In den letzten Wochen hat ein schwerer Sicherheitsvorfall bei Booking.com für Aufsehen gesorgt und die Reisebranche aufgeschreckt. Unbefugte Dritte konnten über kompromittierte Login-Daten von Hotelpartnern auf sensible Kundendaten zugreifen. Am 13. April 2026 bestätigte das Unternehmen, dass dabei vollständige Namen, E-Mail-Adressen, Privatadressen, Telefonnummern sowie Buchungsdetails wie Hotelname und -daten entwendet wurden. Trotz der Beruhigung, dass keine Kreditkartendaten oder Passwörter betroffen waren, warnen Analysten vor den weitreichenden Folgen dieser Datenpanne, die für gezielte Betrugsangriffe genutzt werden könnten.
Cybersecurity-Forscher haben bereits beobachtet, dass Reisende unmittelbar nach dem Vorfall personalisierte WhatsApp-Nachrichten erhielten, in denen sie aufgefordert wurden, ihre Zahlungsinformationen zu bestätigen. Diese Angriffe sind besonders perfide, da sie gefälschte Zahlungsportale und raffinierte Social-Engineering-Methoden verwenden. Die Situation ist alarmierend, denn über 30 Millionen Unterkünfte sind auf der Plattform gelistet, was das Risiko für Millionen von Reisenden weltweit erhöht. Ein betroffener Nutzer berichtete sogar, dass er zwei Wochen vor der offiziellen Mitteilung über den Vorfall eine gezielte Nachricht mit seinen Buchungsdetails erhalten hatte.
Die Reaktion von Booking.com
In Reaktion auf den Vorfall hat Booking.com umgehend Maßnahmen ergriffen: Die betroffenen Buchungen wurden mit einer PIN gesichert und die entsprechenden Kunden informiert. Das Unternehmen hat auch betont, dass sie keine Kreditkartendaten anfordern würden, weder telefonisch noch über SMS oder WhatsApp. Dennoch bleibt unklar, wie viele Kunden letztlich betroffen sind und in welchen Regionen die Angriffe stattfanden. Diese Unsicherheiten schüren Ängste, da bereits 2024 ein Anstieg von Phishing-Angriffen im Reisesektor um 900 Prozent verzeichnet wurde.
Die Problematik wird durch ein Urteil eines niederländischen Berufungsgremiums verstärkt, das am 8. April 2026 erlassen wurde und die Notwendigkeit einer besseren Unterscheidung von Hotelsternen betont. Solche regulatorischen Anforderungen, die seit Mai 2024 im Rahmen der EU-Digitalmarktgesetzgebung gelten, könnten Booking.com und anderen digitalen Plattformen zusätzliche Herausforderungen bereiten. Nicht zuletzt zeigt der Vorfall die systemischen Risiken des „Plattform-zu-Partner“-Geschäftsmodells auf, das durch gezielte Angriffe auf Hotelmitarbeiter ausgenutzt wird.
Ein Blick auf die Sicherheitslage in Deutschland
Im internationalen Vergleich schnitt Deutschland bei der Reaktion auf Sicherheitsvorfälle recht gut ab. Laut einer aktuellen Studie liegt die durchschnittliche Schadenshöhe deutscher Unternehmen bei Datenlecks bei 3,87 Millionen Euro pro Vorfall. Trotz dieser relativ positiven Nachricht ist es besorgniserregend, dass 74 Prozent der Verkehrs- und Reiseunternehmen innerhalb eines Jahres von einem Sicherheitsvorfall betroffen waren. Die Ursachen für die gesunkenen Kosten liegen vor allem in der schnelleren Erkennung durch KI-gestützte Sicherheitssoftware.
Die Einführung proaktiver Sicherheitsarchitekturen, wie etwa „Identity-First“-Sicherheit und Zero-Trust-Architekturen, wird von Experten als notwendig erachtet, um solche Vorfälle künftig zu verhindern. Die Reisebranche muss wachsam bleiben, insbesondere in Zeiten, in denen Cyberangriffe professioneller und raffinierter werden. Reisende sollten unerwartete Zahlungsaufforderungen stets misstrauisch betrachten und alle Kommunikationen über offizielle Kanäle überprüfen, um sich vor den Gefahren des digitalen Zeitalters zu schützen.
Für weitere Informationen zu diesem Thema und den Auswirkungen auf die Reisebranche, besuchen Sie bitte die erste Quelle und die zweite Quelle.