com hat die sensiblen Buchungsdaten zahlender Kunden preisgegeben und eine Welle gezielter Betrugsangriffe ausgelöst. Der weltgrößte Reisevermittler aus Amsterdam warnt Reisende vor gefälschten Zahlungsaufforderungen, die auf den gestohlenen Informationen basieren.
Gestohlene Buchungsdaten als Türöffner für Betrüger
Die Sicherheitslücke ermöglichte es Unbefugten, auf persönliche Informationen wie Namen, E-Mail- und Postadressen sowie Telefonnummern zuzugreifen. Auch spezielle Gästewünsche oder Check-in-Notizen, die zwischen Reisenden und Unterkünften ausgetauscht wurden, waren potenziell einsehbar. Das Unternehmen betont, dass seine Kern-Zahlungssysteme nicht kompromittiert wurden und Kreditkartendaten sicher seien.
Rekordschäden durch Phishing zeigen, wie professionell Cyberkriminelle heute psychologische Manipulationstaktiken einsetzen, um an sensible Daten zu gelangen. Dieser kostenlose Ratgeber hilft Ihnen, betrügerische Methoden frühzeitig zu entlarven und sich effektiv vor Hacker-Angriffen zu schützen. Kostenloses Anti-Phishing-Paket jetzt herunterladen
Doch genau die kontextreichen Reisedaten – Hotelname, Aufenthaltsdaten, Preis – machen den Diebstahl so gefährlich. Betrüger nutzen sie, um täuschend echte Phishing-Nachrichten zu verfassen. Diese erreichen Reisende per E-Mail oder WhatsApp, oft kurz vor der Abreise, und fordern unter einem Vorwand zur sofortigen Zahlung auf. Für viele Opfer wirken die Nachrichten aufgrund der korrekten Details absolut legitim.
„ClickFix“-Methode: Neue Angriffswelle auf Hotellerie
Der Vorfall fällt mit einer gefährlichen Neuausrichtung von Cyberkriminellen zusammen. Sicherheitsforscher beobachten eine als „ClickFix“ bekannte Technik. Dabei werden gefälschte E-Mails versendet, die Hotelmitarbeiter oder Gäste auf eine manipulierte Fehler- oder Verifizierungsseite locken. Unter dem Vorwand, ein technisches Problem zu beheben, werden die Opfer dazu gebracht, Tastenkombinationen auszuführen, die schädliche Skripte starten.
Gelingt es Angreifern so, ein Hotelpartner-Konto zu übernehmen, können sie Gäste direkt über das offizielle Booking.com-Partnernetzwerk kontaktieren. Diese Nachrichten stammen dann aus der echten Plattform und sind kaum noch von legitimer Kommunikation zu unterscheiden. Der Reisesektor ist aufgrund des hohen Transaktionsvolumens und des zeitkritischen Charterers von Buchungen ein primäres Ziel für solche Angriffe.
KI und regulatorischer Druck verschärfen die Lage
Die Bedrohungslage wird durch den Einsatz generativer Künstlicher Intelligenz (KI) zusätzlich verschärft. Cyberkriminelle nutzen KI-Tools, um personalisierte Phishing-Nachrichten in perfektem Deutsch und anderen Sprachen zu generieren. Traditionelle Warnsignale wie schlechte Grammatik fallen damit weg. Booking.com selbst verzeichnete zuletzt einen Anstieg solcher Angriffe um bis zu 900 Prozent.
Da jährlich Millionen von Online-Konten gehackt werden, raten IT-Experten dringend dazu, klassische Passwörter durch sicherere Alternativen zu ersetzen. Erfahren Sie in diesem Gratis-Report, wie Sie die neue Passkey-Technologie nutzen, um Phishing und Datenklau bei Diensten wie WhatsApp oder Amazon einen Riegel vorzuschieben. Kostenlosen Report zur passwortlosen Anmeldung sichern
Der Vorfall rückt auch die regulatorischen Pflichten des Konzerns in den Fokus. Nach der EU-Datenschutz-Grundverordnung (DSGVO) müssen erhebliche Datenpannen innerhalb von 72 Stunden gemeldet werden. Bereits 2018 musste Booking.com eine Geldstrafe von 475.000 Euro zahlen, weil die Meldung eines Verstoßes mit über 4.000 Betroffenen 22 Tage zu spät erfolgte.
Was Reisende jetzt tun sollten
Cybersicherheitsexperten raten allen Reisenden zu erhöhter Wachsamkeit, unabhängig davon, ob sie eine Benachrichtigung erhalten haben. Die wichtigste Regel: Nie Zahlungsinformationen über Links in E-Mails oder SMS preisgeben, selbst wenn der Absender vertrauenswürdig erscheint. Bei verdächtigen Anfragen sollte der Kundenservice stets direkt über die offizielle Website oder App kontaktiert werden.
Aus der Branche kommen Forderungen nach strengeren Sicherheitsvorkehrungen. Dazu gehören die verpflichtende Einführung einer Zwei-Faktor-Authentifizierung (2FA) für alle Hotelpartner-Konten und verbesserte Sicherheitsstandards für die Schnittstellen (APIs), über die Buchungsdaten fließen. Für einen Konzern mit über 1,1 Milliarden gebuchten Übernachtungen pro Jahr bleibt die Angriffsfläche gewaltig – und der Schutz der Kundendaten eine zentrale Herausforderung.
