Ein erneuter schwerer Datendiebstahl bei Bastion Hotels schockiert die europäische Hotellerie. Die Attacke gleicht dem Vorfall bei Van der Valk im Vorjahr und offenbart systemische Schwächen.
Die Sicherheit von Gästedaten in der Hotellerie steht erneut im Fokus. Am 11. März 2026 wurde ein signifikanter Datendiebstahl bei der niederländischen Kette Bastion Hotels bekannt. Die Methode der Cyberkriminellen ist nahezu identisch mit dem bereits bekannten Angriff auf Van der Valk Hotels vom September 2025. Beide Vorfälle zeigen eine alarmierende Schwachstelle in Buchungssystemen und die wachsende Gefahr durch gezieltes Social Engineering. Die wiederkehrende Taktik unterstreicht eine eskalierende Krise für Hotelketten in den Niederlanden und darüber hinaus.
Der aktuelle Datendiebstahl zeigt, wie raffiniert Kriminelle persönliche Informationen für gezielte Angriffe auf Smartphones nutzen. In diesem kostenlosen Ratgeber erfahren Sie, mit welchen fünf einfachen Maßnahmen Sie Ihr Android-Gerät und Ihre Apps effektiv absichern. 5 sofort umsetzbare Schutzmaßnahmen entdecken
Der Auslöser: Bastion Hotels-Daten von 6.000 Gästen geklaut
Der konkrete Anlass für die neue Bedarfsdebatte ist der Hack bei Bastion Hotels. Nach der Entdeckung am 11. März warnte das Unternehmen umgehend seine Gäste. Niederländische Medien und Sicherheitsplattformen berichten, dass Daten von rund 6.000 Gästen gestohlen wurden. Darunter sind Namen, Telefonnummern, Adressen, Nationalitäten, Buchungsdaten und die letzten vier Ziffern von Kreditkartennummern.
Wie schon beim Vorläuferfall begann der Angriff mit einer phishing-E-Mail an einen Mitarbeiter. Ein gefälschter Link führte zu einer täuschend echten Login-Seite des internen Buchungssystems. Mit den erbeuteten Zugangsdaten drangen die Täter in Gästedatenbanken mehrerer Standorte ein – darunter Almere, Amsterdam Airport und Amersfoort.
Die Kriminellen handelten schnell: Noch am Tag der Entdeckung kontaktierten sie Gäste via WhatsApp und SMS. Sie gaben sich als Kundenservice aus und nutzten die gestohlenen Buchungsdetails, um Gäste zu täuschen. Diese wurden aufgefordert, betrügerische Zahlungen über Push-Benachrichtigungen in ihren Banking-Apps zu bestätigen.
Blaupause Van der Valk: Identische Masche von 2025
Die Ereignisse bei Bastion Hotels wirken wie eine Kopie des Van-der-Valk-Hacks vom Herbst 2025. Damals nutzten Angreifer ebenfalls ein gefälschtes Mitarbeiter-Login, um an Zugangsdaten zu gelangen. Betroffen waren Gäste von Standorten in Amsterdam Zuidas, Almere und sogar Düsseldorf.
Zwar waren laut Hotelkette damals keine vollständigen Finanzdaten direkt aus dem System entwendet worden. Doch die gestohlenen Buchungsinformationen reichten aus, um gezielte Folgeattacken zu starten. Gäste erhielten täuschend echte Nachrichten mit Verweis auf ihre konkrete Buchung und die Aufforderung, Vorauszahlungen auf betrügerische Konten zu überweisen. Das Wissen um die Reisedaten machte die Betrugsversuche besonders glaubwürdig.
Kommunikation unter der Lupe der Datenschützer
Der Umgang der Unternehmen mit den Vorfällen zeigt die komplexe regulatorische Lage nach der Datenschutz-Grundverordnung (DSGVO). Van der Valk stand 2025 in der Kritik, weil es nicht alle potenziell betroffenen Gäste proaktiv gewarnt hatte – aus Sorge vor unnötiger Beunruhigung.
Die DSGVO verpflichtet Unternehmen jedoch, Datenschutzverletzungen innerhalb von 72 Stunden zu melden. Betroffene Personen müssen informiert werden, wenn ein hohes Risiko für ihre Rechte besteht. Van der Valk ergriff nach der Entdeckung Gegenmaßnahmen: Passwörter wurden zurückgesetzt, zusätzliche Sicherheitsvorkehrungen getroffen und betrogene Gäste entschädigt.
Bastion Hotels ging nach der Entdeckung am 11. März einen anderen Weg: Das Unternehmen veröffentlichte sofort Warnungen auf seiner Website und riet Gästen, verdächtige Zahlungsaufforderungen zu ignorieren. Ein Hinweis auf einen Wandel im Krisenmanagement der Branche?
Da Hacker immer häufiger psychologische Tricks einsetzen, um Sicherheitsbarrieren in Unternehmen zu umgehen, wird proaktive Aufklärung unverzichtbar. Dieser Experten-Report enthüllt aktuelle Strategien zur Hacker-Abwehr und zeigt, wie Sie Ihre Organisation ohne Budget-Explosion schützen. Kostenlosen Cyber-Security-Report jetzt herunterladen
Phishing-as-a-Service: Die neue Bedrohung für die Hotellerie
Für Cybersicherheitsexperten deuten die frappierenden Ähnlichkeiten auf einen größeren Trend hin: Die Hotellerie ist ein primäres Ziel für sogenannte Phishing-as-a-Service-Operationen. Dabei stellen kriminelle Gruppen die Infrastruktur – wie gefälschte Login-Portale und automatisierte Nachrichtensysteme – zur Verfügung, die dann von weniger versierten Akteuren genutzt werden.
Hotels sind lukrative Ziele. Ihre Buchungssysteme enthalten wertvolle Datenkonstellationen: Selbst ohne vollständige Kreditkartennummern liefern Name, Telefon und Reisedatum den perfekten Kontext für glaubwürdige Betrugsversuche. Dass die Täter zunehmend direkt WhatsApp nutzen, umgeht zudem klassische Spam-Filter und trifft Kunden auf dem persönlichen Smartphone.
Ausblick: Mehr Sicherheit durch Zwei-Faktor-Authentifizierung?
Die aufeinanderfolgenden Angriffe auf große Hotelketten dürften eine branchenweite Überprüfung der IT-Sicherheit erzwingen. Experten betonen: Sich allein auf die Wachsamkeit der Mitarbeiter zu verlassen, reicht angesichts immer raffinierterer Phishing-Methoden nicht aus. Der menschliche Faktor bleibt das größte Einfallstor.
Künftig könnten Richtlinien eine robuste Zwei-Faktor-Authentifizierung für alle internen Systeme vorschreiben, sodass gestohlene Passwörter allein keinen Zugriff mehr gewähren. Gleichzeitig muss die Aufklärung der Gäste voranschreiten. Hotelketten etablieren zunehmend klare Kommunikationsprotokolle und weisen auf die offiziellen Absenderdomänen hin.
Unter dem Druck der Aufsichtsbehörden und mit Blick auf das verlorengehende Vertrauen der Gäste steht die Hotellerie vor einer zentralen Aufgabe: Sie muss ihre digitalen Grenzen sichern, Mitarbeiter intensiver schulen und proaktive Bedrohungserkennungssysteme einführen – bevor der nächste Skandal folgt.
