Datenabfluss/Betrug bei Tropical Islands (Berlin)?

Veröffentlicht am 5. Mai 2026 von Günter Born

Sicherheit (Pexels, allgemeine Nutzung)Gibt es beim Betreiber des Wasserparks Tropical Islands ein Sicherheitsproblem bzw. einen Datenabfluss? Derzeit sind ja Betrugsversuche im Bereich Buchungsplattformen für Hotels und Freizeiteinrichtungen am kommen. Ein Leser hat mich auf Fälle von Betrugsversuchen bei Tropical Islands hingewiesen, wo Dritte wohl Zugriff auf Buchungsdaten haben.

Was ist Tropical Islands?

Ich musste erst nachschauen, was hinter dem Begriff "Tropical Islands" steht, als ein Leser mich auf das Thema hingewiesen hat. Aber beim Stichwort "Cargolifter" war dann alles klar. Tropical Islands ist ein Wasserpark in Krausnick im brandenburgischen Landkreis Dahme-Spreewald, Deutschland. Er befindet sich seit 2004 in der Cargolifter-Luftschiffhalle, die als größte freitragende Halle der Welt gilt und hatte im Jahr 2022 insgesamt 1,15 Millionen Besucher.

Webseite Tropical-Islands

Ich habe mal deren Webseite aufgerufen – im Kopf der Seite erscheint bereits ein Banner (siehe obigen Screenshot) mit dem Text "Sicherheitshinweis: Wir nutzen kein WhatsApp. Nachrichten in unserem Namen dort sind betrügerisch — keine Links klicken, keine Daten teilen.". Das klingt nach "Problemen", die die Besucher des Online-Angebots haben – und ich habe gleich mal zwei Sachen überprüft.

Kurzer Sicherheitscheck der Seite

Daher bin ich auf der Seite in den Buchungsprozess gegangen, um zu sehen, ob mir dort etwas auffällt. Im Hinterkopf war die Frage, ob Tropical Islands mit dem Anbieter onepagebooking[.]com kooperieren – hatte ich ja gerade erst im Beitrag Neuer Betrugsversuch bei "The Breeze" über onepagebooking[.]com-Hotelbuchung? angesprochen. Aber Tropical Islands scheinen ihr eigenes Buchungssystem zu verwenden.

Tropical-Island Website-Check

Im zweiten Schritt habe ich mit Site Checker gleich mal einen Sicherheitscheck bezüglich der Webseite ausführen lassen und bekam obige Ausgabe. Die Domain ist auf keiner Black-List und scheint auch keine Malware zu verbreiten. Aber es werden einige Schwächen in Bezug auf Sicherheitsmerkmale aufgeführt. Es gibt keinen Schutz gegen Cross-Site-Scripting-Angriffen.

Und noch unschöner: Laut Prüfbericht übertragen Formularseiten manche Eingaben per URL mittels HTTP an den Server. Im Quellcode habe ich einen SVG-Container gesehen, der die Schema-Definitionen per http übermittelt. Ob es da einen "Hebel" zum Abgreifen von Daten gibt, kann ich derzeit nicht beantworten und möchte das obige Prüfergebnis auch nicht final bewerten. Aber es fällt in ein bestimmtes Bild, Vorsicht ist die Mutter der Porzellankiste.

Ein Leserhinweis auf Betrugsversuche

Blog-Leser Marcel H. hat mich bereits zum 30. April 2026 per E-Mail unter dem Betreff "Datenabfluss Tropical Island?" kontaktiert (ist wegen 1. Mai und langem Wochenende etwas liegen geblieben). Marcel schrieb:

Ich wollte auch mal ggf. etwas dazu beitragen, ich bin auf einen Facebook Beitrag gestoßen und die Kommentare sprechen für sich.

Hier scheinen aktuell einige Menschen von dubiosen Handynummern kontaktiert worden zu sein, jedoch immer mit korrekten Buchungsdaten von tropical Island.

Die Betreiber halten sich aktuell noch sehr bedeckt laut Kommentaren und "prüfen den Sachverhalt", ich befürchte aber dass hier noch mehr kommen wird und wollte deshalb schon mal drauf aufmerksam machen.

An dieser Stelle danke an den Leser für den Hinweis. Da ich keine Facebook-Posts hier im Blog verlinke, eine kurze Zusammenfassung des Sachverhalts. Nachfolgender Screenshot zeigt einen Beitrag aus einer Facebook-Seite "We love Tropical Islands", wo eine Person über einen "merkwürdigen Sachverhalt" berichtet.

Tropical-Island Scam

Es gab wohl einen Kontaktversuch via WhatsApp-Nachricht (hier aus Brasilien). Eine angebliche Check-in-Managerin verlangt für die Reservierung auf "Tropical Island" (beachtet das Singular) die obligatorische Überprüfung der "Gästedaten". Das sei auch bei bezahlten Reservierungen erforderlich und werde kostenlos durchgeführt. Es ist ein Link für einen "Hotel-Support-Chat" gepostet worden. Zum Post gibt es eine Reihe Antworten, wo die Leute bestätigen, ebenfalls kontaktiert worden zu sein (die Masche läuft seit Wochen).

Tropical-Island WhatsApp-Betrugsversuch

Obiger Screenshot zeigt eine vollständige WhatsApp-Nachricht mit dem Betrugsversuch. Die Leute sollen per Chat dazu verleitet werden, persönliche (Kreditkarten-)Daten  zur angeblichen Verifizierung rauszugeben. Das erinnerte mich sofort an meinen Beitrag Neuer Betrugsversuch bei "The Breeze" über onepagebooking[.]com-Hotelbuchung?, wenn es auch (wegen der Buchungsplattform) etwas anders gelagert ist.

Der Kommentarbereich der Facebook-Seite enthält sehr viele Antworten, u.a. mit dem Vorwurf, dass die Tropical Islands-Webseite gehackt wurde. Lässt sich von hier aus nicht eindeutig beantworten – es könnte auch ein Cross-Site-Scripting-Angriff im Browser der Benutzer sein, wenn deren Systeme kompromittiert sind. Vom Betreiber der Webseite Tropical Islands gibt es folgende Stellungnahme:

Hallo liebe xxxx!
Danke für deine Nachricht. Das ist keine Nachricht vom Tropical Islands, sondern fake. Wir nutzen WhatsApp nicht als Kommunikationsform und würden darüber auch keine Buchungsbestätigungen versenden.
Bitte melde die Nummer und pass auf dich auf.

Also auf der einen Seite ein klarer Hinweis, dass die Nachricht ein Betrugsversuch sei. Auf der anderen Seite kein Hinweis, was dahinter steckt. Ich habe mal im Internet gesucht, aber nicht wirklich was richtiges gefunden. Der Betreiber warnt in diesem Artikel vor Fake Tropical Islands-Ticket-Apps. Aber sonst habe ich auf die Schnelle nichts gefunden. Ich habe mal eine Presseanfrage an den Betreiber gestellt, ob er mehr Aufklärung leisten kann oder will. Denn es steht die Frage im Raum, wie die Betrüger an die Telefonnummern der Opfer kommen, um per WhatsApp Kontakt aufzunehmen?

Die Buchungsbranche hat ein Problem!

Eigentlich sind Online-Buchungen ja komfortabel und liegen im Trend der Zeit. Inzwischen bemüht man sogar Jürgen Klopp für Werbung, wie günstig Hotelbuchungen bei einem bestimmten Anbieter sind. Nun ja, manches ist dämlich und anderes ist saudämlich – you get, what you pay for.

Aber die Branche der Online-Buchungen hat inzwischen ein echtes Problem, die Sicherheit für Kunden ist "unter aller Sau". Du weißt bei einer Online-Buchung schlicht nicht mehr, ob Du nicht einem Fake aufsitzt. Hinzu kommen technische Unzulänglichkeiten bei den Buchungsabläufen.

  • Bei booking.com ist es so, dass bei Angeboten, wo die Buchung beim Hotel bezahlt wird, eine Sicherheitsleistung gefordert wird. Dort werden nur Kreditkartendaten akzeptiert. Gebe ich bei booking.com PayPal zur Begleichung der Buchung "einige Tage vor der Ankunft" an, scheitert die Belastung regelmäßig und die Buchung wird ohne Eingriff storniert. Erlaube ich eine sofortige Zahlung mittels PayPal, klappt die Buchung und Belastung. Das ist aus Kundensicht "sau-dämlich", booking.com fliegt seit dem bei mir bei Buchungen regelmäßig raus.
  • Beim Anbieter Anbieter traum-ferienwohnungen.de kam es zu einem Hack und  Betrugsversuchen (siehe Artikellinks am Beitragsende). Bei eigenen Buchungen habe ich dann die Vermieter über separate Kanäle kontaktiert und bestätigen lassen, dass die korrekten Bankdaten angegeben waren. Aber wie stellst Du sicher, dass Du nicht auf eine Telefonnummer eines Scammers hereinfällst?
  • Beim Anbieter kurz-mal-weg.de musste ich feststellen, dass mir die Buchungsbestätigungen der Unterkunft nicht per E-Mail vom Anbieter zugingen – E-Mail-Anfragen blieben unbeantwortet. Ich hatte mir den Buchungscode ausgedruckt und dann direkt beim Hotel nachgefragt, um eine Bestätigung der Buchung mit Details zu erhalten.
  • Die Plattform onepagebooking[.]com steht seit einiger Zeit im Fokus von Betrugsversuchen (siehe die Artikellinks am Beitragsende) und Tropical Islands ist der nächste mutmaßliche Fall, wo Dritte auf Buchungseinträge zugreifen können.

Für mich lautet der Schluss, dass diese ganzen Konstruktionen schlicht kaputt sind. Selbst wenn eine Plattform es halbwegs hin, sicherheitstechnisch gut aufgestellt zu sein: Tausende Hotels und Gastgeber hängen mit teilweise kompromittierten Systemen an diesen Plattformen und sorgen u.U. dafür, dass Scammer leichtes Spiel haben.

AI-gestützte Betrugsversuche im Kommen

Mir liegt noch ein recht aktueller Pressetext Stolen Booking.com Data Will Fuel a New Wave Of AI-Powered Scams von Ende April 2026 vor. Dort warnt der Datenschutzdienstleister Incogni Reisende vor einer Zunahme gezielter Social-Engineering-Angriffe, die auf "gestohlenen booking.com-Daten" aufsetzen.

Während Booking.com bestätigt habe, dass Finanzdaten weiterhin sicher seien, haben sich unbefugte Dritte Zugang zu kritischen personenbezogenen Daten verschafft. Darunter  befinden sich Namen, E-Mail-Adressen, Telefonnummern und spezifische Buchungsdetails der Gäste, die für Cyberkriminelle als wertvoller "Anker" dienen. Durch die Kombination dieser spezifischen Reiseabsicht mit Informationen, die auf "Personensuch"-Websites und in Datenbroker-Datenbanken leicht verfügbar sind, können Hacker hyper-personalisierte Phishing-Angriffe starten, die von legitimen Mitteilungen kaum zu unterscheiden sind.

Untersuchungen von Incogni zeigen, dass die Daten eines durchschnittlichen Verbrauchers bei Dutzenden, wenn nicht Hunderten von Datenbrokern gespeichert sind. Wenn ein Datenleck wie der Vorfall bei Booking.com auftritt, nutzen Angreifer automatisierte Tools, um durchgesickerte E-Mail-Adressen mit physischen Adressen, Telefonnummern und familiären Verbindungen abzugleichen, die in den Datenbanken der Broker zu finden sind.

Dieser als „Datentriangulation" bezeichnete Prozess verwandelt ein geringfügiges Datenleck in ein erhebliches Risiko für Identitätsdiebstahl. "Die eigentliche Gefahr besteht darin, wie Hacker diese Daten nutzen, um Ihre Identität mithilfe von Informationen aus Personensuchseiten zu triangulieren. Eine an einen Betrüger durchgesickerte Hotelreservierung ist das fehlende Puzzleteil, das es ihm ermöglicht, Ihre Skepsis zu umgehen und Zugriff auf Ihre sensibelsten Konten zu erlangen", sagte Darius Belejevas, Datenschutzexperte und Leiter von Incogni. Die haben hier was zu publiziert.

Die Cybersicherheitsexperten von Incogni raten Reisenden mit anstehenden Buchungen dringend, nachfolgende Sicherheitscheckliste zu befolgen:

  • Klicken Sie niemals auf Zahlungslinks in Nachrichten: Seien Sie äußerst vorsichtig bei "dringenden" E-Mails zu anstehenden oder vergangenen Buchungen, selbst wenn darin Ihr konkretes Hotel oder Ihr Check-in-Datum genannt wird.
  • Wenn Sie aufgefordert werden, die „Zahlung erneut zu bestätigen" oder Ihre „Identität zu verifizieren", klicken Sie nicht auf den Link.
  • Nutzen Sie nur die offizielle App oder Website: Bestätigen Sie Buchungsdetails und Zahlungsstatus ausschließlich direkt in Ihrem offiziellen Booking.com-Konto.
  • Überprüfen Sie die Angaben direkt: Wenn Sie eine dringende Nachricht erhalten, suchen Sie die Telefonnummer des Hotels selbstständig über Google Maps oder dessen offizielle Website und rufen Sie dort an.
  • Aktivieren Sie 2FA: Stellen Sie sicher, dass die Zwei-Faktor-Authentifizierung auf allen Ihren Reisekonten aktiviert ist.

Und der wichtigste Ratschlag, lautet, die eigenen digitalen Spuren zu löschen und sich vor gezielten Social-Engineering-Angriffen zu schützen. Dazu gehöre, die Kontaktdaten aus öffentlichen Datenbroker-Listen entfernen (wie dies funktionieren soll, bleibt mir allerdings schleierhaft, da die Daten inzwischen extrem verbreitet sind und auch im Darknet gehandelt werden).

Der Tipp lautet, es Betrügern zu erschweren, einen per SMS oder gezielten E-Mails zu erreichen – sei es manuell oder über automatisierte Dienste. Hier habe ich den Vorteil, nicht über WhatsApp zu verfügen. Aber die Plattformen verlangen immer häufiger eine Eingabe einer Mobilfunknummer bei der Buchung, die sich ohne Angabe nicht abschließen lässt. Es gilt für den gesamte Branche aus meiner Sicht der Ansatz "dämlicher geht's (n)immer", was die Implementierung von Buchungsseiten betrifft. Was vor Jahren mal als die große Chance und Komfort galt, per Internet seine Buchungen vornehmen und Angebote vergleichen zu können, entpuppt sich als Achillesferse der Branche.

Zunahme der Reservation Hijack-Betrugsmasche

Die Spezialisten von Norton warnen in einer mir vom April 2026 vorliegenden Meldung, dass mit der näher rückenden Hauptreisezeit im Sommer eine neue, ungewöhnliche Betrugsmasche zunehme: Die Täter warten, bis die Reise gebucht wurde, und fordern anschließend dringende Nachzahlungen.

Beim sogenannten "Reservation Hijack" infiltrieren Kriminelle etablierte Plattformen wie Booking.com und kontaktieren Gäste direkt über (die offiziellen) Chat-Kanäle, mit echten Buchungsdaten, korrektem Hotelnamen, den richtigen Reisedaten, sogar der Zahlungshistorie. Die Nachricht wirkt wie eine legitime Nachricht vom Hotel. Die Forderung: eine dringende Nachzahlung, sonst verfällt die Reservierung. Klingt doch ähnlich wie das, was ich weiter oben skizziert habe.

Martin Chlumecky, Malware Researcher bei Norton, beobachtet seit Monaten, wie sich diese Angriffe von breit gestreuten Phishing-Mails hin zu hochgradig personalisierten Social-Engineering-Attacken entwickeln. Der entscheidende Unterschied zu klassischem Phishing: Es gibt keine verdächtige Absenderadresse, keinen generischen Text und für viele Reisende keinen offensichtlichen Grund zur Skepsis.

Für den durchschnittlichen Kunden ist es aus meiner Sicht heute kaum mehr zu beurteilen, ob er gerade ein Angebot bei einem seriösen Anbieter bucht, auf eine Fake-Anzeige hereinfällt oder mit einer gehackten Buchungsseite interagiert. Oder wie beurteilt ihr das aus eurer Sicht? Bin ich mal wieder zu hart mit meinem Urteil, oder ist die Prämisse zutreffend?

Ähnliche Artikel:
Booking.com von Cyberangreifern missbraucht – Phishing und Malware verschickt
Booking.com: Raffiniertes Phishing, Spam-Welle wegen Datenreichtum und ein Leak
Booking.com Konten wieder gehackt? Empfehlung zum Passwortwechsel
Vorsicht Betrug: Anbieter traum-ferienwohnungen.de gehackt?
WhatsApp-Phishing: Gibt es ein Leck bei Buchungsplattform onepagebooking.com?
Neuer Betrugsversuch bei "The Breeze" über onepagebooking[.]com-Hotelbuchung?

 

Dieser Beitrag wurde unter Internet, Sicherheit abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen für den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros. Kommentare abseits des Themas bitte unter Diskussion. Kommentare, die gegen die Regeln verstoßen, werden rigoros gelöscht.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.