Ungeklärte Vorfälle über Booking.com's Nachrichtensystem

Veröffentlicht am 26. Juni 2025, Mira Ulz

Neuer Ärger um die Reiseplattform Booking.com: In den vergangenen Monaten häufen sich Berichte über Betrugsversuche, bei denen Kriminelle über das offizielle Nachrichtensystem von Booking.com an Zahlungsdaten der Kunden gelangen wollen. Aktuell sorgt eine Serie ungeklärter Phishing-Vorfälle in Südtirol für Aufsehen – mehrere Hotels meldeten dort, dass ihre Booking.com-Extranet-Zugänge offenbar kompromittiert und zum Versenden von Phishing-Nachrichten an Gäste missbraucht wurden (Heise, 12.06.2025). Die Ursache ist bislang unklar; eine zunächst vermutete zentrale Sicherheitslücke bei Booking.com selbst hat sich jedoch nicht bestätigt.


Booking.com betont, das eigene System sei nicht gehackt worden. Vielmehr seien einige Hotelpartner auf „sehr überzeugende Phishing-E-Mails“ hereingefallen, wodurch Cyberkriminelle sich vorübergehend Zugriff auf deren Konten verschafft hätten. Über diese geleakten Zugänge konnten die Betrüger sich dann als Unterkunft ausgeben und Gäste mit gefälschten Zahlungsaufforderungen kontaktieren. Die betrügerischen Nachrichten wirkten dabei täuschend echt, da die Angreifer auf echte Buchungs- und Kontaktdaten zugreifen konnten. In einigen Fällen nutzten sie sogar die von Booking bereitgestellten virtuellen E-Mail-Adressen der Gäste, um von außerhalb Nachrichten ins System einzuschleusen. Für die Reisenden sind solche Phishing-Mails daher oft kaum als Fälschung zu erkennen.

Altbekannte Masche – und dennoch anhaltendes Problem

Ganz neu ist diese Masche nicht. In der Vergangenheit gab es immer wieder Berichte über ähnliche Phishing-Angriffe im Zusammenhang mit Booking.com. So schafften es Betrüger etwa, sich gegenüber Hotelmitarbeitern als angebliche Gäste auszugeben und sie dazu zu bringen, einen Anhang mit Malware zu öffnen. Die Schadsoftware (z. B. Trojaner „Vidar“) spionierte die Zugangsdaten zum Booking-Extranet aus. Mit den erbeuteten Logins konnten dann glaubhafte Phishing-Nachrichten an echte Hotelgäste versandt werden – beispielsweise mit der Aufforderung, eine Anzahlung auf ein fremdes Konto zu leisten (Heise, 04.12.2023).

Bereits 2023 wurde dokumentiert, dass hinter den Angriffen offenbar organisierte Banden stecken, die systematisch Hotels ins Visier nehmen. Laut SecureWorks infizierten die Täter gezielt Hotel-Rechner mit der Malware, um an die Buchungs-Logins zu gelangen. Anschließend versenden sie die Phishing-Nachrichten direkt über die Booking-Plattform an aktuelle oder frühere Gäste der gehackten Hotels. Genau das macht diese Betrugsversuche so tückisch: Die Mails kommen über die offizielle Infrastruktur des Buchungsanbieters und enthalten korrekte Buchungsdetails, wodurch sie selbst für aufmerksame Nutzer äußerst überzeugend wirken.

Betroffene Nutzer meldeten sich denn auch seit spätestens Frühjahr 2023 massenhaft in Online-Foren zu Wort und beklagten eine scheinbare Untätigkeit des Portalbetreibers. Doch aus Sicht von Booking.com handelt es sich „nur“ um Phishing-Angriffe gegen Partnerhotels und nicht um einen direkten Angriff auf die eigene Plattform. Entsprechend sieht sich das Unternehmen weitgehend machtlos: In einer Stellungnahme Ende 2023 (The Guardian, 2023) erklärte Booking.com, weder die eigenen Backend-Systeme noch die Infrastruktur seien kompromittiert – das Problem liege bei den Hotels und deren IT-Sicherheit. Man arbeite „unermüdlich“ daran, betroffene Unterkünfte beim Absichern ihrer Systeme zu unterstützen und allen potenziell betroffenen Kunden zu helfen.

Auch in Dänemark erhielten Booking-User bereits Phising-WhatsApp-Nachrichten mit korrekten Reisedaten und korrekter Booking-Reservierungsnummer – das geht aus einem Kommentar unter dem Originalartikel von Heise hervor (11.06.2025; 11:14)

Verärgerte Kunden: „Bitte ignorieren“ reicht nicht aus

Für die Reisenden bleibt dennoch Ratlosigkeit – und wachsender Frust. In Foren und Kommentarspalten machen verärgerte Kunden ihrem Unmut Luft. So berichtet ein Heise-Leser, er habe während einer Island-Reise bei 4 von 5 Buchungen über Booking.com eine solche Scam-Nachricht erhalten – in einem Fall zusätzlich sogar über WhatsApp. Die Reaktion: Echte Willkommensnachricht, dann Scam, dann Warnung vor dem Scam – dann wieder ein Scam.

Auch andere Nutzer schildern ähnliche Erfahrungen. Oft kommt kurz nach der Buchungsbestätigung eine Nachricht über das Booking-Portal, angeblich von der Unterkunft, mit einem Link zur Eingabe der Kreditkarte zwecks „Verifizierung“. Wer darauf hereinfällt, landet auf einer gefälschten Website, die der echten Booking.com-Seite zum Verwechseln ähnelt – und in manchen Fällen werden so Hunderte Euro erbeutet. Verbraucherschützer bestätigen diesen Trick: Kriminelle greifen offenbar echte Buchungsdaten ab und geben sich damit überzeugend als Hotel oder Pension aus, um abzukassieren (Verbraucherzentrale, 2024).

Sogar persönliche WhatsApp-Nachrichten mit richtigen Namen und Buchungsdetails wurden schon parallel verschickt, um die Opfer zur Eingabe von Kreditkartendaten auf fremden Seiten zu verleiten. Die Reaktion der echten Hotels und von Booking.com wirkt in den Augen vieler Betroffener unzureichend. Zwar raten Unterkünfte ihren Gästen meist sofort, die Betrugsnachrichten einfach zu ignorieren, und auch Booking.com forderte zur Nichtbeachtung der Scams auf. Offiziell heißt es jedes Mal beschwichtigend, es seien keine Kundendaten abgeflossen – was angesichts der personalisierten WhatsApp-Kontakte bei vielen die Alarmglocken schrillen lässt. Konkretere Antworten oder gar Unterstützung bei entstandenem Schaden erhalten Kunden von der Plattform kaum.

Forderungen nach besserer Sicherheit – 2FA als Lösung?

Angesichts der anhaltenden Vorfälle werden Forderungen laut, dass Booking.com selbst aktiv werden müsse, um solche Betrugsfälle zukünftig zu verhindern. Eine oft genannte Maßnahme: die Einführung einer verpflichtenden Zwei-Faktor-Authentifizierung (2FA) für alle Logins der Partner-Unterkünfte. Wäre neben Passwort auch ein zweiter Faktor (etwa ein Code per App) zum Einloggen nötig, könnten Kriminelle mit einem ausspionierten Passwort allein nicht viel ausrichten – die ganze Phishing-Masche würde in sich zusammenbrechen. Doch bislang verzichtet Booking.com auf eine strikte 2FA-Pflicht. Beobachter mutmaßen, dass das Unternehmen größere Hürden beim Login scheut, um seinen Hotelpartnern die Nutzung so bequem wie möglich zu machen (Heise, 2025).

Booking.com selbst betont inzwischen, man habe in den letzten Jahren stark in Cybersicherheit investiert und sehe einen „deutlichen Rückgang“ bei bestimmten Betrugstaktiken. So seien 2023 noch rund 1,5 Millionen gefälschte Phishing-Reservierungen blockiert worden, 2024 nur noch 250.000 – was man intern als Zeichen wirksamer Abschreckung wertet. Auch die existierenden Kommunikationskanäle wie das interne Nachrichtensystem oder die Verwendung von E-Mail-Alias-Adressen sieht das Unternehmen als bewusste Balance zwischen Datenschutz und Nutzerfreundlichkeit. Diese Maßnahmen sollen laut Booking.com den „geringsten Eingriff in die Privatsphäre der Reisenden“ darstellen (Heise, 2025). Kritiker halten jedoch dagegen: Gerade diese Kommunikationswege werden derzeit von Kriminellen besonders häufig ausgenutzt. Der Rückgang blockierter Phishing-Fälle mag ein Fortschritt sein – doch solange Nutzer weiterhin gefälschte Nachrichten mit echten Buchungsdaten erhalten, bleibt das Sicherheitsgefühl für viele gering. Die zentrale Frage bleibt daher bestehen: Warum wird 2FA nicht verpflichtend – gerade wenn es um Zugangsdaten zu Tausenden realer Kundendaten geht?

Fazit: Wachsam bleiben in der Urlaubssaison

Inzwischen steht die Sommer-Reisezeit vor der Tür – und die Phishing-Welle kommt für Booking.com zu einer besonders ungünstigen Zeit. Gerade jetzt buchen viele Menschen wieder Unterkünfte online, was Betrüger verstärkt ausnutzen könnten. Reisende sollten besonders wachsam sein. Die Verbraucherzentrale rät: Wenn nach der Buchung über Booking.com plötzlich eine Nachricht kommt, man müsse seine Zahlungsdaten erneut eingeben oder verifizieren – auf keinen Fall darauf eingehen (Verbraucherzentrale, 2024). Keine Überweisungen oder Kreditkartendaten preisgeben, die außerhalb der offiziellen Plattform-Zahlungsabwicklung angefordert werden – selbst dann nicht, wenn Nachricht oder E-Mail echt aussehen. Im Zweifel sollte man direkt bei der Unterkunft anrufen oder den Kundenservice der Plattform kontaktieren, um die Echtheit einer Aufforderung zu prüfen.

Bleibt zu hoffen, dass Booking aus den Vorfällen lernt und die Sicherheit auf der Plattform weiter erhöht – bevor das Vertrauen weiterer Kunden verloren geht. Denn was nützt der bequemste Buchungsprozess, wenn man ständig die Angst mitbucht, Opfer eines Betrugs zu werden?

Es beginnt immer mit einem Gespräch

Kontaktieren Sie uns, um mehr über IT-Security Services zu erfahren. Unser Cybersecurity-Team steht für Sie bereit.