Mindestens 350 Hotels und Ferienunterkünfte in 50 Ländern tauchen in einer Betrugswelle auf, bei der echte Buchungsdaten für gezielte Phishing-Nachrichten missbraucht werden. Die Angriffe wirken glaubwürdig, weil sie Namen, Reservierungsnummern und teils echte Hotel- oder Gast-Details enthalten.
Der Fall zeigt zwei Baustellen zugleich: Datenlecks im Reisevertrieb und zu viele Brüche zwischen Hotel-Systemen, Gästekommunikation und Zahlungswegen.
Wie der Betrug funktioniert
Die Masche heißt oft Reservation Hijack. Betrüger greifen auf echte Buchungsdaten zu und schreiben Gäste dann per E-Mail, SMS oder WhatsApp an. Die Nachricht wirkt plausibel, weil sie auf eine echte Reservierung verweist und eine Zahlung außerhalb des üblichen Kanals fordert.
Skift schreibt, dass es bereits mindestens 350 Hotels und Ferienunterkünfte in 50 Ländern trifft. In der Berichterstattung rund um den Fall fällt auch Booking.com auf: Das Unternehmen bestätigte laut einem Bericht von The Verge, dass Unbefugte auf Reservierungsdaten zugreifen konnten. Dazu zählen Namen, E-Mail-Adressen, Telefonnummern und Nachrichten zwischen Gast und Unterkunft.
- Die Nachricht nennt echte Buchungsdetails wie Reservierungsnummer, Anreise- oder Abreisedatum.
- Der Absender drängt auf schnelle Zahlung oder Datenabgleich.
- Die Anfrage läuft an der offiziellen Buchungsstrecke vorbei, oft per WhatsApp oder Direktnachricht.
- Die Sprache wirkt knapp, aber alarmierend: „Bitte jetzt bestätigen“, „Zahlung fehlgeschlagen“, „sonst wird storniert“.
Warum das Hotel die Schwachstelle ist
Die Betrüger brauchen kein Fantasieszenario. Sie nehmen echte Daten und bauen daraus ein glaubwürdiges Fake-Problem. Genau das macht den Angriff so stark. Wer schon eine Reise gebucht hat, klickt eher auf den Link, wenn Namen, Termine und Unterkunft stimmen.
Das passt in ein größeres Bild: Die Branche hängt an vielen Schnittstellen. PMS, Channel Manager, CRM, Buchungsplattform, Messaging-Tools. Sobald ein System schwächelt, wird aus Komfort schnell ein Risiko.
Direktbuchung: bequem, aber angreifbar
Dafür spricht
- Weniger Zwischenstationen im Buchungsprozess
- Mehr Kontrolle über Gästekontakt und Zahlung
- Sauberere Daten im eigenen System
Dagegen spricht
- Ein Leak reicht für real wirkende Phishing-Mails
- Gäste erkennen den Betrug oft zu spät
- Support-Teams müssen neue Angriffsarten mitdenken
Was Hotels jetzt tun müssen
Hotels können den Schaden nicht komplett verhindern. Aber sie können den Angriff schwerer machen. Das beginnt bei internen Freigaben für Zahlungsaufforderungen und endet nicht bei einem Passwort-Reset.
- Gästekommunikation nur über verifizierte Kanäle absichern
- Zahlungen nie per Direktnachricht anstoßen lassen
- Team intern auf aktuelle Scam-Muster briefen
- Verdächtige Nachrichten sofort dokumentieren und melden
- Gäste klar warnen, wenn externe Zahlungslinks kursieren
Was die Integration von Mews und SiteMinder zeigt
Parallel zu den Scam-Meldungen diskutiert die Branche weiter über Systembrüche. Skift verweist im selben Podcast auf die neue native Integration von Mews und SiteMinder. Genau solche Verbindungen sollen Datensilos abbauen, damit Hotels Buchungen, Gästedaten und Automatisierung besser zusammenbringen.
Das ist kein Nice-to-have. Wenn Informationen in zu vielen Tools hängen, steigen Fehler, Reibung und Angriffsfläche. Wer Gästedaten sauber führt, verschließt keine Tür komplett — aber er macht Betrug deutlich schwerer.
Was du aus dem Fall mitnehmen solltest
Für Hotels, Ferienwohnungen und Management-Gesellschaften gilt jetzt: Kommunikationswege prüfen, Zahlungsprozesse härten, Teams schulen. Und zwar konkret, nicht als Jahresprojekt. Jeder Link, jede Nachricht und jede Ausnahmeregel muss einmal durch den Reality-Check.
Der Betrug funktioniert nicht, weil Gäste naiv sind. Er funktioniert, weil die Daten echt sind.