Cyberkriminelle nutzen seit Mai 2026 gestohlene Buchungsdaten für gezielte Phishing-Angriffe auf Hotelgäste weltweit. Besonders in Deutschland und der Schweiz warnen Behörden wie das Bundesamt für Cybersicherheit (BACS) vor dem sogenannten „Reservation Hijack Scam“, bei dem echte Reisedaten genutzt werden, um Opfer über WhatsApp und E-Mail zu betrügerischen Zahlungen zu bewegen.
Die Zeit der plumpen Massen-Mails ist vorbei. Was wir derzeit erleben, ist eine Professionalisierung des Social Engineering, die auf einer präzisen Personalisierungsschicht basiert. Anstatt wahllos Nachrichten zu versenden, greifen die Täter auf echte, geleakte Informationen zurück. Wenn eine Nachricht den exakten Namen des Hotels, das korrekte Anreisedatum und den Namen des Gastes enthält, sinkt die natürliche Skepsis massiv. Die psychologische Hürde wird durch die Detailtreue der Angreifer schlicht überrannt.
Die Anatomie des Reservation Hijack Scams
Der Brandbeschleuniger für die aktuelle Welle war ein schwerwiegendes Datenleck im April 2026. Laut Analysen des Sicherheitsunternehmens Norton wurden dabei Daten von Gästen aus mindestens 350 Hotels in 50 Ländern gestohlen. Diese Informationen dienen nun als Grundlage für den „Reservation Hijack Scam“, eine Methode, die darauf abzielt, die Kontrolle über die Kommunikation zwischen Hotel und Gast zu übernehmen.
Die Angreifer setzen dabei auf zwei primäre psychologische Hebel: Angst und Gier. Einerseits drohen sie mit der sofortigen Stornierung der Reservierung, falls die Kreditkartendaten nicht umgehend über einen mitgelieferten Link verifiziert werden. Andererseits locken sie mit dem sogenannten Rückerstattungstrick, bei dem den Gästen ein Abrechnungsfehler vorgegaukelt wird, um sie zur Eingabe ihrer Bankdaten zu bewegen.
Die Täter nutzen dafür eine Vielzahl von Kanälen. Während WhatsApp und SMS dominieren, werden auch die internen Nachrichtensysteme großer Buchungsplattformen infiltriert. Die Opfer landen oft in einer „Vier-Klick-Falle“: Ein QR-Code wird gescannt, ein Link angeklickt, Daten eingegeben und schließlich die Zahlung autorisiert – alles unter extremem Zeitdruck.
Die Kosten der Personalisierung: Warum Deutschland besonders betroffen ist
Die regionalen Unterschiede beim finanziellen Schaden sind frappierend. Während der weltweite Durchschnittsschaden pro Opfer bei 630 Euro liegt, verlieren Betroffene in Deutschland laut IT Boltwise im Schnitt 1.180 Euro. Das ist fast das Doppelte des globalen Durchschnitts.
Diese Diskrepanz deutet auf eine höhere Angriffsdichte und eine gefährliche Reaktionsgeschwindigkeit hin. Ein signifikanter Teil der Opfer leistet die Zahlung bereits innerhalb von 30 Minuten nach Erhalt der Nachricht. Diese „Tempo-Spirale“ zeigt, dass die automatisierte Ausspielung personalisierter Daten in Kombination mit Zeitdruck extrem effektiv funktioniert.
| Region | Durchschnittlicher Schaden |
|---|---|
| Deutschland | 1.180 Euro |
| Weltweit | 630 Euro |
Deutschland ist laut Berichten das am stärksten betroffene Land, gefolgt von Frankreich, Großbritannien, Italien, Spanien und den USA. Die Kombination aus hoher Reisebereitschaft und einer vermeintlichen Sicherheit durch korrekte Buchungsdetails macht deutsche Urlauber zu einem lukrativen Ziel.
Einbruch über die Hintertür: Kompromittierte Hotel-Accounts
Ein besonders kritischer Aspekt ist, dass die Betrüger nicht immer nur externe Daten nutzen, sondern direkt in die Systeme der Hotels eindringen. Booking.com bestätigte, dass einige Unterkunftspartner Ziel von Phishing-Angriffen wurden, die darauf abzielten, lokale Computersysteme zu übernehmen. Wenn die Kriminellen Zugriff auf das offizielle Booking-Konto eines Hotels erhalten, können sie als Hotelmitarbeiter auftreten und Gäste über das offizielle Chat-System kontaktieren.
Die Methoden zum Eindringen werden immer raffinierter. Das Cybersicherheitsunternehmen Sublime Security warnt vor „ClickFix“-Sequenzen, die Schadsoftware installieren, sowie vor CEO-Fraud, bei dem Hotelmitarbeiter durch psychologische Manipulation dazu gebracht werden, Passwörter preiszugeben. Oft tarnen sich diese Angriffe als harmlose Gästebewertungen oder Kundenanfragen.
Ein konkretes Beispiel für diese systemische Verwundbarkeit liefert die Maistra Hospitality Group in Kroatien. Das Unternehmen meldete einen Sicherheitsvorfall bei einem externen Dienstleister für Reservierungsmanagement. Betroffen waren Namen, Telefonnummern und Reservierungsdaten. Zwar wurden keine Kreditkartendaten direkt kompromittiert, doch die Daten reichen aus, um hochgradig glaubwürdige Phishing-Nachrichten via WhatsApp zu versenden.
Prävention gegen die Vier-Klick-Falle
Die einzige wirksame Verteidigung gegen diesen Angriffstyp ist ein radikaler Bruch mit dem Vertrauen in die bereitgestellten Informationen. Dass ein Absender den Namen des Hotels und das Datum der Reise kennt, ist im Jahr 2026 kein Beweis mehr für dessen Identität, sondern oft ein Indiz für einen Datenabfluss.
- Kanalprüfung: Keine Kreditkartendaten per E-Mail, Telefon, SMS oder WhatsApp übermitteln. Seriöse Hotels fordern diese Daten nicht über diese Kanäle an.
- Zahlungsabgleich: Jede Zahlungsaufforderung muss mit den Bedingungen in der ursprünglichen Buchungsbestätigung abgeglichen werden. Abweichungen sind ein klares Warnsignal.
- Direktkontakt: Bei verdächtigen Nachrichten sollte das Hotel über eine offiziell auf der Webseite hinterlegte Telefonnummer kontaktiert werden, nicht über die Antwortfunktion der Nachricht.
- Technische Hürden: Die Implementierung von Passkeys und strikten Sicherheitsmechanismen wird empfohlen, um den Zugang zu Konten zu erschweren.
Die aktuelle Lage zeigt, dass die Grenze zwischen legitimem Kundenservice und krimineller Manipulation fast unsichtbar geworden ist. Während Datenschutzbehörden in Luxemburg (CNPD) und den Niederlanden derzeit Schwachstellen in Reiseplattformen und Hotelsoftware untersuchen, bleibt die Wachsamkeit der Nutzer die letzte und wichtigste Verteidigungslinie vor dem Sommerurlaub.
