Der schnellste Weg, Hoteldaten zu verlieren: einem Passwort die ganze Arbeit zu überlassen.
Passwörter werden über Hotels und private Konten hinweg wiederverwendet. Telefone bleiben auf Tresen liegen. Laptops werden ausgeliehen. Ein einzelnes Passwort reicht nicht mehr, um Hoteldaten, Lohnangaben und Gästekorrespondenz zu schützen. Die Lösung ist seit zehn Jahren dieselbe: einen zweiten Faktor hinzufügen. Schwierig war nur, ihn einfach genug zu machen, damit Hotelteams ihn tatsächlich nutzen.
Genau diesen Teil haben wir gebaut.
Was MFA leistet
Jeder Nutzer fügt einen zweiten Faktor hinzu — einen Passkey auf Telefon oder Laptop, eine Authenticator-App oder beides. Jeder Hoteleigentümer entscheidet, ob dieser zweite Faktor für alle, die dort arbeiten, optional oder Pflicht ist. Kein Drittanbieter, kein Add-on-Abo, kein abfangbares SMS.
Die gesamte Erfahrung lebt in derselben App, die das Team ohnehin nutzt. Gleicher Login. Gleiche Spracheinstellung. Gleiches Audit-Log.
So funktioniert es
Der Nutzer öffnet Einstellungen → Zwei-Faktor-Authentifizierung, wählt Passkey hinzufügen (empfohlen) oder Authenticator-App und bestätigt mit einem 6-stelligen Code, der an die hinterlegte E-Mail-Adresse gesendet wird. Ab diesem Moment fragt jede neue Browser-Sitzung nach dem zweiten Faktor, bevor Hoteldaten angezeigt werden.
Um die Pflicht für alle in einem Hotel zu aktivieren, öffnet der Admin Hoteleinstellungen → Zwei-Faktor-Richtlinie und schaltet auf Pflicht. Ab dann wird jeder, der sich ohne MFA anmeldet, auf einen klaren Einrichtungs-Screen geleitet — Passkey, Authenticator-App oder zurück und ein anderes Hotel wählen.
Das ist die gesamte Admin-Erfahrung. Ein Schalter.
Wichtige Funktionen
- Zwei Einrichtungsoptionen — Passkey (Touch ID / Face ID / Windows Hello / Security Key) oder Authenticator-App (jede RFC-6238-App)
- Passwortlose Anmeldung — ein Passkey auf dem Gerät ersetzt E-Mail + Passwort mit einem Tipp
- Acht einmalige Wiederherstellungscodes bei der Einrichtung, jederzeit neu generierbar
- Pro-Hotel-Richtlinie — Optional oder Pflicht, ein Schalter
- E-Mail-Bestätigung vor der ersten Faktor-Einrichtung (verhindert „stillen Passkey-Hijack”)
- Step-up-Verifizierung für sensible Änderungen — Hinzufügen, Entfernen oder Regenerieren fragt immer erneut
- Neuer Browser, neues Gerät, neue Sitzung — immer Abfrage des zweiten Faktors
- Entfernter Passkey ist final — die Anmeldedaten können sich nie wieder anmelden, selbst wenn das Gerät gefunden wird
- Aktivitätsprotokoll pro Nutzer — jede MFA-Aktion, mit Zeitstempel und IP
- Vier Sprachen — jeder Bildschirm und jede E-Mail folgt der Präferenz des Nutzers
Für wen es gemacht ist
Hoteleigentümer, deren Cyber-Versicherung jetzt 2FA für Mitarbeiterkonten verlangt. GMs von Multi-Property-Gruppen mit gemeinsamem Back-End. Compliance-Verantwortliche, die einen auditierbaren Nachweis brauchen, wer wann MFA aktiviert hat. Empfangsleitungen, die genug haben davon, jeden Montag vergessene Passwörter zurückzusetzen.
Jeder, der einen Datenleck-Bericht liest und denkt „Wir wollen nicht der Nächste sein”.
Warum kein SMS
SMS-basiertes 2FA ist seit Jahren öffentlich gebrochen. SIM-Swap-Angriffe, böswillige Mitarbeiter beim Mobilfunkanbieter, abgefangene SMS — alles dokumentiert, alles Routine. Wir liefern SMS nicht als Faktor. Nur Passkeys und TOTP — beide standardbasiert, beide End-to-End überprüfbar, beide phishing-resistent auf unterschiedliche Weise.
Diese Entscheidung bedeutet: Ein Hotel, das MFA in Rapid Hotel System einführt, übernimmt denselben Standard, zu dem die großen Tech-Konzerne längst gewechselt sind.
Warum Passkeys die Erfahrung verändern
Passkey-Anmeldung ist die seltene Sicherheitsverbesserung, die zugleich eine Usability-Verbesserung ist. Fingerabdruck antippen, drin. Keine E-Mail tippen. Kein Passwort merken. Kein Code aus einer App in die andere kopieren. Gleiche Sicherheit wie starkes Passwort plus 2FA, in Bruchteilen der Zeit.
Für ein Empfangsteam, das sich pro Schicht-Übergabe Dutzende Male anmeldet, summiert sich diese Differenz zu echten Minuten pro Schicht.
Wiederherstellung integriert
Sobald ein Nutzer den ersten Faktor einrichtet, erstellt das System acht einmalige Wiederherstellungscodes. Der Nutzer druckt sie, speichert sie in einem Passwortmanager, legt sie in einen Tresor — das System bewahrt keine lesbaren Kopien, daher liegt es beim Nutzer, sie an einem auffindbaren Ort abzulegen. Telefon verloren, Laptop verloren, nach dem Urlaub mit falschem Gerät zur Arbeit — ein einziger Code bringt den Nutzer zurück. Jeder funktioniert genau einmal. Neuer Satz auf Anfrage generierbar.
Dieses eine Design vermeidet das häufigste 2FA-Versagen: Leute werden ausgesperrt, weil sie ein Gerät getauscht und nie an Wiederherstellung gedacht haben.
Der ehrliche Teil
Die meisten Softwarelösungen behandeln MFA noch immer als Enterprise-Feature, kostenpflichtiges Add-on oder Häkchen, das niemand wirklich umsetzt. Hotels sind besonders unterprotektiert — hohe Fluktuation, geteilte Arbeitsstationen, schleichend wachsende Dienstleister-Zugänge, plus ein stetiger Strom von Gast- und Zahlungsdaten durch jedes System.
Ein zweiter Faktor löst nicht jede Bedrohung. Er eliminiert die größte einzelne: das gestohlene oder erratene Passwort. Eingebaut, mehrsprachig, im Produkt enthalten — es gibt keinen Grund, dass ein Hotel jeder Größe es nicht ab morgen aktiviert.
Wie geschützt sind Ihre Hotel-Logins heute — nur Passwort, MFA verfügbar aber optional, oder MFA für jedes Teammitglied Pflicht?