Schlüsselrunde für Hotelkonten
TL;DR
- Im European Accommodation Barometer 2026 fühlen sich 66 Prozent der europäischen Unterkünfte bei Cybersecurity ausreichend vorbereitet, bei Betrieben mit weniger als zehn Mitarbeitenden sind es 60 Prozent.
- Das größte Alltagsrisiko liegt oft nicht im Serverraum, sondern in geteilten Logins, alten Adminrechten und offenen Dienstleisterzugängen.
- PMS, Channel Manager, Payment, Türsystem, WLAN, Buchhaltung und Website brauchen Rollen nach Aufgabe statt Zugang nach Gewohnheit.
- Backup, Notfallkontakte und Offline-Abläufe helfen nur, wenn jemand sie vor dem Ernstfall einmal praktisch geprüft hat.
An der Rezeption sieht IT selten nach Risiko aus. Ein Gast nennt seinen Namen. Das PMS zeigt die Buchung. Die Schlüsselkarte wird codiert. Das Terminal wartet auf Zahlung. Im Hintergrund laufen Channel Manager, Gäste-WLAN, Türsystem, Buchhaltung, Website, Newsletter und Social Media.
Das ist der digitale Schlüsselbund eines Hotels. Nur hängt er nicht sichtbar am Brett im Büro. Er steckt in Konten, Passwörtern, Rollen und Fernwartung. Einen echten Generalschlüssel würde man am letzten Arbeitstag einsammeln. Digitale Schlüssel bleiben leichter liegen.
Kleine Häuser, viele Systeme
Der European Accommodation Barometer 2026 basiert auf 1.240 Telefoninterviews mit Unterkunfts-Führungskräften in Europa zwischen Februar und März 2026. Beim Thema Cybersecurity fühlen sich 66 Prozent der europäischen Unterkünfte ausreichend vorbereitet.
Bei großen Häusern sieht das besser aus. Betriebe mit 250 oder mehr Mitarbeitenden kommen auf 94 Prozent. Bei Unterkünften mit weniger als zehn Mitarbeitenden sind es 60 Prozent.
Das ist keine Panikzahl. Es beschreibt den Alltag vieler unabhängiger Häuser gut. Es gibt keine große IT-Abteilung, aber trotzdem PMS, Kasse, Payment, Router, Türkarten, Website, OTA-Extranets und Cloudspeicher.
Viele Basismaßnahmen sind schon da. Im Barometer nennen 86 Prozent regelmäßige Software-Updates, 85 Prozent Netzwerksicherheitstools wie Firewalls und 80 Prozent sichere Payment-Verarbeitung. Bei Multi-Faktor-Authentifizierung, Schulungen und regelmäßigen IT-Audits liegt die Nutzung nur etwa bei sechs von zehn Unterkünften. Deutschland steht im Länderprofil bei 55 Prozent Cybersecurity-Vorbereitung, Österreich bei 65 Prozent.
Die bessere Frage lautet deshalb nicht: Wer greift uns an? Sondern: Wer kommt heute überall hinein?
Rechte passen zur Aufgabe
Ein Nachtportier muss Anreisen finden, Zimmer zuweisen und vielleicht eine Zahlung anstoßen. Er braucht dafür nicht automatisch Adminrechte für Raten, Nutzerkonten oder Exporte. Eine Aushilfe braucht Reservierungen und Zimmerstatus, aber keine Buchhaltung. Eine Marketingagentur braucht Website- oder Social-Media-Zugang, aber keinen PMS-Login.
Der Rundgang beginnt bei den wichtigsten Systemen. Im PMS geht es um Reservierungen, Stornos, Raten, Datenexporte und Nutzeranlage. Im Channel Manager um Preise, Verfügbarkeit, Kontingente und Stornoregeln. Im Payment-System um Refunds, Pre-Auth, Zahlungslinks, Terminals und Tagesabschluss. Das Türsystem verwaltet Karten oder mobile Schlüssel. Die Website trägt Buchungslink, Gutscheine, Impressum und Tracking.
Gemeinsame Logins fühlen sich am Anfang bequem an. Später fehlen Namen und Spuren. Nach einer Preisänderung weiß niemand, wer sie gesetzt hat. Nach einem Personalwechsel muss ein Passwort für alle geändert werden. Nach dem Ende einer Zusammenarbeit bleibt vielleicht ein Zugang offen, weil er nie in einer Liste stand.
Eine gute Kontrollfrage ist kurz: Welche drei Konten könnten heute den größten Schaden anrichten?
Meist landen dort PMS, Payment, Channel Manager, Website, Buchhaltung oder Türsystem. Genau diese Konten brauchen eigene Namen, passende Rollen, Multi-Faktor-Authentifizierung, wo möglich, und eine klare Zuständigkeit.
Dienstleister brauchen eine Tür mit Namen
Externe Zugänge sind im Hotel normal. PMS-Support, Payment-Provider, IT-Dienstleister, Website-Agentur, Channel-Manager-Support, WLAN-Installateur, Türsystemanbieter oder Steuerberatung müssen manchmal schnell helfen.
Fernwartung ist praktisch. Sie sollte aber nicht wie ein Seiteneingang offenstehen, an den sich später niemand mehr erinnert.
Für den Betrieb heißt das: Dienstleister bekommen eigene Nutzer statt geteilter Hotel-Admins. Sie erhalten nur die Rechte, die sie wirklich brauchen. Der Zeitraum wird notiert. Nach Projektende, Anbieterwechsel oder Vertragsende wird der Zugang gesperrt.
Besonders lange überleben alte Website-Admins, Newsletter-Konten, frühere Social-Media-Zugänge und Fernwartungssoftware auf einzelnen Rechnern. Sie liegen nicht sichtbar auf dem Tresen. Trotzdem berühren sie Buchung, Kommunikation und Vertrauen.
Gäste-WLAN bleibt draußen
WLAN ist heute fast so selbstverständlich wie warmes Wasser. Nur darf das Gastnetz nicht dieselbe technische Tür benutzen wie PMS, Kasse und Backoffice.
Der erste Schritt ist keine tiefe Netzwerkvorlesung. Gäste-WLAN getrennt führen. Rezeptions-PC und Backoffice nicht ins Gastnetz hängen. Router-Adminpasswort ändern. Alte Access Points nicht ewig mitlaufen lassen. Team-Tablets und private Geräte nicht blind ins Betriebsnetz lassen.
Eine Kontrollfrage reicht für den nächsten IT-Termin: Kann ein Gastgerät theoretisch dieselbe Tür sehen wie PMS oder Kasse?
Wenn die Antwort unklar ist, gehört das auf die Liste. Am besten vor dem Wochenende mit voller Terrasse, später Messegruppe und zehn Anreisen nach 22 Uhr.
Backup muss einmal zurückkommen
Ein Backup ist kein Haken in einer Tabelle. Es ist ein Versprechen an den Betrieb: Kann die Rezeption morgen früh arbeiten, wenn heute Nacht etwas schiefgeht?
Der Test darf klein sein. Eine Testreservierung wiederherstellen. Einen Rechnungs- oder Gästedatenexport öffnen. Eine Website-Sicherung in einer sicheren Umgebung prüfen. Klären, wer die Zugangsdaten zum Backup hat und wie sie geschützt sind.
Dazu gehört ein Notfallzettel für Direktion und Rezeption. Darauf stehen IT-Dienstleister, PMS-Support, Payment-Support, Türsystem, Hosting, Datenschutzkontakt und klare Zuständigkeiten. Wer trennt ein System vom Netz? Wer informiert die Direktion? Wer spricht mit Gästen?
Auch der Offline-Ablauf braucht Regeln. Anreisen auf Papierliste. Ersatzweg für Zimmerkarten. Zahlungsregel bei Terminalausfall. Keine Kreditkartennummern auf lose Zettel. Bei meldepflichtigen Datenschutzverletzungen nennt Art. 33 DSGVO eine Meldung unverzüglich und möglichst binnen 72 Stunden nach Bekanntwerden. Das gehört zum Datenschutzkontakt, nicht zur Improvisation im Check-in-Stau.
Einmal im Monat reicht als Anfang
Hotels prüfen Rauchmelder, Feuerlöscher, Kassenschluss und echte Schlüssel. Der digitale Schlüsselbund passt in dieselbe ruhige Routine.
Einmal im Monat die wichtigsten Systeme öffnen. Ausgeschiedene Mitarbeitende entfernen. Rollen für Rezeption, Reservierung, Buchhaltung, Direktion und Housekeeping-Leitung prüfen. Dienstleisterzugänge kontrollieren. Multi-Faktor-Authentifizierung bei Admins und externen Zugängen nachziehen. Eine kleine Backup-Stichprobe machen. Den Notfallzettel aktualisieren.
So wird Cybersecurity nicht kleiner geredet. Sie wird brauchbar. Nicht als Fremdwort im Technikschrank, sondern dort, wo Hotels ohnehin gut arbeiten: bei Türen, Schichten, Namen und Zuständigkeiten.