Analyse Cyberbeveiliging Gastvrijheid

De cyberveiligheidsrisico's die hotels moeten aanpakken, en die ze meestal niet doen

Een middelgroot hotel verzamelt voor elke gast een naam, thuisadres, paspoortnummer, betaalkaart, e-mailadres, reispatronen, dieetvoorkeuren en soms familiegegevens. Door deze combinatie is de horeca een van de meest datarijke doelwitten buiten de financiële dienstverlening, en de historisch lage investeringen in IT-beveiliging in de sector maken dit een gemakkelijke opgave.

CT
Cyvra-team
Cyvra-advies
10 mei 2026
6 minuten lezen
Belangrijkste afhaalrestaurants
  • Door de inbreuk op Marriott zijn 383 miljoen gastrecords blootgelegd. Gastvrijheid is een primair doelwit voor staatsactoren en de georganiseerde misdaad
  • Hotels voeren tegelijkertijd vier hoogwaardige aanvalsoppervlakken uit: PMS, kassasystemen, gasten-WiFi en OTA-boekingsplatforms
  • GDPR vereist dat u uw toezichthoudende autoriteit binnen 72 uur na ontdekking van een inbreuk op persoonlijke gegevens op de hoogte stelt
  • Het opslaan van paspoortscans buiten het inchecken is vrijwel zeker onwettig op grond van artikel 5 van GDPR
  • Ransomware is de dominante bedreiging. De aanval van MGM in 2023 verstoorde de activiteiten in meer dan 30 eigendommen en kostte meer dan $ 100 miljoen

Waarom gastvrijheid een hardnekkig doelwit is

De inbreuk op Marriott Starwood, die in 2018 werd onthuld, heeft in vier jaar tijd maar liefst 383 miljoen gastenrecords blootgelegd. Een tweede inbreuk op Marriott in 2020 trof 5,2 miljoen gasten. MGM Resorts kreeg in 2023 te maken met een ransomware-aanval waarbij reserveringssystemen, hotelsleutelkaarten, speelautomaten en geldautomaten in meerdere panden werden uitgeschakeld, met gerapporteerde verliezen van honderden miljoenen. Dit zijn de incidenten die het nieuws haalden. Tientallen kleinere hotelgroepen worden elk jaar geconfronteerd met inbreuken die helemaal geen dekking krijgen.

Het patroon bij deze incidenten is consistent: aanvallers richten zich op gastvrijheid omdat de beloning hoog is (betaalkaartgegevens gecombineerd met persoonlijke identificatiegegevens), de verdediging vaak zwak is (gefragmenteerde IT-infrastructuur, oudere systemen en een hoog personeelsverloop waardoor beveiligingstraining moeilijk te onderhouden is) en de operationele druk om online te blijven is extreem. Een ziekenhuis kan tijdens een incident een systeem offline halen; een hotel met 500 gasten die inchecken, kan dat niet.

383M
gastrecords die aan het licht kwamen tijdens de inbreuk op Marriott Starwood, verzameld over een periode van vier jaar, onopgemerkt
Bovenste 5
De horeca behoort wereldwijd consequent tot de sectoren die het meest doelwit zijn van datalekken
72u
GDPR deadline om uw toezichthoudende autoriteit op de hoogte te stellen na het ontdekken van een inbreuk op persoonlijke gegevens

De vier aanvalsoppervlakken die er het meest toe doen

Hotel-IT-omgevingen zijn ongebruikelijk complex vanwege hun omvang. Eén accommodatie beschikt doorgaans over een vastgoedbeheersysteem, een verkooppuntsysteem, een boekingsengine, een kanaalmanager, een restaurantreserveringsplatform, WiFi voor gasten, toegangscontrole voor kamersleutels en backoffice financiële en HR-systemen. Elk van deze is een potentieel toegangspunt, en in de meeste hotels zijn ze onvoldoende van elkaar gesegmenteerd.

Vastgoedbeheersystemen

Het PMS vormt de kern van de hotelactiviteiten. Het bevat gastprofielen, reserveringsgeschiedenis, betaalkaarttokens, kamertoewijzingen en in- en uitcheckgegevens. PMS-platforms als Opera en MICROS worden breed ingezet, vaak in versies die jaren achterlopen op het gebied van beveiligingspatches. Aanvallers die het PMS compromitteren, hebben toegang tot de volledige gastendatabase. Bij verschillende gedocumenteerde incidenten hielden aanvallers meer dan een jaar toegang tot de PMS-omgevingen van hotels voordat ze werden ontdekt.

Toegangscontroles op PMS-systemen zijn vaak ontoereikend. Gedeelde beheerdersreferenties, geen meervoudige authenticatie en brede gebruikersrechten binnen het receptieteam zijn gebruikelijk. Receptiepersoneel heeft zelden toegang nodig tot historische betalingsgegevens van gasten.

Point of Sale-systemen

POS-malwareaanvallen op hotel-restaurants, bars en spa's zijn gericht op merken als Hilton, Hyatt en Mandarin Oriental. De aanvalsmethode is consistent: malware die op de betaalautomaat is geïnstalleerd, legt kaartgegevens vast op het moment dat er wordt geveegd of ingestoken, voordat deze de betalingsverwerker bereikt. Deze aanvallen blijven maanden aanhouden omdat het kassasysteem de hele tijd normaal lijkt te functioneren.

POS-systemen die zich niet op een geïsoleerd netwerksegment bevinden, creëren een breder probleem. Een aanvaller die een barterminal binnendringt, kan deze gebruiken als scharnierpunt in het bredere hotelnetwerk. Netwerksegmentatie tussen POS, PMS en gasten-WiFi is de meest impactvolle technische controle die hotels kunnen implementeren.

WiFi voor gasten

Gast-WiFi is niet alleen een risico voor de gasten. In de meeste hotels zijn het gastennetwerk en het bedrijfsnetwerk niet voldoende gescheiden. Een gast die een aanval uitvoert vanaf de wifi van het hotel, of een aanvaller die het apparaat van een gast compromitteert en als spil gebruikt, kan soms de interne hotelsystemen rechtstreeks bereiken. Dit is geen theoretisch risico: op gastvrijheid gerichte dreigingsgroepen richten zich specifiek op eigendommen waar de netwerksegmentatie zwak is.

De oplossing is niet ingewikkeld, maar vereist weloverwogen architectuur. WiFi voor gasten moet volledig geïsoleerd zijn, zonder route naar interne systemen. Omdat een gast vanuit zijn kamer toegang heeft tot internet, is er geen verbinding met het interne netwerk van het hotel nodig.

Boekingsplatforms en OTA-integraties

Hotels ontvangen boekingen doorgaans via meerdere kanalen: hun eigen website, Booking.com, Expedia en andere online reisbureaus. Elk van deze integraties is een API-verbinding die gastgegevens verwerkt. Het compromitteren van de boekings-API van een hotel is gebruikt om op grote schaal reserveringsgegevens te verzamelen, waaronder namen, e-mailadressen, telefoonnummers en in sommige gevallen gedeeltelijke betaalkaartgegevens.

Phishing-aanvallen gericht op receptiepersoneel doen zich vaak voor als Booking.com of andere OTA's. Medewerkers ontvangen een bericht dat van het platform lijkt te komen en waarin wordt gevraagd in te loggen om een ​​gastklacht te behandelen. De diefstal van inloggegevens die volgt, geeft aanvallers directe toegang tot het OTA-beheeraccount van het hotel, en soms tot het boekingssysteem zelf.

GDPR-verplichtingen die hotels vaak over het hoofd zien

Een hotel dat actief is in de EU is onder GDPR een gegevensbeheerder voor elk stukje gastgegevens dat het verzamelt. Dat omvat gegevens die namens u worden verzameld door boekingssystemen van derden: u blijft de verwerkingsverantwoordelijke en de derde partij is uw gegevensverwerker. U hebt gegevensverwerkingsovereenkomsten nodig met elk platform dat gastgegevens verwerkt: uw PMS-leverancier, uw kanaalmanager, uw restaurantboekingssysteem en elke OTA waarmee u werkt.

Retentie is het gebied waar de meeste hotels het slechtst mee omgaan. Gastgegevens, inclusief betaalkaarttokens, worden routinematig voor onbepaalde tijd bewaard. GDPR vereist dat persoonlijke gegevens slechts zo lang worden bewaard als nodig is voor het doel waarvoor ze zijn verzameld. Voor de meeste transactionele gastgegevens is een gedefinieerde bewaartermijn met automatische verwijdering vereist. Voor loyaliteitsprogrammagegevens gelden verschillende regels, maar zelfs dat is niet onbepaald.

Belangrijk

Als bij een inbreuk persoonlijke gegevens van gasten openbaar worden gemaakt, heeft u 72 uur de tijd om uw toezichthoudende autoriteit (de AP in Nederland, de ICO in het Verenigd Koninkrijk) hiervan op de hoogte te stellen. Die klok loopt vanaf het moment dat u zich bewust wordt van de inbreuk, niet wanneer u klaar bent met het onderzoeken ervan. Hotels zonder een incidentresponsplan dat een wettelijke kennisgevingsstap omvat, zullen deze deadline missen. Boetes voor te late melding staan ​​los van en zijn een aanvulling op de boetes voor het onderliggende beveiligingsfalen.

Paspoort- en ID-scans scheppen een specifieke verplichting. Veel hotels fotograferen of kopiëren paspoorten bij het inchecken. Een gescand paspoort is een zeer gevoelig document onder GDPR. Als u ze verzamelt, heeft u een wettelijke basis, een vastgestelde bewaartermijn en veilige opslag nodig. Het bewaren van paspoortscans in een gedeelde map op de computer bij de receptie, wat gebruikelijk is, voldoet aan geen van deze vereisten.

Hoe een geloofwaardige beveiligingsbasislijn eruit ziet voor hotels

De volgende controles zijn haalbaar voor elke hotelgroep, ongeacht de grootte. Geen enkele vereist infrastructuur op bedrijfsniveau. Ze gaan allemaal in op de daadwerkelijke aanvalspatronen die te zien zijn bij inbreuken op de horeca.

1
Segmenteer uw netwerken
WiFi voor gasten, kassasystemen, PMS en backoffice-IT moeten zich op afzonderlijke VLAN's bevinden, waarbij firewallregels zijdelingse beweging daartussen voorkomen. Dit is de enige controle met de hoogste impact om de reikwijdte van de inbreuk te verkleinen.
2
Schakel MFA in op elk extern gericht systeem
PMS-beheerderstoegang, e-mailaccounts, logins op het boekingsplatform en elk systeem dat toegankelijk is buiten het hotelnetwerk moet multi-factor authenticatie vereisen. Diefstal van inloggegevens bij de receptie is de meest voorkomende toegangsmethode bij inbreuken op hotels.
3
Patch PMS- en POS-systemen volgens een gedefinieerd schema
Veel hotels gebruiken PMS-versies die jaren achterlopen op de patches van leveranciers, vaak omdat de leverancier betaalde upgradecycli nodig heeft. Documenteer uw patchstatus en werk samen met uw leverancier om hiaten te dichten. Oudere systemen moeten worden geïsoleerd als ze niet kunnen worden gepatcht.
4
Voer driemaandelijkse phishing-simulaties uit voor receptiepersoneel
Receptieteams zijn het belangrijkste doelwit van OTA-imitatieaanvallen. Regelmatige simulaties, met onmiddellijke training voor het personeel dat klikt, verminderen de gevoeligheid in de loop van de tijd. Een jaarlijkse security awareness training alleen is niet voldoende voor een team met een hoog personeelsverloop.
5
Definieer en handhaaf de bewaartermijnen voor gastgegevens
Stel een specifieke bewaartermijn in voor transactionele gastgegevens (doorgaans 12 tot 36 maanden na het verblijf) en implementeer automatische verwijdering. Paspoort- en ID-scans moeten binnen enkele dagen na het uitchecken worden verwijderd, tenzij een specifieke wettelijke basis een langere bewaring vereist.
6
Schrijf een incidentresponsplan waarin rekening wordt gehouden met de hotelactiviteiten
Een hotelincidentenresponsplan moet regelen wat er gebeurt als het PMS tijdens het inchecken uitvalt, hoe u gasten op de hoogte brengt van wie de gegevens zijn aangetast en wie binnen 72 uur contact opneemt met de toezichthoudende autoriteit. Generieke IT-incidentplannen dekken deze scenario's niet.

Hotels die deze zes controles hebben geïmplementeerd, kunnen bij toezichthouders en verzekeraars een geloofwaardige beveiligingsbasis aantonen wanneer zich een incident voordoet. In de horeca komen regelmatig inbreuken voor. Het verschil is hoe snel u ze onder controle houdt en wat u kunt documenteren.

PCI DSS-vereisten voor de beveiliging van betaalkaarten worden onderhouden door de PCI Security Standards Raad. ENISA's jaarlijkse dreigingslandschapsrapporten over sectorspecifieke aanvalspatronen zijn beschikbaar op enisa.europa.eu.

Veelgestelde vragen

Waarom zijn hotels een belangrijk doelwit voor cybercriminelen?

Hotels verzamelen verschillende hoogwaardige gegevenstypen op één locatie: betaalkaartgegevens, paspoort- en identiteitsdocumenten, inloggegevens van het loyaliteitsprogramma, reisroutes en bedrijfsaccountinformatie. Deze concentratie van gevoelige gegevens, gecombineerd met complexe IT-omgevingen die vastgoedbeheersystemen, verkoopterminals, WiFi voor gasten en boekingsplatforms van derden omvatten, creëert een groot aanvalsoppervlak. De horecasector heeft doorgaans ook lagere investeringen in cyberbeveiliging dan de financiële dienstverlening, waardoor het een aantrekkelijk doelwit is.

Welke GDPR-verplichtingen gelden voor hotels na een datalek?

Op grond van artikel 33 van GDPR moeten hotels hun toezichthoudende autoriteit binnen 72 uur nadat zij zich bewust zijn geworden van een inbreuk op de persoonlijke gegevens op de hoogte stellen. Als de inbreuk waarschijnlijk een hoog risico voor individuen met zich meebrengt. Als betaalkaartgegevens of identiteitsdocumenten openbaar zijn gemaakt, vereist artikel 34 van GDPR ook dat de betrokken personen zonder onnodige vertraging op de hoogte worden gesteld. Het niet melden binnen de periode van 72 uur is een factor geweest bij verschillende handhavingsmaatregelen van de EU.

Hoe lang kunnen hotels kopieën van paspoortscans bewaren?

Het bewaren van paspoortscans moet gebaseerd zijn op een specifieke wettelijke basis en beperkt worden tot de minimaal noodzakelijke periode. In de meeste EU-rechtsgebieden is de wettelijke basis voor het verzamelen van paspoortinformatie het voldoen aan een wettelijke verplichting, zoals vereisten voor gastenregistratie. Het bewaren van scans buiten het doel van die verplichting (bijvoorbeeld het voor onbepaalde tijd bewaren in een gedeelde map) is zeer waarschijnlijk onwettig op grond van artikel 5, lid 1, onder e van GDPR. Gedocumenteerd bewaarbeleid, verwijderingsschema's en toegangscontroles zijn vereist.

Wat is het grootste cyberveiligheidsrisico voor hotelbeheersystemen?

Property Management Systemen (PMS) vormen het centrale zenuwstelsel van een hotel: ze bevatten reserveringsgegevens, gastprofielen, betalingsgeschiedenis en kamertoegangscontrole. De belangrijkste risico's zijn gestolen inloggegevens door phishing- of credential stuffing-aanvallen, niet-gepatchte softwarekwetsbaarheden en zijdelingse verplaatsing na een aanvankelijke aanval op een minder beschermd eindpunt. PMS-systemen zijn doorgaans ook geïntegreerd met tientallen systemen van derden, die elk een extra toegangspunt vertegenwoordigen. Netwerksegmentatie en strikte toegangscontrole zijn de meest effectieve oplossingen.

Hoe ziet een basis cybersecurity-basislijn eruit voor een hotel?

Een geloofwaardige basislijn omvat: meervoudige authenticatie voor alle administratieve en PMS-toegang; netwerksegmentatie waarbij WiFi voor gasten, operationele systemen en betaalkaartomgevingen worden gescheiden; regelmatige patching van PMS- en POS-software; jaarlijkse phishing-bewustzijnstraining voor medewerkers; een incidentresponsplan met een GDPR-meldingschecklist van 72 uur; gecodeerde back-ups die regelmatig worden getest; en een beoordeling van alle integraties van derden om ervoor te zorgen dat leveranciers voldoen aan de minimale beveiligingsnormen.

Praat met Cyvra

Bezorgd over de beveiliging van uw hotel?

We werken samen met horecagroepen in heel Nederland en Groot-Brittannië om gaten in de beveiliging te dichten voordat aanvallers ze vinden, en niet erna.

Neem contact op Horecadiensten

Vrijwaring: Dit artikel is uitsluitend bedoeld voor algemene informatiedoeleinden en vormt geen juridisch, regelgevend of professioneel advies. Cyvra geeft geen garantie met betrekking tot de juistheid of volledigheid van deze inhoud, die mogelijk niet de meest recente ontwikkelingen op regelgevingsgebied weerspiegelt. Lezers moeten onafhankelijk juridisch en regelgevend advies inwinnen dat geschikt is voor hun specifieke omstandigheden. Cyvra aanvaardt geen aansprakelijkheid voor enig verlies dat voortvloeit uit het vertrouwen op deze inhoud.