„Ich habe eine WhatsApp-Nachricht mit dem richtigen Namen, der korrekten Buchungsnummer, dem exakten Reisezeitraum und dem Namen des gebuchten Hotels bekommen. Dazu die Aufforderung, die Reservierung über einen Link zu bestätigen, sonst verfällt sie binnen 24 Stunden. Ich bin beinahe darauf reingefallen“, berichtet ein Kollege in der Redaktion.
Er ist nicht der Einzige: Was Gäste seit Wochen vermehrt erhalten, wirkt deshalb glaubwürdig, weil die zugrunde liegenden Angaben stimmen. Die Arbeiterkammer Kärnten warnt vor einer Betrugswelle, bei der Kriminelle reale Gästedaten aus kompromittierten Hotel- und Plattformsystemen nutzen, um Zahlungsdaten abzugreifen. „Niemals Zahlungsdaten über Links oder Chatfunktionen übermitteln“, rät AK-Präsident Günther Goach.
Der Appell richtet sich an die Konsumenten. Für Hoteliers, Reservierungsabteilungen und IT-Verantwortliche stellt sich die Lage allerdings anders dar. Sie sind in dieser Geschichte nicht nur Geschädigte, deren Ruf leidet, wenn Gäste im Namen ihres Hauses betrogen werden.
Kein Scherz: Der Ursprung liegt im April
Die unmittelbare Quelle der aktuellen Betrugswelle lässt sich konkret benennen, auch wenn die AK in ihrer Aussendung darauf verzichtet: Am 13. April 2026 bestätigte Booking.com, dass Unbefugte auf Buchungsdaten von Kunden zugegriffen hatten. Betroffen waren Namen, E-Mail-Adressen, Telefonnummern, Buchungsdetails sowie private Nachrichten zwischen Gästen und Hotels. Finanzdaten seien nicht abgeflossen, betonte das Unternehmen. Welche Systeme genau betroffen waren und wie viele Kunden, gab die Plattform jedenfalls nicht bekannt.
Die Einschränkung auf nicht betroffene Finanzdaten ist für die Praxis wenig beruhigend. Schon zum Zeitpunkt der Benachrichtigung verschickten Betrüger personalisierte Nachrichten über WhatsApp und SMS, die exakte Hotelnamen, Aufenthaltsdaten und Buchungsreferenzen enthielten und von echter Hotelkommunikation kaum zu unterscheiden waren. Wer Name, Reisezeitraum und Buchungsnummer kennt, braucht die Kreditkartennummer nicht zu stehlen. Er fragt sie beim Opfer ab.
Bevor allerdings ein Gast eine gefälschte Zahlungsaufforderung erhält, ist meist ein Hotelmitarbeiter ins Visier geraten. Die ÖHV beschreibt das Muster in ihren Warnungen genau: Mitarbeiter erhalten E-Mails, die scheinbar von Booking.com stammen und vor Stornierungen oder verdächtigen Abbuchungen warnen. Wer dem Link folgt, landet auf einer nachgebauten Seite, an die sich ein gefälschter Verifizierungsbildschirm anschließt, der schließlich in einen vorgetäuschten Windows-Fehler übergeht.
Über mehrere Schritte sollen die Nutzer dazu gebracht werden, einen PowerShell-Befehl auszuführen.
Diese Technik trägt den Namen ClickFix. Ihr Reiz für die Angreifer liegt darin, dass das Opfer die schädlichen Schritte selbst ausführt. Weil der Nutzer aktiv handelt, werden interne Sicherheitssysteme umgangen, die einen Malware-Download von außen sonst verhindern würden. Häufig kommt eine gefälschte CAPTCHA-Abfrage zum Einsatz, die zum Kopieren und Einfügen eines Befehls auffordert. Steht die Schadsoftware einmal auf einem Gerät im Hotel, lassen sich die Zugangsdaten zum Buchungssystem auslesen, und die Angreifer haben Zugriff auf reale Reservierungen.
Microsoft führt den hauptsächlich verantwortlichen Akteur unter der Bezeichnung Storm-1865, eine finanziell motivierte Gruppe, die seit Anfang 2023 in Nordamerika, Ozeanien, Süd- und Südostasien sowie Europa operiert. Der Ablauf ist arbeitsteilig: erst die Phishing-Mail an die Rezeption, getarnt als dringende Gästebeschwerde, dann der Diebstahl der Extranet-Zugangsdaten über die gefälschte Fehlermeldung, schließlich der Griff zu den hinterlegten Buchungen und der direkte Kontakt zum Gast.
Kein neues Phänomen, aber ein wachsendes
Die Vorstellung, es handle sich um einen einmaligen Vorfall, stimmt nicht. Bereits 2018 phishten Kriminelle Hotelangestellte und gelangten so an Daten von Booking.com-Kunden; eine Voice-Phishing-Kampagne zielte im selben Jahr auf 40 Hotels in den Vereinigten Arabischen Emiraten, wobei die Daten von über 4.000 Kunden und Kreditkartendaten von 300 Personen entwendet wurden. Die niederländische Datenschutzbehörde verhängte 2021 eine Strafe von 475.000 Euro, weil das Unternehmen den Vorfall zu spät gemeldet hatte.
Dass die Schwachstelle selten im zentralen System liegt, sondern in den Zugängen drumherum, ist kein spezifisches Muster in der Hotelbranche. Im Mai 2024 wurde ein Datenleck bei Ticketmaster bekannt, nachdem unbefugte Aktivitäten in der Cloud-Datenbank eines Drittanbieters entdeckt worden waren. Berichten zufolge stand die Gruppe ShinyHunters dahinter, und bis zu 560 Millionen Kundendatensätze könnten betroffen gewesen sein, darunter Namen, Adressen, Telefonnummern, E-Mail-Adressen und teilweise Zahlungsinformationen. Die Angreifer drangen nicht in das eigentliche Ticketverkaufssystem ein, sondern gelangten über gestohlene Zugangsdaten und schwache Zugriffskontrollen in die Cloud-Umgebung. Das Prinzip ist dasselbe wie bei den Hotelsystemen: Nicht die Festung fällt, sondern der Nebeneingang steht offen.
Dass Hotels zunehmend ins Visier geraten, belegt die Entwicklung der Fallzahlen. Die Zahl der Cybercrime-Delikte in Österreich stieg zwischen 2014 und 2023 von 8.966 auf 65.864, ein Plus von mehr als 600 Prozent in zehn Jahren. ÖHV-Generalsekretär Markus Gratzer ordnet das als Anfang einer Entwicklung ein, die durch künstliche Intelligenz zusätzlich beschleunigt werde. Mehr als 80 Prozent der Hotelbuchungen laufen online, womit bei nahezu jeder Buchung persönliche Daten weitergegeben werden und meist auch eine Online-Transaktion erfolgt. Hotels sind für Angreifer also aus einem bestimmten Grund attraktiv: Über ihre Zugänge zu Buchungsplattformen wie Booking.com lassen sich die dort gespeicherten Reservierungsdaten vieler Gäste auslesen, ohne dass die zentralen Systeme der Plattform selbst angegriffen werden müssen. Nicht das einzelne Hotel ist das lohnende Ziel, sondern der Hebel, den sein Plattformzugang bietet. Genau das macht jeden Hotelpartner zu einem möglichen Einfallstor.
Was Betriebe jetzt tun können
Die Konsequenzen für Betriebe: Da der Erstangriff fast immer über das Personal läuft, entscheidet sich an der Rezeption und im Reservierungsbüro, ob er gelingt. Der kritische Moment ist eine E-Mail, die im Namen von Booking.com mit einer angeblichen Gästebeschwerde, einer negativen Bewertung oder einer dringenden Kontoverifizierung zur sofortigen Reaktion drängt. Wer hier dem Link folgt, hat den Angriff bereits halb durchlaufen. Regelmäßige, kurze Schulungen, die genau diese Muster zeigen, sind deshalb wirksamer als jede nachgelagerte technische Maßnahme. Wo sie fehlen, bleiben Software-Updates und eine funktionierende Backup-Strategie die Untergrenze, um wenigstens die Folgen eines erfolgreichen Angriffs zu begrenzen.Drei Punkte sind dabei unverhandelbar.
Erstens: Eine Aufforderung, im Windows-Ausführen-Fenster einen Befehl einzugeben oder ein vermeintliches CAPTCHA per Tastenkombination zu bestätigen, hat in keinem echten Verifizierungsprozess etwas zu suchen. Genau über diesen Schritt schleust die ClickFix-Methode ihre Schadsoftware ein, und zwar an den Schutzsystemen vorbei, weil der Mitarbeiter sie selbst ausführt.
Zweitens: Buchungsbezogene Mails mit Fristdruck gehören nicht beantwortet, sondern über den regulären, selbst aufgerufenen Extranet-Zugang geprüft, niemals über den Link in der Nachricht.
Drittens: Ungewöhnliche Logins im Plattformkonto, etwa zu untypischen Zeiten oder von fremden Standorten, sind ein Alarmsignal, dem sofort nachzugehen ist. Die ÖHV stellt für die Umsetzung einen Cyber-Security-Leitfaden sowie kostenlose Webinare bereit.
Ebenso wichtig ist die Kommunikation gegenüber den Gästen: Ein Haus, das von sich aus klarstellt, niemals Zahlungsdaten per Link oder Chat anzufordern, entwertet die Masche an ihrer empfindlichsten Stelle, der Glaubwürdigkeit. Die Empfehlung der Verbraucherschützer, im Zweifel über die offizielle Website und die dort hinterlegte Telefonnummer beim Hotel nachzufragen, wird nicht funktionieren, wenn an der Rezeption niemand abhebt oder der Vorfall dort unbekannt ist. Erreichbarkeit und eine intern abgestimmte Sprachregelung sind damit selbst Teil der Sicherheitsarchitektur.
Die offene Flanke ist die Haftung
Im März erreichte die AK Kärnten nach Intervention bei Kreditkarteninstitut, Hotel und Buchungsplattform, dass einem Geschädigten 1.500 Euro erstattet wurden. Der Mann war nach der Buchung eines Hotels in Jesolo auf eine gefälschte Zahlungsaufforderung hereingefallen; am Ende lenkte die Plattform ein und überwies den gesamten Betrag zurück. Besonders brisant: Sowohl dem Hotel als auch der Buchungsplattform war der Hackerangriff bekannt, dennoch wurde der Gast nicht gewarnt. AK-Präsident Goach leitet daraus eine klare Erwartung ab. Wer von einem bekannten Sicherheitsproblem wisse, müsse warnen; transparente Information und rechtzeitige Warnungen sind Pflicht.