Mit der fortschreitenden nationalen Durchsetzung der EU-Richtlinie NIS-2 müssen Unternehmen die IT-Sicherheitsarchitektur ihrer externen Reisedienstleister (TMCs) und OBT-Anbieter drastisch verschärfen. Datenlecks bei der Übermittlung sensibler Mitarbeiter- und Zahlungsdaten können fortan existenzbedrohliche Sanktionen auslösen.
Das Thema Datensicherheit im Geschäftsreiseverkehr verlässt die Nische der internen IT-Abteilungen und wird zu einer drastischen Governance- und Compliance-Verpflichtung auf C-Level-Ebene. Hintergrund ist die finale Umsetzung der europäischen NIS-2-Richtlinie zur Cybersicherheit in nationales Recht. Während die Regulierung primär auf kritische Infrastrukturen abzielt, greift über die regulatorische Verpflichtung zur Absicherung der gesamten Lieferkette („Supply Chain Security“) ein massiver Kaskadeneffekt. Unternehmen, die als „wichtige“ oder „wesentliche“ Einrichtungen eingestuft sind, müssen nachweisen, dass auch ihre externen Dienstleister höchste Cybersecurity-Standards erfüllen. Hier rücken Travel Management Companies (TMCs), globale Hotelbuchungsplattformen und die Anbieter von Online Booking Tools (OBTs) in den direkten Fokus der Auditierungen.
Das Geschäftsreise-Ökosystem ist aus Sicht von Cyber-Analysten eines der verwundbarsten Glieder in der modernen Unternehmenslandschaft. Über TMS-Schnittstellen (Travel Management System) zirkulieren täglich Millionen hochsensibler Datenströme: Kreditkartennummern, detaillierte Bewegungsprofile von Vorstandsmitgliedern, Passdaten, Visa-Informationen und firmeninterne Reisedaten, die Rückschlüsse auf anstehende M&A-Aktivitäten oder strategische Kooperationen zulassen. Ein erfolgreicher Ransomware-Angriff auf eine mittelgroße TMC oder eine Sicherheitslücke in einer HR-Profil-Schnittstelle kann nicht nur den operativen Reisebetrieb eines Großkonzerns schlagartig lähmen, sondern führt im Rahmen von NIS-2 zu einer direkten persönlichen Haftung der Geschäftsführung des buchenden Unternehmens, sofern die Auswahl des Dienstleisters nicht nach strengsten IT-Sicherheitskriterien auditiert wurde.
Die Neuregelung zwingt Travel Manager und IT-Sicherheitsbeauftragte zu einem radikalen Umdenken bei der Beschaffung (Procurement) von Reisedienstleistungen. Reine Service-Level-Agreements (SLAs), die sich auf Buchungsgeschwindigkeiten oder Ticketpreise konzentrieren, reichen nicht mehr aus. In kommenden Ausschreibungen (RFPs) müssen detaillierte Nachweise über Incident-Response-Pläne, Verschlüsselungsstandards beim Datentransfer (z. B. TLS 1.3), Multi-Faktor-Authentifizierungen (MFA) für alle Reisenden-Profile und Zertifizierungen nach ISO/IEC 27001 gefordert werden. Dienstleister, die diese teuren Audits und technologischen Härtungen nicht vorweisen können, werden aus den Corporate-Netzwerken ausgeschlossen, was zu einer weiteren Marktkonzentration hin zu technologisch resilienten globalen Groß-TMCs führen wird.
Implikationen für die Praxis
Corporate-Einkäufer sollten umgehend in Zusammenarbeit mit dem Chief Information Security Officer (CISO) die IT-Sicherheitsanhänge aller bestehenden Verträge mit TMCs und Buchungsplattformen überprüfen. Für das Onboarding neuer Mobilitätsdienstleister muss ein standardisierter NIS-2-Compliance-Fragebogen implementiert werden, der den Nachweis regelmäßiger Penetrationstests zur Pflicht macht.
Primärquelle: Agentur der Europäischen Union für Cybersicherheit (ENISA) – Richtlinien zur Absicherung von Lieferketten unter NIS-2
Primärquelle: Bundesamt für Sicherheit in der Informationstechnik (BSI) – NIS-2-Umsetzungsgesetz und Pflichten für Zulieferer
Sekundärquelle: Business Travel Magazine / Phacus Cyber Security Report – Analyse zur Verwundbarkeit globaler GDS- und TMC-Infrastrukturen.
© Jörg Nubert & Wolfgang Koestner GbR, ›Geschäftsreise News‹, Foto: Pixabay. Hinweis: Bei der Recherche und Analyse dieses Beitrags wurde unterstützend AI eingesetzt. Die redaktionelle Verantwortung für den Inhalt liegt bei der Redaktion. Alle Rechte vorbehalten, all rights reserved. Nachdruck und Weitergabe an Dritte untersagt.
