Reiseunternehmen versichern gerne, dass Ihre Daten sicher sind. Booking.com hat gerade allen vor Augen geführt, warum dieses Versprechen so schwer einzuhalten ist.
Der in Amsterdam ansässige Buchungsriese informierte seine Kunden am 13. April darüber, dass „unbefugte Dritte“ Zugriff auf die Reservierungsdaten von Gästen erlangt hätten. Zu den kompromittierten Daten gehören Buchungsdetails, Namen, E-Mail-Adressen, Anschriften und Telefonnummern – im Grunde alles, was man benötigt, um sich überzeugend als Hotel auszugeben, das einen Gast kontaktiert.
Die Kriminellen scheinen sich Zugang zu den Daten verschafft zu haben, indem sie die Hotelpartner von Booking.com kompromittierten. Ein Bericht von Microsoft macht die Phishing-Technik „ClickFix“ dafür verantwortlich, bei der die Opfer (in diesem Fall Hotelmitarbeiter) dazu verleitet werden, Malware zu installieren, die als „Reparaturprogramm“ für den Computer getarnt ist.
Microsoft macht eine kriminelle Gruppe namens Storm-1865 für den Vorfall verantwortlich und hat festgestellt, dass diese genau diese Art von Kampagne gegen Hotelangestellte in ganz Nordamerika, Ozeanien, Süd- und Südostasien sowie Europa durchführte, wobei sie über gefälschte CAPTCHA-Seiten bösartige Malware wie XWorm und VenomRAT verbreitete.
In einer Kundenmitteilung von Booking.com wurde darauf hingewiesen, dass die offengelegten Daten für Phishing-Angriffe missbraucht werden könnten, und betont, dass das Unternehmen niemals nach sensiblen Daten oder Banküberweisungen fragen würde.
Betrüger verfügen jedoch über bewährte Methoden, um gestohlene Buchungsdaten in Bargeld umzuwandeln. Sie können eine Reservierung an sich reißen, indem sie sich als Hotel ausgeben, und Gäste anschreiben, um eine zusätzliche Zahlung oder Kreditkartendaten zur „Zahlungsüberprüfung“ zu verlangen. Die gestohlenen Daten liefern ihnen alles, was sie brauchen, um den Hotelgast davon zu überzeugen, dass sie seriös sind.
Die britische Betrugsbekämpfungsstelle „Action Fraud“ erhielt zwischen Juni 2023 und September 2024 532 Meldungen über ähnliche Betrugsfälle bei Booking.com, bei denen den Opfern ein Schaden in Höhe von 370.000 £ (rund 470.000 $) entstand.
Das ist Partnern und Kunden von Booking.com bereits zuvor passiert. Im Jahr 2018 haben Kriminelle Hotelmitarbeiter per Phishing überlistet und sich Zugang zu Daten von Booking.com-Kunden verschafft. Im Laufe desselben Jahres führten Betrüger zudem eine Voice-Phishing-Kampagne durch, die sich gegen 40 Hotels in den Vereinigten Arabischen Emiraten richtete. Dabei wurden Daten von über 4.000 Kunden gestohlen, darunter Kreditkartendaten von 300 Personen. Booking.com meldete den Vorfall verspätet an die niederländische Datenschutzbehörde, die im Jahr 2021 eine Geldstrafe in Höhe von 475.000 € (rund 560.000 $) verhängte.
Das immer wiederkehrende Problem mit Datenschutzverletzungen in der Reisebranche
Verstöße dieser Art sind in der Reisebranche an der Tagesordnung. Im Januar 2026 gab Eurail einen Datenleck bekannt, bei dem Passnummern, Adressen und bei einigen Reisenden auch Kopien von Ausweisdokumenten und Gesundheitsdaten offengelegt wurden. Bei KLM und Air France wurden im August 2025 Kundendaten gestohlen. Hertz, Dollar und Thrifty waren alle von der Ausnutzung der Dateiübertragungssoftware Cleo durch die Cl0p-Bande betroffen, wobei Kriminelle Führerscheine und Kreditkartendaten entwendeten.
Das Interessante an all diesen Vorfällen ist, dass es sich – ähnlich wie beim Datenklau bei Booking.com – in allen Fällen um Angriffe auf Dritte handelt und nicht auf die Reiseveranstalter selbst. Die Reisebranche verfügt über riesige Bestände an Passnummern, Zahlungskartendaten und Reiseplänen. Und ihre Sicherheitslage, die durch weitverzweigte Lieferketten, Franchise-Betriebe und Plattformen von Drittanbietern geprägt ist, macht sie zu einem leichten Ziel.
Was Sie tun können
Wie viele Kunden waren davon betroffen? Booking.com macht dazu keine Angaben. Für eine Plattform mit über 100 Millionen aktiven Nutzern der mobilen App und 500 Millionen Website-Besuchen pro Monat ist dieses Schweigen besorgniserregend.
Wenn Sie Booking.com kürzlich genutzt haben, finden Sie hier einen praktischen Leitfaden zum Thema Sicherheit. Vertrauen Sie keinen Nachrichten, in denen Sie aufgefordert werden, Ihre Zahlungsdaten zu „bestätigen“, auch wenn diese über die Plattform selbst eingehen.
Hier sind die Empfehlungen von Booking.com zu diesen Betrugsmaschen, die vor diesem jüngsten Vorfall veröffentlicht wurden:
„Wenn keine Vorauszahlungsbedingungen oder Anzahlungsvorschriften angegeben sind, Sie aber dennoch aufgefordert werden, im Voraus zu zahlen, um Ihre Buchung zu sichern, handelt es sich wahrscheinlich um einen Betrugsversuch.“
Überprüfen Sie in Ihrer Buchungsbestätigungs-E-Mail, welchen Betrag Sie tatsächlich wann zahlen müssen. Sollte Ihnen etwas seltsam vorkommen, wenden Sie sich direkt an die Unterkunft, anstatt über einen Link, den Ihnen jemand geschickt hat. Und behalten Sie Ihre Kontoauszüge im Auge. Die Betrüger, die solche Daten missbrauchen, schlagen nicht immer sofort zu.
Stimmt da etwas nicht? Überprüfen Sie es, bevor Sie klicken.
Mit Malwarebytes Guardkönnen Sie verdächtige Links, Texte und Screenshots sofort überprüfen.
Erhältlich mitMalwarebytes Premium für alle Ihre Geräte sowie in derMalwarebytes für iOS Android.
