FachBlog

Datenparadies oder Sicherheitslücke? Worauf man bei der Nutzung einer Cloud-Software im Spa achten sollte

Spätestens seit dem Apple-Skandal, wo die iClouds von Prominenten gehackt und deren Nacktfotos ins Netz gestellt wurden, hat sich vermutlich schon jeder Spa Manager diese Frage gestellt: Wie sicher sind meine Daten – und die meiner Gäste – im Netz? Welche Risiken Cloud-Computing birgt und warum Web-Applikationen im Spa trotzdem eine gute Idee sind.

In der Hospitality-Industrie wird tagtäglich mit vertraulichen Personendaten gearbeitet. Von Namen, Wohnort und Geburtstag bis hin zu den Bankdaten: Die Gäste verlassen sich darauf, dass ihre Daten sicher verwaltet werden – und wir verbürgen uns dafür.

Wer garantiert uns aber, dass kein unbefugter Dritter Zugriff auf den internen Datenpool hat? Wenn ich dieselbe Cloud-Software wie mein Konkurrent nutze, kommt der dann an meine Umsatzberichte? Ist es nicht zuverlässiger, alle Daten auf dem hauseigenen Server zu sammeln?

Das Speicher-Mysterium

Die Cloud. Wir stellen sie uns zunächst vielleicht als eine watteweiche Wolke vor, in der unsere Daten schweben. Wir legen sie ab, manchmal nur als Sicherheits-Backup, manchmal auch als alleiniges Speichermedium. Niemand weiß so recht, wo diese Daten dann eigentlich liegen. Geschweige denn, wer außer uns darauf Zugriff hat. Ist es dann nicht wahnsinnig unsicher, sich bei der Spa Software für eine Cloud-Lösung zu entscheiden?

Tatsächlich ist die Cloud eine große Datenbank auf einem externen Server, die vollkommen ortsunabhängig über den Internetbrowser zugänglich ist. Sie besteht aus vielen „Daten-Containern“, in denen die einzelnen Datenbanken der Kunden abgelegt sind. Jeder Kunde erhält dabei nur Zugriff auf seinen eigenen Wissenspool. Damit das auch so bleibt, treffen die Anbieter etliche Sicherheitsvorkehrungen, die weit über den obligatorischen Kennwortschutz hinausgehen.

Sicherheit gewinnen

Was macht eine zuverlässige Spa Software in der Cloud aus? Es ist immer ein gutes Zeichen, wenn der Anbieter den Server nach den aktuellen internationalen Sicherheitsstandards konfiguriert. Die sind nicht verpflichtend, aber in der IT-Branche anerkannt und empfohlen. Es gibt eine ganze Reihe von Richtlinien (zB OWASP) und Zertifizierungen (zB PCI-DSS), die erhöhte Sicherheit im World Wide Web gewährleisten sollen.

Dazu gehören der Einsatz einer Web Application Firewall, die Verschlüsselung der Daten (nicht nur bei Kreditkartentransaktionen) und die Überwachung des gesamten Datencenters. Es werden regelmäßig so genannte Penetrationstests, also gezielte Hackerangriffe auf das eigene System, durchgeführt. Auf diese Weise werden eventuelle Sicherheitslücken aufgedeckt.

Im Benutzerstammsatz festgelegte Userberechtigungen stellen sicher, dass auch im eigenen Unternehmen nur jene Personen an vertrauliche Daten gelangen, die dazu befugt sind. Das interne Löschen von Daten ist mit Vorsicht zu genießen: Greifen beispielsweise mehrere Betriebe auf eine gemeinsame Gästekartei zu, geht die entfernte Information für alle Mitarbeiter verloren. Meistens kann der Softwareanbieter jedoch nachträglich prüfen, ob und von wem personenbezogene Daten eingegeben, verändert oder entfernt worden sind.

Es ist außerdem empfehlenswert, mit dem Softwareanbieter eine Zusatzvereinbarung über die Erhebung, Verarbeitung und Nutzung personenbezogener Daten zu treffen, in der er sich verpflichtet, die Grundsätze ordnungsgemäßer Datenverarbeitung zu wahren. Umso besser noch, wenn sie europäischer Rechtsprechung und Compliance-Regeln unterliegen.

Praxisbeispiel „Best of both worlds“

Nach dem Motto „Best of both worlds“ bieten wir bei TAC | The Assistant Company beide Varianten an: Unsere Softwareprodukte werden sowohl über lokal installierte Server beim Kunden als auch über einen globalen Cloud-Server genutzt. Aus Anbietersicht empfiehlt sich langfristig eine Cloud-Lösung, weil die aufwändige Anschaffung von Hardware und die spätere Vor-Ort-Wartung entfallen. Die regelmäßige Durchführung von Backups und Sicherheitsupdates wird komplett von TAC übernommen.

Für unsere Kunden bedeutet das eine Erleichterung in der Handhabung sowie bei den Kosten. Die Cloud unterscheidet sich vom lokalen Server auch durch das Bezahlmodell: Statt eines einmaligen Geldbetrags zu Beginn der Leistungserbringung (Installation von Server und lizenzierter Software im Spa) hat sich die Nutzung auf „Monatsmiete“ etabliert. Ein klarer Vorteil für Wellnessbetriebe, die sich vor größeren Investitionen scheuen. Wichtigste Voraussetzung für die zufriedenstellende Nutzung der Cloud-Variante ist eine stabile Internetverbindung zwischen Server und Spa.

Es gibt kein Eldorado für den Datenschutz

Fakt ist: Weder in der Cloud noch am lokalen Server sind unsere Daten zu 100 % vor Hackerangriffen gefeit. Wer aber die nötigen Sicherheitsvorkehrungen trifft und den richtigen Technologiepartner an seiner Seite hat, kann in der Regel unbesorgt sein.

Eines ist klar: Unser Alltag wird unweigerlich ins Internet verlagert, seien es nun Urlaubsfotos aus Italien oder Gastdaten im Spa. Ganz gleich also, ob wir diesem Trend begeistert folgen oder ob wir uns bewusst aus der „großen Wolke des Teilens“ zurückziehen: Cloud Computing ist da, und es ist gekommen um zu bleiben.