Digital & Daten

Restaurant-Cybersicherheit: 9 Schritte gegen Hacker

Ihr Kassensystem, WLAN und Gästedaten sind ein Ziel — oft ohne dass Sie es merken

Restaurants gehören seit Jahren zu den beliebtesten Zielen von Kassenmalware — nicht weil Hacker die Gastronomie hassen, sondern weil sie ein leichtes Ziel ist.

Ketten wie Chipotle, Sonic Drive-In und Checkers & Rally's wurden in den vergangenen Jahren allesamt von Malware auf ihren Kassensystemen getroffen, teils monatelang unbemerkt, mit Millionen gestohlener Kartennummern als Folge. Laut dem aktuellsten Data Breach Investigations Report von Verizon spielt inzwischen ein Drittanbieter — ein Lieferant, Kassen- oder Softwarepartner — bei 30 % aller Datenpannen eine Rolle, gegenüber knapp der Hälfte davon nur ein Jahr zuvor. Und in 22 % der Fälle war ein gestohlenes oder schwaches Passwort der Ausgangspunkt. Sie müssen keine internationale Kette sein, um ins Visier zu geraten: Die meisten Angriffe sind automatisiert oder laufen über einen einzigen verwundbaren Anbieter, der gleichzeitig Dutzende Restaurants betreut. Dieser Artikel liefert Ihnen 9 konkrete, größtenteils kostenlose oder günstige Schritte, um Ihr Restaurant abzusichern:

  1. Trennen Sie Ihr Gäste-WLAN — nie im selben Netzwerk wie Ihre Kasse.
  2. Sichern Sie Ihr Kassensystem ab — Updates, und misstrauen Sie jedem unangekündigten „Techniker".
  3. Wählen Sie einen PCI-DSS-konformen Zahlungsanbieter — und speichern Sie nie selbst Kartendaten.
  4. Nutzen Sie starke Passwörter und Zwei-Faktor-Authentifizierung — überall, nicht nur an der Kasse.
  5. Erkennen Sie Phishing und Rechnungsbetrug — die am meisten unterschätzte Kostenquelle in der Gastronomie.
  6. Beschränken Sie Zugriffsrechte je Rolle — und entziehen Sie sie sofort bei Austritt.
  7. Prüfen Sie Ihre Lieferanten — deren Schwachstelle wird zu Ihrer Datenpanne.
  8. Erstellen Sie Backups und testen Sie Ihren Wiederherstellungsplan — bevor Ihre Kasse ausfällt.
  9. Kennen Sie Ihre Meldepflicht — die DSGVO gibt Ihnen 72 Stunden, keinen Tag mehr.

Warum die Gastronomie ein beliebtes Ziel ist

Ein Restaurant verarbeitet täglich Dutzende bis Hunderte Kartentransaktionen, speichert Reservierungsdaten und Kontaktinformationen von Gästen und arbeitet häufig mit veralteter oder schlecht gewarteter Kassen-Hardware, die jahrelang unverändert weiterläuft. Zählen Sie eine hohe Personalfluktuation und begrenztes IT-Wissen dazu, und Sie haben genau das Profil, nach dem Angreifer suchen: viele wertvolle Daten, wenig Widerstand. Anders als ein gezielter Angriff auf eine große Bank ist die meiste Kassenmalware opportunistisch — sie sucht automatisch nach verwundbaren Systemen, unabhängig davon, ob Ihr Betrieb zwölf oder hundertzwanzig Tische hat.

Die gute Nachricht: Die meisten der folgenden Maßnahmen kosten kein Geld, nur zehn Minuten Aufmerksamkeit. Cybersicherheit in der Gastronomie ist selten eine Frage eines teuren IT-Dienstleisters — es geht vor allem darum, die naheliegenden Schwachstellen zu schließen.

9 Schritte zu einem cybersicheren Restaurant

1. Trennen Sie Ihr Gäste-WLAN vom Kassennetzwerk

Der häufigste — und am meisten unterschätzte — Fehler ist ein einziger Router für alles: die Kasse, den Büro-PC mit der Buchhaltung und das WLAN, das Sie Gästen kostenlos zur Verfügung stellen. Sobald ein Gast (oder jemand, dem das Gäste-Passwort weitergegeben wurde) in diesem Netzwerk ist, könnte er im schlimmsten Fall den Datenverkehr zu Ihrem Kassensystem mitverfolgen.

  • Richten Sie zwei getrennte Netzwerke ein: eines für Gäste, eines für Kasse und Back-Office, jeweils mit eigenem Passwort. Die meisten Router ab der Mittelklasse unterstützen dies über eine „Gast-SSID" oder ein VLAN, oft mit nur einer Einstellung.
  • Ändern Sie das Gäste-Passwort regelmäßig, zum Beispiel monatlich, damit ein altes, weit verbreitetes Passwort nicht dauerhaft im Umlauf bleibt.
  • Schließen Sie Ihr QR-Bestellsystem an das Gästenetzwerk an, nie an das Netzwerk Ihrer Kasse — auch wenn es praktischer erscheint.

Diese eine Änderung — zwei Netzwerke statt eines — schließt den meistgenutzten Weg, über den ein infiziertes Gästegerät jemals zu Ihrer Kasse gelangen könnte.

2. Sichern Sie Ihr Kassensystem selbst ab

Bei der Wahl eines Kassensystems achten Sie normalerweise auf Integrationen und Transaktionskosten — mindestens genauso wichtig ist aber, wie gut es abgesichert ist und bleibt. Ein paar praktische Regeln:

  • Installieren Sie Software-Updates für Ihre Kasse, sobald sie verfügbar sind; veraltete Kassensoftware ist das leichteste Ziel überhaupt.
  • Nutzen Sie den Kassen-PC ausschließlich für die Kasse — nicht zum kurzen Nachschauen im Internet, für E-Mails oder Musik.
  • Misstrauen Sie jedem unerwarteten „Techniker". Die brasilianische Hackergruppe Prilex wurde weltweit berüchtigt mit Kassenmalware, die sogar Chip-und-PIN-Transaktionen klonen kann — die Infektion beginnt typischerweise mit einem Anruf eines vermeintlichen Technikers, der darauf drängt, die Kassensoftware zu „aktualisieren", und darum bittet, eine Fernzugriffssoftware wie AnyDesk zu installieren. Rufen Sie im Zweifel immer die offizielle Nummer Ihres eigenen Anbieters zurück, nie die Nummer, die der Anrufer selbst nennt.

3. Wählen Sie einen PCI-DSS-konformen Zahlungsanbieter

Jede Partei, die Kartenzahlungen verarbeitet, muss PCI-DSS erfüllen, den Sicherheitsstandard der Kartennetzwerke. Die praktische Konsequenz für Sie: Lassen Sie Kartendaten nie unnötig durch Ihre eigenen Systeme laufen oder dort speichern.

  • Wählen Sie ein Zahlungsterminal oder einen Anbieter, der Kartendaten tokenisiert — Ihre Kasse sieht dann nie die echte Kartennummer, nur einen wertlosen Ersatzcode.
  • Speichern Sie nie selbst Kartennummern in Tabellen, E-Mails oder Notizen „für alle Fälle".
  • Sind Sie nicht PCI-DSS-konform und kommt es dennoch zu einem Leck, können Sie für betrügerische Transaktionen haftbar gemacht werden — die Kosten der Nichtkonformität liegen fast immer höher als die Kosten eines konformen Anbieters.

Zahlen, die den Unterschied machen

Warum Schnelligkeit und Basishygiene mehr zählen als ein teurer Sicherheitsvertrag.

Meldefrist bei einer Datenpanne (DSGVO)72 Stunden
Bußgeldobergrenze bei einer schweren Datenpannebis zu 4 % Jahresumsatz
Datenpannen weltweit über einen Drittanbieter30 %
Vorfälle, die mit einem gestohlenen Passwort begannen22 %

4. Starke Passwörter und Zwei-Faktor-Authentifizierung, überall

Ein gemeinsames, jahrealtes Passwort („kasse1234"), das irgendwann jeder Mitarbeitende einmal erhielt, ist vielleicht das größte unsichtbare Risiko in der Gastronomie. Bis Sie es merken, kennen es noch zehn ehemalige Mitarbeitende.

  • Aktivieren Sie Zwei-Faktor-Authentifizierung, wo immer möglich: für Ihr Kassenkonto, Ihr Reservierungssystem, Ihr Google-Unternehmensprofil und Ihre geschäftliche E-Mail. Das ist meist kostenlos und kostet nur einen zusätzlichen Klick beim Einloggen.
  • Geben Sie jedem Mitarbeitenden ein eigenes Login statt eines gemeinsamen Kontos — so wissen Sie auch, wer was getan hat, wenn etwas schiefläuft.
  • Nutzen Sie einen Passwort-Manager für geschäftliche Konten, statt überall dasselbe Passwort wiederzuverwenden.
Der ultimative Leitfaden Restaurant-Technik & Daten: Der ultimative Leitfaden Website, KI, Analytics und Sicherheit, die Ihr Restaurant voranbringen. Leitfaden öffnen

5. Erkennen Sie Phishing und Rechnungsbetrug

Die meisten Einbrüche beginnen nicht mit ausgeklügeltem Code, sondern mit einer E-Mail oder einem Anruf, der Vertrauen missbraucht. Nehmen Sie dies ausdrücklich in Ihr Mitarbeitertraining auf:

  • Rechnungsbetrug: Ein „Lieferant" schreibt, dass sich die Kontonummer geändert habe. Bestätigen Sie jede Änderung von Zahlungsdaten immer telefonisch, über eine Nummer, die Sie bereits kannten — nicht über die Nummer in der E-Mail.
  • Chef-Betrug (CEO-Fraud): eine dringende E-Mail „vom Geschäftsführer", die darum bittet, Geschenkgutscheine zu kaufen oder schnell eine Überweisung zu tätigen. Vereinbaren Sie im Team, dass solche Anfragen immer mündlich bestätigt werden.
  • Gefälschte E-Mails von „Ihrem Kassenanbieter" oder „Google", die zum Einloggen über einen Link auffordern. Gehen Sie im Zweifel immer direkt zur offiziellen Website, statt auf den Link zu klicken.

6. Beschränken Sie Zugriffsrechte je Rolle — und entziehen Sie sie sofort

Nicht jeder Mitarbeitende braucht Administratorrechte für Ihre Kasse, Ihr Buchungssystem oder Ihre sozialen Medien. Arbeiten Sie mit Rollen: Ein Kellner kann Bestellungen anlegen, muss aber keine Berichte exportieren oder Einstellungen ändern können.

  • Geben Sie nur dem Geschäftsführer und einer begrenzten Anzahl von Führungskräften volle Administratorrechte.
  • Entziehen Sie Zugriffsrechte sofort, sobald jemand ausscheidet — dies ist der am häufigsten vergessene Schritt in dieser gesamten Liste und einer der riskantesten. Nehmen Sie dies standardmäßig in Ihre Offboarding-Checkliste auf, neben der übrigen Administration rund um Ihr Personalmanagement.
  • Kontrollieren Sie mindestens zweimal im Jahr, wer noch worauf Zugriff hat, und entfernen Sie, was nicht mehr benötigt wird.

7. Prüfen Sie Ihre Lieferanten: deren Schwachstelle wird Ihre Datenpanne

Ihr Kassensystem, Ihre Online-Bestellplattform und Ihre Automatisierungstools laufen häufig auf Software eines externen Anbieters. Wird dieser Anbieter gehackt, sind Sie mitbetroffen. Seit Oktober 2024 erhöht die europäische NIS2-Richtlinie die Sicherheitsanforderungen für mittlere und große Unternehmen in zahlreichen Branchen — einzelne Restaurants fallen meist nicht darunter (die Schwelle liegt bei 50 Mitarbeitenden oder 10 Millionen Euro Umsatz), doch Ihr Kassen-, Buchungs- und Zahlungsanbieter sitzt oft mittendrin. Fragen Sie deshalb bei jedem neuen Lieferanten:

  • Sind Sie NIS2- oder ISO-27001-konform, oder können Sie zumindest zeigen, wie Kundendaten geschützt werden?
  • Wie schnell werden Kunden bei einem Vorfall auf Ihrer Seite benachrichtigt?
  • Wo und wie lange werden unsere Daten gespeichert, und wer hat Zugriff darauf?

Das schließt unmittelbar an das an, wie Sie ohnehin schon kritisch prüfen sollten, wie Sie Kundendaten verarbeiten gemäß DSGVO: Die Verantwortung für die Daten Ihrer Gäste endet nicht beim Anbieter, der sie technisch speichert.

8. Erstellen Sie Backups und testen Sie Ihren Wiederherstellungsplan

Ransomware macht in der Gastronomie selten so Schlagzeilen wie in Krankenhäusern, doch die Wirkung ist mindestens ebenso störend: Eine Kasse, die an einem vollen Freitagabend ausfällt, bedeutet sofortigen Umsatzverlust und frustrierte Gäste an der Tür.

  • Erstellen Sie regelmäßig Backups von Reservierungsdaten, Kundendaten und Konfiguration — automatisch, nicht manuell „wenn Sie dran denken".
  • Bewahren Sie mindestens ein Backup getrennt von Ihrem Hauptnetzwerk auf, damit Ransomware, die Ihre Systeme verschlüsselt, nicht auch Ihr Backup mitnimmt.
  • Testen Sie mindestens einmal im Jahr, ob Sie ein Backup tatsächlich zurückspielen können — ein Backup, das Sie nie wiederhergestellt haben, ist eine Annahme, keine Garantie.

9. Kennen Sie Ihre Meldepflicht und erwägen Sie eine Versicherung

Verarbeiten Sie personenbezogene Daten von Gästen oder Mitarbeitenden — und das tut praktisch jedes Restaurant, von Reservierungen bis zu Personalakten —, dann gilt die DSGVO uneingeschränkt, unabhängig von Ihrer Größe. Bei einer schweren Datenpanne:

  • Müssen Sie dies innerhalb von 72 Stunden nach Entdeckung bei der Datenschutzbehörde melden.
  • Müssen Sie betroffene Gäste oder Mitarbeitende benachrichtigen, wenn für sie ein hohes Risiko besteht.
  • Können Bußgelder bis zu 4 % des weltweiten Jahresumsatzes betragen — in der Praxis fallen kleine Gastronomiebetriebe in der Regel deutlich milder aus, doch die Meldepflicht selbst gilt ausnahmslos.

Eine bezahlbare Cyberversicherung deckt oft nicht nur den direkten Schaden, sondern auch forensische Untersuchungen und Rechtsbeistand nach einem Vorfall — fragen Sie bei demselben Versicherer nach, bei dem Sie Ihre anderen Policen haben. Dokumentieren Sie zudem auf einem einzigen Blatt, wen Sie anrufen müssen (Anbieter, Versicherer, gegebenenfalls IT-Hilfe), sobald etwas schiefgeht: mitten in der Nacht wollen Sie nicht erst nach einer Telefonnummer suchen müssen.

Häufige Fehler, die Cybersicherheit untergraben

  • Kasse, Büro und Gäste-WLAN im exakt selben Netzwerk laufen lassen.
  • Ein gemeinsames Passwort verwenden, das nie geändert wird, auch nicht nach Personalwechseln.
  • Einem unangekündigten „Techniker" ohne Weiteres Fernzugriff auf die Kasse gewähren.
  • Kartendaten von Gästen manuell notieren oder aufbewahren „zur Sicherheit".
  • Zugriff ausgeschiedener Mitarbeitender erst entziehen, wenn es zufällig auffällt.
  • Nie testen, ob ein Backup tatsächlich zurückgespielt werden kann.

Fazit: Sicherheit als Basishygiene, nicht als Luxus

Cybersicherheit in der Gastronomie erfordert selten eine große Investition. Sie besteht aus einer Reihe kleiner, struktureller Gewohnheiten: einem separaten Gästenetzwerk, Zwei-Faktor-Authentifizierung, einem kritischen Blick auf jeden unerwarteten Anruf und Zugriffsrechten, die Sie sofort entziehen, sobald jemand geht. Beginnen Sie diese Woche mit den kostenlosen Schritten — Netzwerke trennen, Zwei-Faktor-Authentifizierung aktivieren, Ihr Team über Phishing informieren — und planen Sie den Rest für Ihr nächstes Lieferantengespräch ein.

Der Preis dieser paar Stunden Aufmerksamkeit ist verschwindend gering im Vergleich zu dem, was eine Datenpanne an Reputation, Bußgeldern und dem Vertrauen von Gästen kostet, die schlicht erwartet hatten, dass ihre Daten bei Ihnen sicher sind.

Häufig gestellte Fragen

Ist mein Restaurant zu klein, um für Hacker interessant zu sein?

Nein. Die meisten Angriffe auf Kassensysteme sind automatisiert oder laufen über den Softwareanbieter, der gleichzeitig Dutzende Restaurants betreut — die Größe Ihres Betriebs spielt dabei keine Rolle. Klein bedeutet zudem oft weniger IT-Unterstützung und damit ein leichteres Ziel, nicht ein uninteressanteres.

Muss ich als kleiner Gastronomiebetrieb die NIS2-Richtlinie erfüllen?

Meist nicht direkt: NIS2 richtet sich an mittlere und große Unternehmen (ab 50 Mitarbeitenden oder mehr als 10 Millionen Euro Jahresumsatz). Die meisten einzelnen Restaurants fallen darunter. Allerdings erhöht NIS2 die Sicherheitsanforderungen an Ihre Kassen-, Buchungs- und Zahlungsanbieter, die häufig sehr wohl in den Anwendungsbereich fallen — deren Sicherheitsniveau bestimmt mit, wie sicher Ihre Daten letztlich sind.

Was soll ich tun, wenn ich eine Datenpanne vermute?

Trennen Sie das betroffene Gerät sofort vom Netzwerk, informieren Sie umgehend Ihren Kassen- oder Softwareanbieter und dokumentieren Sie, was Sie feststellen. Geht es um personenbezogene Daten von Gästen oder Mitarbeitenden, müssen Sie dies innerhalb von 72 Stunden bei der Datenschutzbehörde melden. Warten Sie nicht, bis Sie sich sicher sind — eine rechtzeitige Meldung wiegt schwerer als eine perfekte.