![\"Sicherheit](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" "\\"Sicherheit")
Gibt es beim Betreiber des Wasserparks Tropical Islands ein Sicherheitsproblem bzw. einen Datenabfluss? Derzeit sind ja Betrugsversuche im Bereich Buchungsplattformen f\u00fcr Hotels und Freizeiteinrichtungen am kommen. Ein Leser hat mich auf F\u00e4lle von Betrugsversuchen bei Tropical Islands hingewiesen, wo Dritte wohl Zugriff auf Buchungsdaten haben.<\/p>\n
<\/p>\n
Ich habe mal deren Webseite<\/a> aufgerufen – im Kopf der Seite erscheint bereits ein Banner (siehe obigen Screenshot) mit dem Text \"Sicherheitshinweis:<\/b> Wir nutzen kein WhatsApp. Nachrichten in unserem Namen dort sind betr\u00fcgerisch \u2014 keine Links klicken, keine Daten teilen.\". Das klingt nach \"Problemen\", die die Besucher des Online-Angebots haben – und ich habe gleich mal zwei Sachen \u00fcberpr\u00fcft.<\/p>\n Daher bin ich auf der Seite in den Buchungsprozess gegangen, um zu sehen, ob mir dort etwas auff\u00e4llt. Im Hinterkopf war die Frage, ob Tropical Islands mit dem Anbieter\u00a0onepagebooking[.]com kooperieren – hatte ich ja gerade erst im Beitrag Neuer Betrugsversuch bei \"The Breeze\" \u00fcber onepagebooking[.]com-Hotelbuchung?<\/a> angesprochen. Aber Tropical Islands scheinen ihr eigenes Buchungssystem zu verwenden.<\/p>\n Im zweiten Schritt habe ich mit\u00a0Site Checker<\/a> gleich mal einen Sicherheitscheck bez\u00fcglich der Webseite ausf\u00fchren lassen und bekam obige Ausgabe<\/a>. Die Domain ist auf keiner Black-List und scheint auch keine Malware zu verbreiten. Aber es werden einige Schw\u00e4chen in Bezug auf Sicherheitsmerkmale aufgef\u00fchrt. Es gibt keinen Schutz gegen Cross-Site-Scripting-Angriffen.<\/p>\n Und noch unsch\u00f6ner: Laut Pr\u00fcfbericht \u00fcbertragen Formularseiten manche Eingaben per URL mittels HTTP an den Server. Im Quellcode habe ich einen SVG-Container gesehen, der die Schema-Definitionen per http \u00fcbermittelt. Ob es da einen \"Hebel\" zum Abgreifen von Daten gibt, kann ich derzeit nicht beantworten und m\u00f6chte das obige Pr\u00fcfergebnis auch nicht final bewerten. Aber es f\u00e4llt in ein bestimmtes Bild, Vorsicht ist die Mutter der Porzellankiste.<\/p>\n Blog-Leser Marcel H. hat mich bereits zum 30. April 2026 per E-Mail unter dem Betreff \"Datenabfluss Tropical Island?<\/em>\" kontaktiert (ist wegen 1. Mai und langem Wochenende etwas liegen geblieben). Marcel schrieb:<\/p>\n Ich wollte auch mal ggf. etwas dazu beitragen, ich bin auf einen Facebook Beitrag gesto\u00dfen und die Kommentare sprechen f\u00fcr sich.<\/p>\n Hier scheinen aktuell einige Menschen von dubiosen Handynummern kontaktiert worden zu sein, jedoch immer mit korrekten Buchungsdaten von tropical Island.<\/p>\n Die Betreiber halten sich aktuell noch sehr bedeckt laut Kommentaren und \"pr\u00fcfen den Sachverhalt\", ich bef\u00fcrchte aber dass hier noch mehr kommen wird und wollte deshalb schon mal drauf aufmerksam machen.<\/p><\/blockquote>\n An dieser Stelle danke an den Leser f\u00fcr den Hinweis. Da ich keine Facebook-Posts hier im Blog verlinke, eine kurze Zusammenfassung des Sachverhalts. Nachfolgender Screenshot zeigt einen Beitrag aus einer Facebook-Seite \"We love Tropical Islands\", wo eine Person \u00fcber einen \"merkw\u00fcrdigen Sachverhalt\" berichtet.<\/p>\n Es gab wohl einen Kontaktversuch via WhatsApp-Nachricht (hier aus Brasilien). Eine angebliche Check-in-Managerin verlangt f\u00fcr die Reservierung auf \"Tropical Island\" (beachtet das Singular) die obligatorische \u00dcberpr\u00fcfung der \"G\u00e4stedaten\". Das sei auch bei bezahlten Reservierungen erforderlich und werde kostenlos durchgef\u00fchrt. Es ist ein Link f\u00fcr einen \"Hotel-Support-Chat\" gepostet worden. Zum Post gibt es eine Reihe Antworten, wo die Leute best\u00e4tigen, ebenfalls kontaktiert worden zu sein (die Masche l\u00e4uft seit Wochen).<\/p>\n Obiger Screenshot zeigt eine vollst\u00e4ndige WhatsApp-Nachricht mit dem Betrugsversuch. Die Leute sollen per Chat dazu verleitet werden, pers\u00f6nliche (Kreditkarten-)Daten\u00a0 zur angeblichen Verifizierung rauszugeben.\u00a0Das erinnerte mich sofort an meinen Beitrag Neuer Betrugsversuch bei \"The Breeze\" \u00fcber onepagebooking[.]com-Hotelbuchung?<\/a>, wenn es auch (wegen der Buchungsplattform) etwas anders gelagert ist.<\/p>\n Der Kommentarbereich der Facebook-Seite enth\u00e4lt sehr viele Antworten, u.a. mit dem Vorwurf, dass die Tropical Islands-Webseite gehackt wurde. L\u00e4sst sich von hier aus nicht eindeutig beantworten – es k\u00f6nnte auch ein Cross-Site-Scripting-Angriff im Browser der Benutzer sein, wenn deren Systeme kompromittiert sind. Vom Betreiber der Webseite Tropical Islands gibt es folgende Stellungnahme:<\/p>\n Also auf der einen Seite ein klarer Hinweis, dass die Nachricht ein Betrugsversuch sei. Auf der anderen Seite kein Hinweis, was dahinter steckt. Ich habe mal im Internet gesucht, aber nicht wirklich was richtiges gefunden. Der Betreiber warnt in diesem Artikel<\/a> vor Fake Tropical Islands-Ticket-Apps. Aber sonst habe ich auf die Schnelle nichts gefunden. Ich habe mal eine Presseanfrage an den Betreiber gestellt, ob er mehr Aufkl\u00e4rung leisten kann oder will. Denn es steht die Frage im Raum, wie die Betr\u00fcger an die Telefonnummern der Opfer kommen, um per WhatsApp Kontakt aufzunehmen?<\/p>\n Eigentlich sind Online-Buchungen ja komfortabel und liegen im Trend der Zeit. Inzwischen bem\u00fcht man sogar J\u00fcrgen Klopp f\u00fcr Werbung, wie g\u00fcnstig Hotelbuchungen bei einem bestimmten Anbieter sind. Nun ja, manches ist d\u00e4mlich und anderes ist saud\u00e4mlich – you get, what you pay for.<\/p>\n Aber die Branche der Online-Buchungen hat inzwischen ein echtes Problem, die Sicherheit f\u00fcr Kunden ist \"unter aller Sau\". Du wei\u00dft bei einer Online-Buchung schlicht nicht mehr, ob Du nicht einem Fake aufsitzt. Hinzu kommen technische Unzul\u00e4nglichkeiten bei den Buchungsabl\u00e4ufen.<\/p>\n F\u00fcr mich lautet der Schluss, dass diese ganzen Konstruktionen schlicht kaputt sind. Selbst wenn eine Plattform es halbwegs hin, sicherheitstechnisch gut aufgestellt zu sein: Tausende Hotels und Gastgeber h\u00e4ngen mit teilweise kompromittierten Systemen an diesen Plattformen und sorgen u.U. daf\u00fcr, dass Scammer leichtes Spiel haben.<\/p>\n Mir liegt noch ein recht aktueller Pressetext Stolen Booking.com Data Will Fuel a New Wave Of AI-Powered Scams <\/em>von Ende April 2026 vor. Dort warnt der Datenschutzdienstleister Incogni Reisende vor einer Zunahme gezielter Social-Engineering-Angriffe, die auf \"gestohlenen booking.com-Daten\" aufsetzen.<\/p>\n W\u00e4hrend Booking.com best\u00e4tigt habe, dass Finanzdaten weiterhin sicher seien, haben sich unbefugte Dritte Zugang zu kritischen personenbezogenen Daten verschafft. Darunter\u00a0 befinden sich Namen, E-Mail-Adressen, Telefonnummern und spezifische Buchungsdetails der G\u00e4ste, die f\u00fcr Cyberkriminelle als wertvoller \"Anker\" dienen. Durch die Kombination dieser spezifischen Reiseabsicht mit Informationen, die auf \"Personensuch\"-Websites und in Datenbroker-Datenbanken leicht verf\u00fcgbar sind, k\u00f6nnen Hacker hyper-personalisierte Phishing-Angriffe starten, die von legitimen Mitteilungen kaum zu unterscheiden sind.<\/p>\n Untersuchungen von Incogni zeigen, dass die Daten eines durchschnittlichen Verbrauchers bei Dutzenden, wenn nicht Hunderten von Datenbrokern gespeichert sind. Wenn ein Datenleck wie der Vorfall bei Booking.com auftritt, nutzen Angreifer automatisierte Tools, um durchgesickerte E-Mail-Adressen mit physischen Adressen, Telefonnummern und famili\u00e4ren Verbindungen abzugleichen, die in den Datenbanken der Broker zu finden sind.<\/p>\n Dieser als \u201eDatentriangulation\" bezeichnete Prozess verwandelt ein geringf\u00fcgiges Datenleck in ein erhebliches Risiko f\u00fcr Identit\u00e4tsdiebstahl. \"Die eigentliche Gefahr besteht darin, wie Hacker diese Daten nutzen, um Ihre Identit\u00e4t mithilfe von Informationen aus Personensuchseiten zu triangulieren. Eine an einen Betr\u00fcger durchgesickerte Hotelreservierung ist das fehlende Puzzleteil, das es ihm erm\u00f6glicht, Ihre Skepsis zu umgehen und Zugriff auf Ihre sensibelsten Konten zu erlangen\", sagte Darius Belejevas, Datenschutzexperte und Leiter von Incogni. Die haben hier<\/a> was zu publiziert.<\/p>\n Die Cybersicherheitsexperten von Incogni raten Reisenden mit anstehenden Buchungen dringend, nachfolgende Sicherheitscheckliste zu befolgen:<\/p>\n Und der wichtigste Ratschlag, lautet, die eigenen digitalen Spuren zu l\u00f6schen und sich vor gezielten Social-Engineering-Angriffen zu sch\u00fctzen. Dazu geh\u00f6re, die Kontaktdaten aus \u00f6ffentlichen Datenbroker-Listen entfernen (wie dies funktionieren soll, bleibt mir allerdings schleierhaft, da die Daten inzwischen extrem verbreitet sind und auch im Darknet gehandelt werden).<\/p>\n Der Tipp lautet, es Betr\u00fcgern zu erschweren, einen per SMS oder gezielten E-Mails zu erreichen \u2013 sei es manuell oder \u00fcber automatisierte Dienste. Hier habe ich den Vorteil, nicht \u00fcber WhatsApp zu verf\u00fcgen. Aber die Plattformen verlangen immer h\u00e4ufiger eine Eingabe einer Mobilfunknummer bei der Buchung, die sich ohne Angabe nicht abschlie\u00dfen l\u00e4sst. Es gilt f\u00fcr den gesamte Branche aus meiner Sicht der Ansatz \"d\u00e4mlicher geht's (n)immer\", was die Implementierung von Buchungsseiten betrifft. Was vor Jahren mal als die gro\u00dfe Chance und Komfort galt, per Internet seine Buchungen vornehmen und Angebote vergleichen zu k\u00f6nnen, entpuppt sich als Achillesferse der Branche.<\/p>\n Die Spezialisten von Norton warnen in einer mir vom April 2026 vorliegenden Meldung, dass mit der n\u00e4her r\u00fcckenden Hauptreisezeit im Sommer eine neue, ungew\u00f6hnliche Betrugsmasche zunehme: Die T\u00e4ter warten, bis die Reise gebucht wurde, und fordern anschlie\u00dfend dringende Nachzahlungen.<\/p>\n Beim sogenannten \"Reservation Hijack\" infiltrieren Kriminelle etablierte Plattformen wie Booking.com und kontaktieren G\u00e4ste direkt \u00fcber (die offiziellen) Chat-Kan\u00e4le, mit echten Buchungsdaten, korrektem Hotelnamen, den richtigen Reisedaten, sogar der Zahlungshistorie. Die Nachricht wirkt wie eine legitime Nachricht vom Hotel. Die Forderung: eine dringende Nachzahlung, sonst verf\u00e4llt die Reservierung. Klingt doch \u00e4hnlich wie das, was ich weiter oben skizziert habe.<\/p>\n Martin Chlumecky, Malware Researcher bei Norton, beobachtet seit Monaten, wie sich diese Angriffe von breit gestreuten Phishing-Mails hin zu hochgradig personalisierten Social-Engineering-Attacken entwickeln. Der entscheidende Unterschied zu klassischem Phishing: Es gibt keine verd\u00e4chtige Absenderadresse, keinen generischen Text und f\u00fcr viele Reisende keinen offensichtlichen Grund zur Skepsis.<\/p>\n F\u00fcr den durchschnittlichen Kunden ist es aus meiner Sicht heute kaum mehr zu beurteilen, ob er gerade ein Angebot bei einem seri\u00f6sen Anbieter bucht, auf eine Fake-Anzeige hereinf\u00e4llt oder mit einer gehackten Buchungsseite interagiert. Oder wie beurteilt ihr das aus eurer Sicht? Bin ich mal wieder zu hart mit meinem Urteil, oder ist die Pr\u00e4misse zutreffend?<\/p>\n \u00c4hnliche Artikel:<\/strong> <\/p>\n","protected":false},"excerpt":{"rendered":" Gibt es beim Betreiber des Wasserparks Tropical Islands ein Sicherheitsproblem bzw. einen Datenabfluss? Derzeit sind ja Betrugsversuche im Bereich Buchungsplattformen f\u00fcr Hotels und Freizeiteinrichtungen am kommen. Ein Leser hat mich auf F\u00e4lle von Betrugsversuchen bei Tropical Islands hingewiesen, wo Dritte … Weiterlesen Ich musste erst nachschauen, was hinter dem Begriff \"Tropical Islands\" steht, als ein Leser mich auf das Thema hingewiesen hat. Aber beim Stichwort \"Cargolifter\" war dann alles klar.\u00a0Tropical Islands<\/a> ist ein Wasserpark in Krausnick im brandenburgischen Landkreis Dahme-Spreewald, Deutschland. Er befindet sich seit 2004 in der Cargolifter-Luftschiffhalle, die als gr\u00f6\u00dfte freitragende Halle der Welt gilt und hatte im Jahr 2022 insgesamt 1,15 Millionen Besucher.<\/p>\n
![\"Webseite](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2026\/05\/Tropical-Island.jpg\")
<\/a><\/p>\nKurzer Sicherheitscheck der Seite<\/h2>\n
![\"Tropical-Island](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2026\/05\/Tropical-Island01.jpg\")
<\/a><\/p>\nEin Leserhinweis auf Betrugsversuche<\/h2>\n
![\"Tropical-Island](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2026\/05\/Tropical-Island02a.jpg\")
<\/p>\n![\"Tropical-Island](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2026\/05\/Tropical-Island03.jpg\")
<\/p>\n\n
\nHallo liebe xxxx!<\/div>\n<\/div>\n\nDanke f\u00fcr deine Nachricht. Das ist keine Nachricht vom Tropical Islands, sondern fake. Wir nutzen WhatsApp nicht als Kommunikationsform und w\u00fcrden dar\u00fcber auch keine Buchungsbest\u00e4tigungen versenden.<\/div>\n<\/div>\n\nBitte melde die Nummer und pass auf dich auf.<\/div>\n<\/div>\n<\/blockquote>\nDie Buchungsbranche hat ein Problem!<\/h2>\n
\n
AI-gest\u00fctzte Betrugsversuche im Kommen<\/h2>\n
\n
Zunahme der Reservation Hijack-Betrugsmasche<\/h2>\n
\nBooking.com von Cyberangreifern missbraucht \u2013 Phishing und Malware verschickt<\/a>
\nBooking.com: Raffiniertes Phishing, Spam-Welle wegen Datenreichtum und ein Leak<\/a>
\nBooking.com Konten wieder gehackt? Empfehlung zum Passwortwechsel<\/a>
\nVorsicht Betrug: Anbieter traum-ferienwohnungen.de gehackt?<\/a>
\nWhatsApp-Phishing: Gibt es ein Leck bei Buchungsplattform onepagebooking.com?<\/a>
\nNeuer Betrugsversuch bei \"The Breeze\" \u00fcber onepagebooking[.]com-Hotelbuchung?<\/a><\/p>\n