Die digitale Sicherheitsstrategie der Hotelkette sorgt für 130.000 Zimmer mit sorgenfreier Sicherheit

Die APA Group, eine der größten Hotelketten Japans, mit 981 Hotels und mehr als 130.000 Zimmern in Japan und im Ausland, konzentriert sich auf die digitale Transformation. Besonders beliebt ist die APA App, eine mobile Anwendung für Hotelgäste.

Die APA App bietet kontaktlose Verfahren für Reservierung, Check-in und Checkout. Mit der Funktion „One-Step Reservation“ können Reisende ganz einfach Zimmer in ihren Lieblingshotels reservieren. Zweitens ermöglicht die „One-Second Check-in“-Funktion dem Nutzer, sofort einzuchecken, indem er den QR-Code aus der APA-App an den Scanner an der Rezeption hält. Schließlich können Gäste mit dem „One-Second Check-out“ den Checkout abschließen, indem sie ihren Zimmerschlüssel in die Box legen. Diese Serie unkomplizierter Systeme, APA Triple-One genannt, wurde sehr gut angenommen, und etwa 80 % der Gäste nutzen sie.

Die „APA Stay Here“-App ermöglicht es Gästen auch, Anfragen an die Rezeption zu richten, und ist mit einem KI-gestützten Concierge-Chatbot ausgestattet. Dadurch entfällt der Zwang, an der Rezeption zu fragen oder die Rezeption zu besuchen.

In den Anfängen waren die Apps der Hotelbranche einfach nur neu aufbereitete Versionen der Reservierungswebsites. „Obwohl wir ein Nachzügler auf dem Markt sind, haben wir unsere App mit einem starken Fokus auf Kundenkomfort entwickelt, und sie wurde sehr gut angenommen. Dabei gingen wir davon aus, dass das Smartphone von Anfang an verwendet wird. Gäste können nun alles über die App erledigen, vom Zugriff auf Dienste während ihres Aufenthalts bis zur Verwaltung von Bonuspunkten nach dem Checkout“, so Kiyoshi Hamamoto, Executive Officer, APA Resort Co., Ltd. und Director of IT, APA Group Co., Ltd.

APA Hotels verbessert nicht nur das Gasterlebnis, sondern nutzt auch mobile Apps zur Optimierung des Hotelbetriebs, z. B. Housekeeping und Rezeptionsdienste. Herkömmliche Vorgänge, die auf Papier basieren, wie z. B. die Nachverfolgung des Zimmerstatus, die Verwaltung der Fundsachen und die Buchführung, wurden in Anwendungen umgewandelt und über eine API mit dem Backend-System verknüpft. Dieser Wechsel von analog zu digital hat die Betriebseffizienz erheblich gesteigert.

In der Hotelbranche, die eine Vielzahl von Gästen aus der ganzen Welt willkommen heißt, ist die Sicherung von IT-Diensten eines der wichtigsten Probleme. Da Cyberangriffe heutzutage immer ausgeklügelter und intensiver werden, wird der Schutz personenbezogener Daten immer wichtiger. Die APA Group hat daran gearbeitet, ihre Sicherheitsmaßnahmen entsprechend zu verbessern, indem sie beispielsweise auf die Dienste von Akamai zur Abwehr von DDoS-Angriffen setzt.

Die erfolgreiche Digitalisierung von Prozessen von APA Hotels über Anwendungen offenbarte jedoch eine neue Angriffsfläche: APIs, die zur Aktivierung von Anwendungen und Zusammenarbeit innerhalb der Firma verwendet werden. In den letzten Jahren ist der Hotelbetrieb diversifizierter und dezentralisierter geworden, wobei eine wachsende Zahl von Systemen und Dienstleistungen von Drittanbietern zum Einsatz kommt. Als Folge davon sind APIs inzwischen zahlreicher und wichtiger geworden und bilden einen wichtigen Bestandteil der Infrastruktur eines Hotels. Gleichzeitig nehmen Cyberangriffe auf APIs zu, sodass geeignete Sicherheitsmaßnahmen ergriffen werden müssen.

APA Hotels sammelte zwar Protokolle der API-Kommunikation, aufgrund ihres hohen Volumens waren diese jedoch nur schwer zu analysieren. So war es unmöglich, Anzeichen eines Angriffs manuell zu erkennen. Obwohl Sicherheitsorganisationen ihre Systeme traditionell gestärkt haben, steigen die Anforderungen an Einzelpersonen weiter. Hamamoto und sein Team wollten nicht nur die Gäste, sondern auch die Hotelmitarbeiter, die die Hauptlast von Vorfällen abbekamen, durch eine deutliche Stärkung der API-Sicherheit schützen.

„Die Visualisierung der API-Aktivität war entscheidend“, so Hamamoto. „Wir brauchten mehr als nur einfach zu lesende Protokolle – wir brauchten eine Ansicht, die von Sicherheitsexperten entwickelt wurde, die mit der API-Kommunikation vertraut sind. Wenn wir klar erkennen können, worauf wir uns konzentrieren müssen, wird es einfacher, mit den Anbietern zusammenzuarbeiten, die unsere Apps und APIs entwickeln.“

Angesichts des zukünftigen Wachstums von Diensten und APIs entschied sich Hamamoto in Bezug auf spezialisierten API-Schutz für Akamai API Security.

Die APA Group setzt seit Langem auf die Sicherheitslösungen von Akamai, einschließlich WAF- und DDoS-Schutz, und hat die Zuverlässigkeit der Technologie und des Supports stets geschätzt. Der entscheidende Faktor für die API-Sicherheit war nicht nur die Fähigkeit, Protokolle zu visualisieren und zu analysieren, sondern auch die nahtlose Zusammenarbeit mit vorhandenen Sicherheitsdiensten, um Angriffe zu blockieren und die allgemeinen Sicherheitsmaßnahmen zu verstärken.

„Einer der Dinge, die ich an Akamai am meisten schätze, ist der Support von Akamai. Sicherheit kann ein komplexes Thema sein, und es ist selten, Experten zu finden, die die Details wirklich verstehen. Akamai füllt diese Lücken jedoch für uns und spielt eine strategische Rolle bei der schnellen Lösung von Angriffen. Insbesondere der Workshop zu API Security war für uns wertvoll – er gab uns einen Einblick in die Perspektive des Angreifers. Daher haben sich mehr Mitglieder unseres Teams für Sicherheit interessiert, was ein großer Vorteil ist“, erklärt Hamamoto.

Einer der größten Vorteile der Implementierung von API Security besteht darin, dass Nutzer jetzt Anzeichen sehen können, die zuvor unbemerkt blieben. Beispielsweise wird „404“ oft als allgemeiner Fehler in Webdiensten ignoriert. Mit API Security kann die APA Group die zugrunde liegenden Ursachen eines 404-Fehlers visualisieren und Anzeichen eines Angriffs erkennen.

API-Sicherheit wird häufig mit standardmäßigen Schwachstellenbewertungen von Anbietern verglichen. Wenn die Ergebnisse jedoch „Kein Problem gefunden“ oder „Penetrationstest nicht bestanden“ anzeigen, ist das nicht sehr aussagekräftig. Einer der Hauptvorteile von API Security ist die Fähigkeit, Aktivitäten so zu visualisieren, dass Sicherheitsteams überprüfen können, ob kritische Bereiche ordnungsgemäß untersucht wurden und ob Risiken identifiziert wurden. Außerdem wurde die Herausforderung gelöst, große Mengen an Protokolldaten zu verfolgen. „Viele Technologien und Produkte visualisieren Protokolle, aber nur wenige zeigen uns, was wirklich wichtig ist“, so Hamamoto.

„Durch den Blick auf das Dashboard von API Security konnte ich erkennen, wie viele Informationen über APIs ausgetauscht werden. APIs kann man leicht übersehen, aber jetzt wissen wir genau, wie wichtig es ist, sie zu schützen. Die API-Sicherheit kann sehr komplex sein, aber die Nutzeroberfläche der Akamai-Lösung ist leicht zu verstehen, was die Hürde verringert“, so Hamamoto.

Das Konzept der Zero-Trust-Architektur ist ebenfalls wichtig, um die API-Sicherheit zu gewährleisten. Private APIs für die Verbindung mit Partnersystemen, wie z. B. Reisebüros, können sicher erscheinen. Sobald sie sich jedoch im Netzwerk des Partners befinden, können sie als Einstiegspunkte für Angriffe genutzt werden. „Ein Angriff kann von jedem Ort aus und sofort erfolgen. Deshalb ist es unerlässlich, ein System zu haben, mit dem wir jeden Angriff sofort visualisieren und unsere wertvollen Informationsbestände, unser Unternehmen und unsere Gäste schützen können“, so Hamamoto.

Die APA Group wird ihre Hoteldienste weiter verbessern, indem sie die APA-App und „APA Stay Here“ weiter verbessert. „Die Sicherheit hat nach wie vor höchste Priorität, und wir setzen uns für kontinuierliche Verbesserungen ein, die über den API-Schutz hinausgehen, damit unsere Gäste unsere Dienste mit Zuversicht nutzen können. Wir freuen uns auf die kontinuierliche Unterstützung von Akamai bei der Identifizierung von Trends bei Cyberangriffen und die Bereitstellung zeitnaher Lösungen und Hinweise“, so Hamamoto.

Die 1971 in der Präfektur Ishikawa gegründete APA Group begann ihre Geschäftstätigkeit mit dem Bau maßgeschneiderter Häuser. Durch den Verkauf von Einfamilienhäusern und die Entwicklung von Eigentumswohnungen hat sich das Unternehmen zu einer diversifizierten Geschäftseinheit entwickelt, die Hotelmanagement und Stadtentwicklung umfasst. Die Firma ist eine der größten Hotelketten Japans mit insgesamt 138.054 bereits vermarkteten und/oder geplanten Hotelzimmern und fördert aktiv die Expansion im Ausland, insbesondere in Nordamerika. Das Unternehmen ist mit seinen einzigartigen Apps und dem Check-in-System führend in der Hotelbranche.