Dieser Tage verschickte Booking.com E-Mails an eine unbekannte Zahl von Kunden. Unbefugte hätten auf Reservierungsdaten zugegriffen, darunter Namen, E-Mail-Adressen, Telefonnummern, buchungsspezifische Details. Zahlungsdaten seien nicht betroffen, betonte das Unternehmen. Wie der Angriff möglich war und wie viele Nutzer betroffen sind, ist laut einer Meldung auf der Onlineplattform cybernews noch unklar, was jetzt nicht unbedingt die beruhigendste Aussage ist. Booking.com legte weder den Angriffsweg offen noch kommunizierte das Unternehmen, ob gestohlene Daten bereits weiterverkauft werden.
Das unfreiwillige Einfallstor
Das Angriffsmuster ist dabei nicht neu: Angreifer kompromittieren zunächst Hotel-Partnerkonten über gefälschte Booking.com-E-Mails, schleusen Schadsoftware ein, stehlen Zugangsdaten und nutzen dann die legitimen Plattformzugänge, um Gästedaten abzurufen und betrügerische Zahlungsaufforderungen zu versenden. Microsoft dokumentierte eine solche Kampagne im März 2025, Sekoia im November 2025 – der aktuelle Vorfall ist der vorläufige Höhepunkt einer Serie.
Hotels werden dabei systematisch als Einfallstor benutzt. Die Plattform, über die Buchungen generiert werden, macht Betriebe gleichzeitig zur Angriffsfläche.
Mit gestohlenen Buchungsdaten lassen sich mithilfe von KI täuschend echte Phishing-Nachrichten erstellen: eine Referenz auf den realen Hotelaufenthalt, konkrete Daten und Ortsangaben machen es für Betroffene kaum möglich, Betrug zu erkennen. Wer auf eine solche Nachricht hereinfällt, ruft danach häufig nicht bei Booking.com an, sondern beim Hotel.
Nutzer kritisierten das Unternehmen öffentlich dafür, das Problem kleinzureden und Hotels für Datenlecks verantwortlich zu machen, die auf Plattformebene entstanden waren. Das ist kein Einzelfall: Bereits 2021 wurde Booking.com von der niederländischen Datenschutzbehörde mit 475.000 Euro bestraft, nachdem ein Datenleck über kompromittierte Hotel-Mitarbeiter-Zugänge persönliche Daten von mehr als 4.000 Kunden offengelegt hatte.
Was Hoteliers jetzt tun sollten
Drei Maßnahmen sind unmittelbar sinnvoll: Extranet-Zugänge auf starke Passwörter und Zwei-Faktor-Authentifizierung prüfen, Rezeptionspersonal über aktuelle Phishing-Muster informieren und rechtlich klären, ob eigene Meldepflichten gegenüber der Datenschutzbehörde bestehen.