Booking.com: Kundendaten nach Angriff auf Hotel-Partner gestohlen

** Der Buchungsriese Booking.com bestätigte heute, dass unbefugte Dritte Zugriff auf Kundendaten erlangt haben. Die gestohlenen Informationen werden bereits für gezielte Betrugsangriffe genutzt.

Die Sicherheitslücke entstand nicht im Kernsystem des Amsteramder Konzerns, sondern bei Hotelpartnern. Hacker infizierten deren Systeme mit Schadsoftware und stahlen so Zugangsdaten zu den Buchungsportalen. Mit diesen offiziellen Zugängen schickten sie dann betrügerische Zahlungsaufforderungen an Gäste – direkt über die vertrauenswürdige Plattform.

Rekord-Schäden durch Phishing: Warum immer mehr Unternehmen jetzt auf Awareness-Kampagnen setzen. Experten erklären im kostenlosen Anti-Phishing-Paket, wie Ihr Unternehmen sich wirksam schützen kann. In 4 Schritten zum sicheren Unternehmen

„Diese Nachrichten kommen aus dem offiziellen System und enthalten echte Buchungsdetails. Das macht sie extrem gefährlich“, warnt ein Sicherheitsanalyst. Betroffene erhielten teils sogar gezielte WhatsApp-Nachrichten. Booking.com reagiert nun mit neuen PINs für betroffene Reservierungen.

Callcenter: Die neue Schwachstelle für Voice-Phishing

Parallel zu digitalen Angriffen explodieren Betrugsanrufe. Sogenannte Vishing-Attacken stiegen Ende 2024 bis 2025 um über 440 Prozent. Die Täter kombinieren Phishing-Mails mit nachfolgenden Anrufen von angeblichen Support-Mitarbeitern.

Künstliche Intelligenz verschärft das Problem dramatisch. Deepfake-Stimmen täuschen Mitarbeiter in Callcentern und erschleichen sich Passwort-Resets. Ein europäischer Energiekonzern verlor so Anfang 2025 25 Millionen US-Dollar durch einen gefälschten Anruf des Finanzchefs.

In der Reisebranche ist das Risiko besonders hoch. Bis zu 70 Prozent des saisonalen oder outgesourcten Personals haben oft Zugang zu sensiblen Systemen – ohne regelmäßiges Sicherheitstraining. Diese Wissenslücke machen sich Hacker gezielt zunutze.

Schatten-IT und veraltete Systeme treiben Kosten in die Höhe

Die Dimension des Problems zeigt eine aktuelle Studie: 82 Prozent der nordamerikanischen Hotels wurden im letzten Sommer mindestens einmal angegriffen. Global erlitten 31 Prozent der Unternehmen einen größeren Datendiebstahl – 89 Prozent davon sogar mehrfach im Jahr.

Neue Kostentreiber kommen hinzu. Der unsanktionierte Einsatz von KI-Tools durch Mitarbeiter – „Shadow AI“ – erhöht die Kosten eines Datendiebstahls im Schnitt um 670.000 US-Dollar. Sensible Gästedaten landen so unkontrolliert in externen KI-Systemen.

Dazu kommen veraltete Infrastrukturen. Ein Drittel der erfolgreichen Angriffe 2025 nutzte bekannte Schwachstellen in alten Buchungs- und Zahlungssystemen. Auch wenn große Portale auf Cloud-Infrastruktur setzen, reicht ein schwacher Partner, um Millionen Datensätze zu gefährden.

Neue KI-Gesetze, neue Cyberrisiken: Was kommt wirklich auf Ihr Unternehmen zu? Dieser kostenlose Report klärt auf, welche rechtlichen Pflichten und Bedrohungen Unternehmer jetzt kennen müssen. IT-Sicherheit stärken ohne teure Investitionen

Neue EU-Regeln: Persönliche Haftung für Manager

Als Reaktion auf die Bedrohungslage verschärft Europa die Regulierung. Die Digital Operational Resilience Act (DORA) und die NIS2-Richtlinie machen Cybersicherheit zur Chefsache. Sie verlangen einen hohen Sicherheitsstandard in essenziellen Sektoren wie Transport.

Die größte Neuerung 2026: die persönliche Haftung des Managements. CISOs und Vorstände können bei grober Fahrlässigkeit persönlich zur Verantwortung gezogen werden. Compliance ist kein Papierkorb mehr, sondern erfordert nachweisbare Resilienz, Incident-Reports binnen 24 Stunden und regelmäßige Notfallübungen.

Die Branche spürt den Druck bereits. Versicherer verlangen eidesstattliche Erklärungen der Führungsebene zu Identitätsschutz-Maßnahmen. Verstöße können Bußgelder von bis zu zwei Prozent des globalen Jahresumsatzes nach sich ziehen – bei großen Buchungsplattformen ein dreistelliger Millionenbetrag.

Die Zukunft gehört der identitätszentrierten Sicherheit

Die Verteidigungsstrategie der Reisebranche verschiebt sich vom Perimeter-Schutz hin zur identitätszentrierten Sicherheit. Große, zentralisierte Callcenter werden durch cloud-basierte, verteilte Operationen mit Echtzeit-Analyse ersetzt.

Gegen Deepfakes setzen Unternehmen auf passive Stimmerkennung, die synthetische Klone während eines Gesprächs identifizieren soll. Gleichzeitig etabliert sich das „Zero Trust“-Prinzip: Jede Zugriffsanfrage wird kontinuierlich überprüft, egal ob von Gast oder Partner.

Das Ziel für 2026 und darüber hinaus ist klar: nicht nur Prävention, sondern operative Widerstandsfähigkeit. Die durchschnittliche Lebensdauer eines Datendiebstahls sank 2025 auf 241 Tage – ein Neunjahrestief. Doch der aktuelle Angriff auf Booking.com zeigt: Der Kampf um das Kundenvertrauen wird künftig an der Front der Identitätsprüfung und Mitarbeitersensibilisierung entschieden.

de | boerse | 69150246 |