Self-Check-in: Wie sicher sind Automatenhotels?
Einchecken im Hotel – ganz ohne Rezeption. Je nach Service geht das direkt am Smartphone oder über einen Check-in-Terminal. Neben praktischen Vorteilen gibt es aber immer wieder Sicherheitslücken.
Kein Hotelzimmer ohne Check-in. Erst muss der Gast seine Buchung und seine Personalien vorweisen, dann bekommt er den Zimmerschlüssel. Genau das war traditionellerweise die Aufgabe der Rezeption. Lange Zeit gehörte sie zum Hotel wie die Kasse zum Supermarkt. Was beide gemeinsam haben: Sie lassen sich automatisieren.
Viele Hotels können es sich nicht leisten, ihre Rezeption Tag und Nacht zu besetzen, und schließen deshalb ab einer bestimmten Uhrzeit den Check-in. Wer zu spät kommt, riskiert somit eine Nacht ohne Dach über dem Kopf.
Mit der Option des Self-Check-ins kann das nicht passieren. Der Gast erhält seinen Zimmerschlüssel beziehungsweise seine Keycard an einem Automaten, der rund um die Uhr funktioniert. Je nachdem, ob man hier nur einchecken oder auch Buchungen vornehmen kann, spricht man von einer Check-in-Box oder einem Hotelomaten. Der Vorteil für die Gäste: Die sogenannte „Check-in Period“, also der Zeitraum, in dem die Gäste einchecken können, ist unbegrenzt. Den Hoteliers wiederum entstehen dadurch weniger Personalkosten.
Während die Lösung anfangs nur ein Thema der Budget-Hotellerie war, sind Self-Check-in-Optionen heute immer häufiger auch bei Vier- und Fünf-Sterne-Hotels anzutreffen. Doch wie sicher sind die digitalen Hotels? Hier erfahren Sie, worauf Sie als Gast achten sollten.
Welche Arten des Self-Check-ins gibt es?
Es stehen verschiedene Services zur Verfügung, die den Check-in an der Rezeption ersetzen:
- Check-in-Box: Bei der einfachsten Variante des Self-Check-in bucht der Gast ganz gewöhnlich über das Internet oder telefonisch. Sollte die Rezeption bei der Ankunft schon geschlossen sein, stellt eine Check-in-Box am Eingang sicher, dass der Gast trotzdem Zugang zu seinem Zimmer erhält. In der Regel genügt es, den Code einzugeben, der zusammen mit der Buchungsbestätigung übermittelt wurde, und der Zimmerschlüssel beziehungsweise die Keycard wird freigegeben.
- Hotelomat: Umfassender ist das System des Automatenhotels. Hier kann man an einem automatisierten Check-in-Terminal nicht nur einchecken, sondern auch direkt ein Zimmer buchen und per EC- oder Kreditkarte zahlen. Daraufhin erhält man den Zimmerschlüssel und einen Rechnungsbeleg. Am selben Terminal ist es auch möglich, den Aufenthalt nach Wunsch zu verlängern.
- Mobiles Check-in: Die wohl praktischste Option ist der Check-in via Smartphone. Nach der Buchung erhält man einen Code auf das Gerät, mit dem sich die Hotelschließsysteme öffnen lassen.
Ähnlich unkompliziert verläuft der Check-out. Dafür muss der Gast den Schlüssel oder die Keycard einfach an einer dafür vorgesehenen Vorrichtung abgeben.
Die Online-Buchung von Unterkünften ist praktisch und ermöglicht die Urlaubsplanung in Eigenregie. Aber Achtung! Auch Betrügerinnen und Betrüger nutzen Plattformen wie booking.com. Wie sie dabei vorgehen, verraten unsere Beiträge „Booking.com: Achtung bei ‚fehlgeschlagener Zahlung‘ oder ‚Verifikation Ihrer Zahlungsinfos‘“ und „Tourismusbranche im Visier von Kriminellen: Cyberangriffe über booking.com“.
Gefahren beim Self-Check-in
So praktisch die Check-in-Anwendungen ohne Rezeption sind, so anfällig zeigen sich manche Systeme gegenüber Cyberangriffen. Die Gefahren reichen von gestohlenen Kundendaten bis hin zur Möglichkeit, dass Kriminelle in fremde Hotelzimmer eindringen.
Diese Risiken sollten Sie beachten.
- Veraltete Check-in-Boxen: Wenn es sich bei der Check-in-Box um einen einfachen Schlüsseltresor handelt, der sich mit einem Code öffnen lässt, werden darin meist mehrere Schlüssel oder Keycards verwahrt. Das Risiko: Wer einmal Zugang zum Tresor hat, könnte Schlüssel zu anderen Zimmern entwenden.
- Sicherheitslücken bei den Check-in-Terminals: Immer wieder liegen Software-Schwachstellen vor. Ein Beispiel ist die Lücke in einer Software der Firma Ariane Systems, die im Juni 2024 bekannt wurde. Der Hersteller bedient weltweit mehr als 3.000 Hotels mit Check-in-Terminals. Potenzielle Angreifer hätten durch die Eingabe eines einfachen Anführungszeichens in der Suchmaske des Terminals lokal gespeicherte Reservierungen und Rechnungen einsehen können. Doch nicht nur Kundendaten sind in Gefahr, auch zu den Zimmern könnten Kriminelle sich Zugang verschaffen. Ein solcher Fall ist etwa jene Schwachstelle, die im April 2024 bei einem Ibis Budget Hotel ans Licht kam. Innerhalb von Minuten hätten Unbefugte die Zugangscodes für mehrere Zimmer generieren können. Kundinnen und Kunden können gegen solche Sicherheitslücken nur wenig unternehmen – außer bei Hotels mit klassischer Rezeption zu bleiben.
- Cyberangriffe auf mobile Geräte: Wer sein Smartphone nicht absichert, setzt sich dem Risiko aus, dass sensible Daten auf dem Gerät von Dritten missbraucht werden. Unbefugte könnten beispielsweise über ein unverschlüsseltes WLAN-Netzwerk Ihren Datenverkehr mitlesen, mithilfe Ihres Passwortes in Ihr E-Mail-Postfach eindringen und die Buchung sowie den Zugangscode für Ihren mobilen Check-in abgreifen. Userinnen und User, die auf Reisen öffentliche WLAN-Netzwerke nutzen, sollten Ihren Datenverkehr mittels VPN-Verbindung schützen.
Wie Sie auch unterwegs in Sicherheit surfen und Ihre Geräte nutzen, zeigt Ihnen der Beitrag „IT-Sicherheit auf Reisen: Welche Risiken lauern, wenn man unterwegs ist?“.
Für den Inhalt verantwortlich: A-SIT Zentrum für sichere Informationstechnologie – Austria