jeder eine Gesichtserkennung. Ja, jeder Benutzer müsste ein eigenes Konto bei Microsoft haben, aber dafür kann man weder Geld noch Kosten in die Hand nehmen, wie z.B. für den Schutz der Cybersicherheit. Ich glaube, das ist das Wichtigste, was wir verstanden haben. Ja. Und wie, magst du, wer in der Firma dir das Recht gegeben hat, die Sicherheitseinstellungen so weit zu verschieben? Wer ist die Person, die es dir ermöglicht, die Führung in diesen Gesprächen zu übernehmen? Unser Leiter der Digitalabteilung ist ein großer Befürworter der Cybersicherheit. Und wir haben die Gespräche mit unserem Team Leadership geführt. Ich denke also, du weißt schon, Victoria, richtig? Ja. Und dann brauchst du nicht einmal eine Erklärung abzugeben. Du denkst dir: Hey, nein, das ist aus Sicherheitsgründen absolut notwendig. Und wir können nicht sagen: "Hey, das ist zu teuer. Ja. Ja. Man kann wirklich weit gehen und sagen, dass wir so viele Maßnahmen eingeführt haben, dass es verrückt ist. Aber selbst bei der Basisschicht kannst du nicht einfach dasitzen und denken, dass es zu teuer für uns ist, es zu tun. Über Single Sign-On haben wir schon oft gesprochen, denn Single Sign-On ist eine ganze Infrastruktur, die du einrichtest, um alle Logins deiner Mitarbeiter in allen Systemen zu verwalten. Aber sobald der Mitarbeiter geht, löschst du die Person einfach aus dem Single Sign-On, und sie wird aus allen Systemen entfernt. Aber es ist sehr teuer. Und für einige kleinere Hotelgruppen ist das vielleicht nicht die beste Lösung. Deshalb haben wir Passkey eingeführt, weil wir dachten, dass zumindest das Protokoll im System sicher ist, aber Single Sign-On ist bei weitem das Beste, was wir tun können. Aber bevor du damit anfängst, solltest du über deine Budgets sprechen, denn es ist nicht billig. Ja. Nein. Das stimmt. Kapitel Single Sign-On in Hotels Und wie gesagt, solange es mehrere Optionen gibt. Ja. SSO ist, wie du schon sagtest, großartig, weil du es nur einmal entfernen musst und es dann in allen Systemen, in denen du es aktiviert hast, entfernt wird. Ja. Und in unserer Branche gibt es viel Fluktuation. Die Leute gehen. Das ist eine Sache, die jeden Tag passiert. Weißt du, die Leute vergessen immer, Leute von Bord zu nehmen. Du kannst sie z.B. dort entfernen, wo sie dich am meisten Geld kosten, wie bei Active Directory oder Azure, wo du die Lizenzgebühr bezahlst. Aber wenn du diesen Benutzer in fünfzehn anderen Systemen hast, wird irgendwo jemand vergessen, ihn zu entfernen. Das ist jedes Mal ein zusätzliches Risiko, und es baut sich immer weiter auf. Und vor allem in der heutigen Zeit kann man sich nicht mehr so exponieren. Nein. Josh, ich habe das Gespräch wirklich genossen. Ich kann mir den Stress vorstellen, den der Angriff mit 21 Jahren bei euch ausgelöst hat, aber ich finde es toll, wie ihr das als einen Moment der Veränderung genutzt habt und euch auf die Veränderung eingelassen habt. Du hast die Cloud für dich entdeckt. Du hast die Sicherheitseinstellungen übernommen. Ich denke, du hast ein großartiges Beispiel für unsere Branche genannt, die ständig von Cyber-Kriminellen angegriffen wird. Danke, dass du so offen darüber sprichst. Ich denke, wenn Leute wie du darüber sprechen, wird das hoffentlich einigen Leuten die Augen öffnen und sie denken, dass heute vielleicht der Tag ist, an dem ich diese Dinge ändern werde. Danke, dass du das mit uns geteilt hast. Nein. Es war mir ein Vergnügen. Das ist auf jeden Fall etwas, das wir bekannt machen müssen. Schön. Vielen Dank! Vielen Dank!